Europa revoluciona la econom¨ªa de la informaci¨®n

Hay pocas cifras sobre el impacto de la nueva legislaci¨®n en la econom¨ªa, pero las que hay marean. Un estudio de Deloitte en 2013, cuando el proyecto estaba en tramitaci¨®n (y elaborado por encargo de la Plataforma de la Industria de Datos, que re¨²ne a grandes empresas del sector) hablaba de la p¨¦rdida de 65.000 millones de euros en el PIB (un 0,4% del total) y la eliminaci¨®n de 1,3 millones de puestos de trabajo. Cinco a?os despu¨¦s, y con el reglamento ya aprobado, a¨²n no hay una estimaci¨®n general. "Uno de los motivos por los que es dif¨ªcil cuantificar el efecto es el que cada empresa est¨¢ tomando un camino diferente para adaptarse", se?ala Catherine O'Neill, de Citi.

Las empresas, en gran parte, tampoco se atreven a dar cifras acerca de lo que el RGPD va a suponer en sus cuentas. "No creo que sea posible hacer n¨²meros espec¨ªficos", apunta Dierk Schindler, director del servicio legal de la firma de servicios de datos NetApp para Europa, ?frica y Oriente Pr¨®ximo. "Hay que tener en cuenta que el efecto del reglamento va a ser muy distinto dependiendo si son compa?¨ªas que act¨²an de cara al consumidor o si son de servicios para empresas".

Incluso muchas cotizadas no se terminan de aventurar. Sundar Pichai, consejero delegado de Alphabet (la matriz de Google) descartaba efectos significativos de la legislaci¨®n en su cuenta de resultados en una presentaci¨®n para accionistas. "Hay que tener en cuenta que la clave de nuestro negocio son las b¨²squedas, que utilizan muy pocos datos personales, b¨¢sicamente lo que los usuarios nos preguntan", apunt¨®. Facebook da una respuesta similar. "No podemos predecir cu¨¢l va a ser el impacto, pero no esperamos que sea significativo", indican. Semanas antes, en una conferencia con accionistas, la empresa hab¨ªa reconocido que la entrada en vigor del reglamento frenar¨ªa el crecimiento de nuevos clientes en Europa.

Habla mucho de lo que est¨¢ en juego el hecho de que, con 4.000 enmiendas presentadas en los 18 meses de su tramitaci¨®n, el RGPD ha sido la pieza legislativa con la mayor participaci¨®n de grupos de presi¨®n de la historia del Parlamento Europeo. Y con raz¨®n: el mercado de los datos ha dejado de ser una an¨¦cdota en la econom¨ªa del continente. Seg¨²n los c¨¢lculos de la Comisi¨®n Europea, valdr¨¢ en 2020 739.000 millones de euros, alrededor de un 4,5% del PIB de la Uni¨®n y m¨¢s del doble que cuatro a?os antes. Adem¨¢s, de ¨¦l viv¨ªan en 2016 algo m¨¢s de un cuarto de mill¨®n de empresas, que daban trabajo directamente a 6,1 millones de personas (que ser¨¢n m¨¢s de 10 millones al final de la d¨¦cada). Y, sobre todo, lo que pase en Europa a partir de este reglamento (parte de la estrategia del mercado ¨²nico digital) influir¨¢, sin duda, en la pol¨ªtica de datos del resto del mundo. Por si acaso, Facebook ha movido los datos de sus 1.500 millones de clientes no europeos de sus servidores en Irlanda.

Del cu¨¢nto al c¨®mo

?Qu¨¦ significa el RGPD para las empresas? Para empezar, cambia el foco del valor de los datos de lo cuantitativo a lo cualitativo: ya no se trata de cu¨¢nta informaci¨®n se tenga, sino de c¨®mo se tenga y c¨®mo se pueda usar. "M¨¢s all¨¢ de las medidas concretas, lo que supone, es, sobre todo, un cambio de la cultura de gesti¨®n, con mayor formaci¨®n y sensibilidad", considera Rafael Garc¨ªa, del ¨¢rea internacional de la Agencia Espa?ola de Protecci¨®n de Datos (AEPD).

"Lo que hace el reglamento es hacer proactiva la responsabilidad", explica Jos¨¦ Luis Pi?ar, nombrado delegado de protecci¨®n de datos (una figura creada, precisamente, por el RGPD) del Consejo General de la Abogac¨ªa. "Es decir, en vez de gestionar ficheros se ha de explicar por qu¨¦ se toman decisiones en los flujos de datos. Todo debe quedar documentado, por lo que los sistemas de gesti¨®n deben estar dise?ados pensando en la privacidad; esta no puede ser una incorporaci¨®n a posteriori. Y la privacidad debe ser la opci¨®n por defecto". Adem¨¢s, la reglamentaci¨®n desarrolla el derecho al olvido, que ya estaba vigente gracias a una sentencia del Tribunal de Justicia de las Comunidades Europeas de 2014.

