Era el 25 de mayo de 2018 y el sol ciertamente brillaba en muchos de los (entonces) 28 estados miembros de la Unión Europea. En las oficinas de muchas empresas dentro (y también fuera) de la UE, este día fue caótico.

En los días previos a ese día, las empresas habían enviado innumerables correos electrónicos a clientes y consumidores pidiéndoles su consentimiento para recibir sus boletines, algo que nunca habían solicitado antes de este día. Al mismo tiempo, muchas empresas que no tenían personal especialmente capacitado en el tema habían estado tratando de averiguar qué tipo de datos recolectaban de sus clientes y cómo organizarlos y protegerlos en el futuro.

Pero cuál era el hecho histórico

Ese día, entró en vigor el Reglamento General de Protección de Datos (GDPR), más conocido por sus siglas en inglés: GDPR. Esta regulación cambió drásticamente la mentalidad de muchas personas -principalmente en Europa- sobre el uso de datos personales por parte de empresas con sede en la UE y fuera de la UE que recopilan, procesan y almacenan datos de ciudadanos de la UE.

Cuatro años después, los consumidores en Europa ya esperan que las empresas cumplan con esta regulación al hacer clic en el botón "Aceptar" o "De acuerdo" en los términos y condiciones de sus sitios (que, seamos sinceros, casi nadie lee), así como asumir que las autoridades reguladoras controlen la aplicación de la regulación.

Entonces, ¿cuáles fueron los principales cambios?

Antes de la GDPR, nadie sabía realmente qué tipo de datos de los consumidores recolectaban y procesaban las empresas. ¿Facebook solo guardaba nuestro nombre y número de teléfono o correo electrónico? ¿Google almacenaba un registro con nuestras búsquedas? ¿Qué sabe Netflix sobre nosotros a partir del contenido que vemos? ¿Y cómo utilizaban estas empresas este conocimiento?

1. Para responder a estas preguntas, el GDPR aplica para un amplio abanico de datos recopilados:

  • Información básica de identidad: nombre, dirección y número de identificación, creencias religiosas, afiliación política, origen racial o étnico, orientación sexual.
  • Datos de salud: condiciones de salud, análisis de sangre, vacunas contra la COVID-19, etc.
  • Comunicaciones: geolocalización, direcciones IP, historial web, llamadas telefónicas y textos.
  • Otros datos como la información bancaria, datos de compras y uso de aplicaciones.

2. Las empresas deben respetar los ocho derechos de los ciudadanos:

  • El derecho a ser informado de que sus datos están siendo recopilados y utilizados, durante cuánto tiempo y cómo se compartirán. Esta información debe proporcionarse en un lenguaje sencillo y accesible.
  • El derecho a poder acceder a todos los datos recopilados por una empresa, así como la razón por la que se recopilan los datos o de qué fuente se adquirieron.
  • El derecho de rectificación en caso de que algún dato sea incompleto o erróneo.
  • El derecho al olvido se puede solicitar si en cualquier momento alguien retira el consentimiento otorgado a una empresa para conservar esos datos si los datos ya no son necesarios o si fueron tratados ilícitamente.
  • Derecho a restringir o limitar el tratamiento como alternativa a la supresión de los datos. Los usuarios pueden simplemente solicitar que sus datos no se utilicen para algunos fines. Por ejemplo, uno puede dar su consentimiento para usar datos para la personalización de contenido dentro de una plataforma de streaming, pero no en campañas de marketing.
  • El derecho a oponerse al procesamiento de más datos.
  • El derecho a la portabilidad de los datos. Si el usuario quiere acceder a sus datos recopilados por una empresa y entregárselos a otra empresa, la conclusión es: sus datos son suyos. Puedes llevarlos a donde quieras.
  • Derecho a no ser objeto de elaboración de perfiles en base a un conjunto de datos con características que puedan definir comportamientos, creencias u otra información.

3. Tiene un impacto global

Uno diría que esta regulación fue un cambio drástico solo para las empresas con sede en la UE, pero sus efectos van mucho más allá. GDPR es aplicable a todas las empresas que ofrecen bienes o servicios en la UE o que procesan los datos de cualquier ciudadano en la UE. Del mismo modo, los datos de los ciudadanos de la UE solo pueden exportarse a (y ser utilizados por) países con normas de privacidad similares.

Siendo una de las tres economías más grandes del mundo, la UE impulsa la inversión desde todos los rincones, estableciendo GDPR como un requisito estándar mínimo para operar en cualquiera de los 27 estados miembros. No sorprende que, en todo el mundo, los organismos  que regulan la protección de datos hayan adoptado legislación nacional en un esfuerzo por armonizar el conjunto de reglas que las empresas deben cumplir.

