El próximo 25 de mayo se cumple un año de la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Entelgy analiza los cambios en la actuación de las empresas a causa de dicha normativa.
“Hemos podido comprobar que las empresas que invierten en cumplimiento en materia de protección de datos están dotando a sus organizaciones de un plus de seguridad y confianza”, comenta Laura Burillo Zamora, consultora de seguridad y protección de datos de Entelgy Innotec Security.
La compañía informa sobre las claves para entender el RGPD un año después.
Efectivo contra el marketing abusivo
Como aspecto positivo, se ha notado considerablemente el descenso de las comunicaciones comerciales indiscriminadas a través de campañas de marketing agresivo. El 85% de las empresas tomaron medidas para actualizar los permisos expresos del cliente. Esto hizo que desaparecieran numerosos envíos masivos de email marketing.
Pocas sanciones, pero importantes
Las multas (art. 83 RGPD) era una de las mayores preocupaciones de las empresas ante la irrupción del RGPD. Plantea la posibilidad de sancionar las infracciones con multas administrativas de 10 y 20 millones de euros.
La primera gran multa por incumplimiento de la normativa llegó a los seis meses de su entrada en vigor, en Portugal. La organización portuguesa fue sancionada con 400.000 euros por permitir el acceso indebido a datos de los usuarios sin su consentimiento expreso.
Conflicto con leyes nacionales
En España, la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales 3/2018 de 5 de diciembre (LOPDGDD) llegó para solucionar las lagunas del RGPD. Pero no fue así. Sobre todo en lo que concierne al artículo 58 bis de la Ley Electoral. En primer lugar, considera de interés público la recopilación de datos personales relativos a las opiniones políticas de las personas por parte de los partidos en el ámbito de sus actividades electorales. En segundo lugar, considera legítimo el tratamiento de los datos personales obtenidos de páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral. Finalmente, no considera mercadotecnia el envío de propaganda electoral.
Reglamento abierto y difuso
A pesar de la llegada del RGPD, aún queda bastante por hacer en materia de protección de datos personales. Los resultados se verán años de su aplicación, cuando se resuelvan las lagunas que quedan todavía por aclarar.
Muchas de las disposiciones incluidas en el RGPD son bastante abiertas a la interpretación:
- No deja claro a qué edad se puede otorgar el consentimiento el tratamiento. En nuestro país, el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años.
- Qué empresas tienen que designar un Delegado de Protección de Datos. Este punto también se desarrolla en el artículo 34 de la LOPDGDD.
- Qué se considera tratamiento de datos a gran escala. El RGPD no lo define, aunque el considerando 91 aporta algunas consideraciones.
Actualización necesaria
El RGPD ha sido un paso importante en la protección del usuario en internet, pero insuficiente. Cada vez que se presenta una situación compleja hay que analizar varios considerandos en relación con diferentes fuentes como el GT29, informes, resoluciones de la Agencia. Por ello, es necesaria una redacción más clara, dotando al reglamento de una mayor seguridad jurídica.
A pesar de que el espíritu del Reglamento es homogeneizar las normativas comunitarias, otorga también libertad a los estados miembros para desarrollar estos conceptos abiertos a la interpretación.
También te puede interesar:
- Decálogo para el cumplimiento de la legislación sobre protección de datos
- ¿En qué nos va a afectar el cambio en el reglamento de protección de datos?