Eso hace que casi todas las empresas, grandes o peque?as, tengan que revolucionar sus sistemas de gesti¨®n de la informaci¨®n que tienen sobre sus clientes. El no cumplir puede salir muy caro: las multas pueden llegar a ser el equivalente el 4% de la facturaci¨®n o 20 millones de euros, lo que sea m¨¢s. "Hasta ahora, las empresas pod¨ªan hacer c¨¢lculos sobre qu¨¦ les conven¨ªa m¨¢s; en determinados casos, la multa podr¨ªa hasta valer la pena", comenta Pi?ar. "El r¨¦gimen sancionador proporcional a la facturaci¨®n es mucho m¨¢s disuasorio".

Pero m¨¢s incluso que el dinero, lo que impulsa a las compa?¨ªas es la preocupaci¨®n por su reputaci¨®n digital. "La regulaci¨®n va a aumentar la paranoia sobre filtraciones, porque las implicaciones financieras y de reputaci¨®n van a ser mucho mayores", indica un informe de Citi.

Y ya hay pruebas de primera mano de los efectos que puede tener una pol¨ªtica laxa de datos en la reputaci¨®n de una empresa. El 17 de marzo, los diarios The New York Times y The Guardian revelaron que la firma Cambridge Analytica hab¨ªa utilizado informaci¨®n personal de al menos 87 millones de usuarios de Facebook para comercializar campa?as electorales a la carta en dos votaciones de resultado ajustado y consecuencias muy relevantes en 2016: el refer¨¦ndum brit¨¢nico de salida de la Uni¨®n Europea y las elecciones estadounidenses que pusieron a Donald Trump en la Casa Blanca. Las airadas reacciones tanto dentro como fuera de Estados Unidos y Reino Unido han obligado a Mark Zuckerberg, consejero delegado de Facebook, a aparecer contrito en una serie de preparadas declaraciones frente al Congreso estadounidense y el propio Parlamento Europeo.

El de Facebook no es el primer esc¨¢ndalo en el que est¨¢n envueltos millones de datos personales. El a?o pasado, un ciberataque masivo se hizo con 143 millones de registros de la empresa estadounidense de an¨¢lisis de cr¨¦dito Equifax. Pero ambos se quedan cortos ante el ataque a Yahoo!: mil millones de cuentas comprometidas. El golpe a la empresa fue tan grave que menos de un a?o m¨¢s tarde desaparec¨ªa, subsumida en Verizon.

Tantos esc¨¢ndalos medi¨¢ticos hacen a¨²n m¨¢s dif¨ªcil responder a la gran pregunta: ?qu¨¦ van a hacer los consumidores con las herramientas que les ofrece el RGPD? "La pregunta es si, en estas aguas digitales, los ciudadanos van a seguir navegando en barcas de cart¨®n", considera Efr¨¦n D¨ªaz, profesor del m¨¢ster en Reputaci¨®n Corporativa de la Universidad de Navarra. "Entiendo que est¨¢ dentro de la libertad de cada cu¨¢l, pero est¨¢ claro que los que puedan van a buscar productos que se ajusten a las normas europeas". En un sondeo de Pegasystems de diciembre de 2017, solo un 21% de los consumidores eran conscientes de la existencia del nuevo reglamento. Pero al conocer las potencialidades del texto, el 82% cre¨ªan "probable" o "muy probable" el pedir la retirada de informaci¨®n de las bases de datos. Espa?a e Italia son los pa¨ªses con los usuarios m¨¢s quisquillosos con sus informaciones. Lo que los usuarios rechazan, sobre todo, es que las empresas compartan sus datos con terceros: seg¨²n la encuesta de Pegasystem, el 45% de los encuestados los borrar¨ªa si supieran que las empresas que los tienen los utilizan para otros fines.

Malas noticias para las compa?¨ªas que se dedican, precisamente, a sacarle el m¨¢ximo jugo posible a los datos de sus clientes, cuyo modelo de negocio va a tener que cambiar por completo por el nuevo reglamento. El viejo axioma de Internet "si no est¨¢s pagando por un producto, es que el producto eres t¨²" se va a hacer mucho m¨¢s dif¨ªcil, y, sobre todo, m¨¢s caro. "Hay muchas industrias que conf¨ªan mucho en los datos de terceras personas, y la situaci¨®n se va a complicar para ellos", apunta O'Neill.