Lectura recomendada: Entendiendo el impacto y alcance de la Ley General de Protección de Datos de Brasil

Este es el caso de Canadá, Argentina, Brasil, Uruguay, Japón, Nueva Zelanda y, más recientemente, Corea del Sur. De hecho, la PIPEDA de Canadá ha estado en vigor desde 2001, habiendo prestado gran parte de su espíritu a la ley de la UE con respecto al establecimiento de la rendición de cuentas como un principio legislativo fundamental, pero con una diferencia esencial: contrariamente a la ley canadiense, el GDPR se aplica no solo a los actores comerciales, sino también a entidades gubernamentales.

En Estados Unidos, sin embargo, el panorama es algo más diverso. A nivel federal, diferentes leyes regulan áreas específicas, como HIPAA para salud, FCRA para calificaciones crediticias, FERPA para educación, GLBA para datos de préstamos e inversiones, ECPA para monitoreo de comunicaciones, COPPA que limita el procesamiento de datos pertenecientes a niños menores de 13 años, VPPA para registros de alquiler de VHS o la Ley FTC que garantiza que las empresas cumplan con sus propias reglas de privacidad. Solo tres estados han adoptado leyes de privacidad integrales: California tiene la CCPA (y su próxima 'actualización' conocida por el acrónimo CPRA); y también están las leyes VCDPA de Virginia y ColoPa de Colorado que entrarán en vigencia el próximo año.

4. Si hay una filtración de datos, debe informarse a más tardar 72 horas después del descubrimiento

Una de las mayores novedades introducidas por el GDPR fue la obligación de las empresas de informar de una filtración de datos en un plazo de máximo tres días desde que se dieron cuenta del incidente. En comparación, hasta ahora, el plazo más estricto que establecen las regulaciones de Estados Unidos para denunciar infracciones era de 30 días.

Este requisito obligó a las empresas a tener planes proactivos para abordar las violaciones de datos, una postura que va en el sentido opuesto a la tentación de tardar demasiado en hacerlo para tratar de evitar una crisis de relaciones públicas. En un momento en que las filtraciones de datos son comunes, los ciudadanos deben saber que sus datos pueden verse comprometidos para que puedan tomar medidas preventivas.

5. Si no se aplican algunas de estas reglas, hay multas

Ciertamente no son solo palabras vacías sin consecuencias significativas. El GDPR está siendo aplicando y, al 23 de mayo de 2022, las infracciones han dado lugar a 1093 multas por un valor total de 1630 millones de euros (1740 millones de dólares estadounidenses).

En 2021, Amazon recibió una multa de 746 millones de euros (865 millones de dólares), la mayor cantidad hasta el momento, por publicidad dirigida sin suficiente consentimiento. El caso contra Amazon fue tomado por los funcionarios de Lux, donde se encuentra la empresa, luego de que la organización francesa La Quadrature du Net presentara la denuncia en nombre de 10.000 personas que firmaron su petición. También en 2021, Google recibió una multa de 90 millones de euros (102 millones de dólares estadounidenses) por no proporcionar a los residentes en Francia una opción fácil para rechazar el uso de cookies. (Las cookies están parcialmente reguladas a través de la ePrivacy Directive (ePD), pero se aplica el GDPR porque rige cómo se gestiona el consentimiento de los datos). Google Irlanda y Facebook recibieron multas similares por la misma razón.

Otras empresas conocidas como la marca de ropa H&M, la aerolínea British Airways e incluso la Administración Tributaria y Aduanera holandesa han sido multadas y han tenido que adaptar sus mecanismos de protección de datos.

Estás en control de tus datos

Este es uno de los mensajes que suelen enviar muchas empresas en estos días. Estas declaraciones hacen sentir a la persona empoderada y muestran que las empresas cumplen con las normas de privacidad y datos.

GDPR fue sin duda un primer paso importante para garantizar que nuestros datos estén seguros. Pero la mera existencia de esta regulación no debería hacer que dejemos de cuestionarnos por qué es necesaria esta recopilación de datos. ¿Por qué las empresas necesitan saber tanto sobre lo que hacemos, adónde vamos o cómo nos vestimos? ¿Y qué alternativas hay cuando no damos nuestro consentimiento para el uso de una parte específica de nuestros datos? ¿Podemos encontrar servicios alternativos?

Además, si a tantos servicios y aplicaciones no les importa darnos acceso a ellos de forma gratuita a cambio de nuestros datos, ¿cuál es el valor real de nuestros datos que pueden superar los ingresos basados ​​en las tarifas de suscripción?

Esta es sin duda una conversación que todos necesitaremos tener más temprano que tarde.