GDPR, tres meses después

  • Seguridad

El pasado 25 de mayo fue la fecha desde la que el nuevo Reglamento General de Protección de Datos (GDPR) es obligatorio en toda la Unión Europea. Con ello llegaba una normativa que, pese a gozar de dos años de adaptación, en la mayoría de casos se acabó implementando en el último minuto.

El nerviosismo y la preocupación por parte de muchas empresas era evidente, sobre todo si tenemos en cuenta que las consecuencias de incumplir el GDPR eran severas. Pero pasado este tiempo, ¿qué balance podemos hacer? ¿Se han adecuado las empresas a la nueva normativa? ¿Han resuelto sus dudas? ¿Se ha normalizado la ciberseguridad empresarial en el territorio europeo? ¿Se acabaron los emails de actualización de las políticas de privacidad? ¿Ha terminado al fin este proceso? Como señala Panda Security, lo cierto es que aún quedan cosas por hacer y, analizando las consecuencias del GDPR, señala que ha habido hasta tres situaciones distintas.

Aumentan las quejas en varios países

En las semanas previas al cumplimiento del plazo de adaptación al nuevo reglamento de protección de datos, las grandes y pequeñas empresas recurrieron a expertos de todo tipo para adecuarse a la normativa. Sin embargo, no todas han conseguido hacerlo de la forma adecuada, o al menos eso piensan muchos consumidores.

Y es que las entidades de protección de datos de muchos países han reportado un claro aumento de las quejas por aparente incumplimiento del GDPR: la Information Commissioner’s Office de Reino Unido o el CNIL francés aseguran que en sus países han aumentado de manera considerable las denuncias de este tipo. En Francia, por ejemplo, al incremento en el número de quejas ha sido del 50%.

Ayúdanos a conocer cuáles son las tendencias tecnológicas que se impondrán en la empresa el próximo año y más allá, y cómo se está construyendo el futuro digital.

Google y Facebook, en el punto de mira

Ante la llegada del GDPR, muchas de las empresas más preocupadas por este asunto eran las pequeñas y medianas, aquellas que, aunque manejan menos datos también tienen menos presupuesto y, por tanto, cuentan con menos recursos para adaptarse a la normativa. Sin embargo, las reacciones tras dos meses de aplicación han ido en una dirección muy distinta.

De hecho, la mayoría de denuncias han ido destinadas a gigantes tecnológicos como Google, Facebook o Twitter. ¿El motivo? Estas grandes compañías, ante la resistencia a cambiar totalmente sus políticas de tratamiento de datos y adaptarlas por completo a la legislación europea, apostaron por lanzar a sus usuarios un mensaje medianamente estándar instándoles a aceptar sus nuevas políticas de privacidad y ciberseguridad; de lo contrario, sus cuentas serían canceladas.

Los que se excedieron con el cumplimiento

Sin embargo, también hay un tercer caso que podría dar mucho de lo que hablar: nos referimos a las grandes compañías que, pese a que ya cumplían la nueva normativa, decidieron mandar un email a sus usuarios para que diesen su permiso para recibir notificaciones. En caso de que el usuario no aceptase estas nuevas políticas o simplemente no pinchase en el link que contenía el email, la empresa se vería obligada a retirar de su base de datos a una serie de usuarios a los que en realidad no necesitaba pedirles permiso.

Así lo cree el abogado Samuel Parra: “Hay empresas que, tras ser mal asesoradas, mandaron dicho email pidiendo de nuevo el consentimiento a sus usuarios, cuando en realidad los datos de esos usuarios ya habían sido obtenidos de manera legítima, así que no necesitaban un nuevo consentimiento”. Así pues, “ahora tienen un problema: se han encontrado con que el 70% o el 80% de los usuarios no han pinchado en el link del email, así que tienen que borrarlos de su base de datos”, una circunstancia que se traduce en que “varias empresas han podido perder muchos ingresos a futuro, y todo por un mal asesoramiento”.