"Esto va a suponer un reto para muchas startups que cuando empiezan no tienen totalmente claro el modelo de negocio y van aprendiendo y a?adiendo nuevas funcionalidades, servicios y formas de monetizar, por lo que no pueden pedir de antemano permiso para todos los usos que van a hacer de los datos.", explica Carmen Bermejo, presidenta de la Asociaci¨®n Espa?ola de Startups. "Ahora eso va a ser mucho m¨¢s complicado, porque tendr¨¢n que pedir m¨¢s permisos e informar a los usuarios de cada nuevo uso". Es normal, pues, que en un sondeo de NetApp entre m¨¢s de 1.100 directores de tecnolog¨ªa, el 51% de los encuestados considere que el nuevo reglamento va a suponer un da?o a su reputaci¨®n, el 44% crea que perder¨¢ ingresos, y el 35% piense que puede poner en peligro la propia supervivencia de su compa?¨ªa.

Bajo presi¨®n

El sector de la publicidad online tambi¨¦n est¨¢ bajo presi¨®n. En 2017, los anunciantes gastaron en publicidad por Internet 209.000 millones de d¨®lares, con lo que, por primera vez en la historia, super¨® a la televisi¨®n como medio preferido de publicidad. Y con raz¨®n: al contrario que la veterana televisi¨®n en abierto, que obligaba a los anunciantes a crear campa?as orientadas a todos los p¨²blicos, las nuevas tecnolog¨ªas permiten una precisi¨®n milim¨¦trica a la hora de dise?ar m¨¦todos promocionales.

La nueva reglamentaci¨®n pone un palo en las ruedas de este modelo de negocio. "Por ahora est¨¢ siendo un poco apocal¨ªptico", confirma Paula Ortiz, directora jur¨ªdica y de relaciones institucionales de IAB Spain. "Todav¨ªa faltan muchas orientaciones sobre c¨®mo cumplir con la normativa en un entorno tan complejo y din¨¢mico como el nuestro. En este escenario operan multitud de actores, tratando datos y tomando decisiones en tiempo real. No obstante, esperemos que despu¨¦s de esta fase de ajuste se consiga el fin de un usuario m¨¢s informado y con una mayor capacidad de elecci¨®n". Otros gigantes del sector tambi¨¦n son optimistas. "Hacer publicidad y proteger la informaci¨®n de las personas no son incompatibles", explicaba a los analistas Sheryl Sandberg, directora de operaciones de Facebook. "Los anuncios que respetan la privacidad de la gente son mejores porque muestran lo que es m¨¢s probable que les interese".

Pero no son solo las empresas que gestionan grandes cantidades de datos las que est¨¢n teniendo que moverse: todas est¨¢n redoblando sus esfuerzos por adaptarse a este nuevo mundo. Y eso tiene un coste, tanto el ajuste de sus sistemas como en la formaci¨®n de aquellos que lo gestionar¨¢n. Un estudio de EY con la Asociaci¨®n Internacional de Profesionales de la Privacidad (IAPP, en sus siglas en ingl¨¦s) calcula que las 500 firmas de mayor facturaci¨®n del mundo gastar¨¢n 7.800 millones de d¨®lares (6.600 millones de euros) en adaptarse al RGPD. Deloitte estima que solo en Europa har¨¢n falta 28.000 nuevos delegados de protecci¨®n de datos.

Y ma?ana por la ma?ana, muchas empresas empezar¨¢n a trabajar bajo las nuevas normas ya no solo sin haberse adaptado al nuevo sistema; sin ni siquiera saber qu¨¦ pasos deb¨ªan haber tomado. O, al menos, eso afirma Luc Hendrickx, director de relaciones externas de la Asociaci¨®n Europea de Artesanos y Pymes. "La regulaci¨®n tiene 88 p¨¢ginas en el Bolet¨ªn Oficial de las Comunidades Europeas, y mucha de la documentaci¨®n ha salido tarde y sin traducir", enumera. "Falta gente preparada para gestionar los datos seg¨²n el nuevo Reglamento porque no puedes entrenar a alguien en algo que no sabes qu¨¦ es. ?La propia p¨¢gina web de la Comisi¨®n Belga de Protecci¨®n de Datos dice que no puede responder a todas las preguntas!". Seg¨²n un sondeo elaborado por PWC, en enero dos de cada tres firmas encuestadas afirmaba estar listas, aunque solo una de cada tres hab¨ªa empezado a implementar el reglamento.

No todo el mundo es tan pesimista. Rafael Garc¨ªa, de la AEPD, replica que, en el caso de Espa?a, las empresas han recibido todas las facilidades, m¨¢xime cuando, gracias a la Ley Org¨¢nica de Protecci¨®n de Datos (LOPD), el pa¨ªs ya contaba con un sistema de protecci¨®n m¨¢s robusto que sus vecinos europeos. "Hemos hecho cosas en ese sentido. Hemos publicado gu¨ªas para pymes, hemos creado una herramienta de tratamiento online..."

Otros sectores, como el de la banca, se declaran igualmente preparados. "Los bancos han otorgado siempre una elevada protecci¨®n a los datos de sus clientes y una plena garant¨ªa en el ejercicio de sus derechos", se?alan de la Asociaci¨®n Espa?ola de Banca. "En los dos ¨²ltimos a?os, nuestras entidades han ido acometiendo las adecuaciones relevantes y necesarias a sus mecanismos, procedimientos y formularios internos".?¡°Nuestros servicios incorporan de forma inherente la gesti¨®n e incluso la transferencia internacional de datos¡±, explica Luis Dupuy, director general de American Express Global Business Travel. ¡°Si un cliente nos pide un viaje a Miami, evidentemente vamos a tener que compartir e incluso transferir los datos internacionalmente. Dado que nosotros enriquecemos los perfiles de nuestros viajeros y nos comportamos como responsables y no como encargados de los datos,

No todas las empresas pueden permitirse tener gente dedicada las 24 horas al control de los datos. Y esto ha impulsado el crecimiento del sector de los servicios de privacidad. En un a?o, el n¨²mero de empresas que ofrecen esta clase de productos ha pasado de 44 a 143, seg¨²n la IAPP. En los ¨²ltimos cinco a?os, seg¨²n un informe de CB Insights, la industria ha levantado capital por m¨¢s de 4.000 millones de euros.

Para Hendrickx, todo esto deriva de una reglamentaci¨®n pensada exclusivamente por y para las grandes empresas. "Las discusiones en el Parlamento y en el Consejo Europeo estuvieron totalmente dominadas por ellas; de hecho, durante un tiempo se apod¨® la ley Google. Y, una vez m¨¢s, las pymes pagamos las consecuencias de las malas acciones de las grandes", considera. "Se dice que el registro de las actividades de tratamiento no es obligatorio para las empresas de 250 empleados o menos si no son ocasionales. ?Qu¨¦ significa ocasional? ?Y si yo registro las n¨®minas de mis empleados una vez al mes?"

No todo el mundo est¨¢ tan convencido de que los usuarios har¨¢n uso de sus derechos, y m¨¢s si se ve la respuesta en redes sociales a la riada de correos electr¨®nicos: muchos usuarios simplemente dan a aceptar, sin mirar. "Yo estoy guard¨¢ndome todos los correos para le¨¦rmelos luego, pero ?cu¨¢nta gente va a hacer eso?", apunta Carmen Bermejo. Y las empresas pueden sacar partido a esa incuria. "La nueva ley ofrece a Facebook la posibilidad de incluir, dentro del proceso de cumplimiento del RGPD, la posibilidad de empujar a los usuarios a confirmar activamente una multitud de nuevas actividades de recolecci¨®n y utilizaci¨®n de informaci¨®n que den el visto bueno a todos los aspectos de su m¨¢quina de miner¨ªa de datos", explica el analista Kalev Leetaru en Forbes.

Pero, sobre todo, lo que elimina algunos modelos de negocio crea igualmente otros nuevos. "Hay oportunidades destacables en los servicios que ayuden a los ciudadanos a gestionar mejor y de forma m¨¢s consciente el tratamiento de sus datos personales", apunta Mart¨ªn, de BBVA. "La nueva ley crea una nueva econom¨ªa de la regulaci¨®n de la privacidad", explica un informe publicado el mes pasado por un grupo de profesores del Real Instituto de Tecnolog¨ªa de Melbourne (Australia). "Lo que hace el Reglamento, en efecto, es titulizar el acceso a los datos, un t¨ªtulo que puede comprarse y venderse seg¨²n los derechos ejercidos por el propietario. En vez de tener los datos en si, las empresas van a tener una opci¨®n sobre ellos, dependiente del consentimiento permanente del titular".

En 2012 la Comisi¨®n Europea estimaba que la aplicaci¨®n de una reglamentaci¨®n com¨²n de protecci¨®n ahorrar¨ªa a las empresas europeas 2.300 millones de euros al a?o, un c¨¢lculo que ha mantenido desde entonces. "El reglamento est¨¢ impulsando muchos proyectos que sirven para gobernar y entender los datos", considera Adolf Hern¨¢ndez, de Everis. "Creo que, a la larga, la gente va a proteger mucho m¨¢s la informaci¨®n que tiene", afirma O'Neill. "Eso puede llevar a la consolidaci¨®n de la industria y un movimiento de poder hacia los editores".

Sin embargo, para muchas compa?¨ªas, se trata de empezar de cero. "Ser¨ªa m¨¢s f¨¢cil si no tuvi¨¦ramos asentada una cultura del todo gratis, que se introdujo en su momento y que ahora la gente est¨¢ acostumbrada, y hace que muchas startups que est¨¢n ofreciendo valor no sean sostenibles", considera Bermejo. "Si la publicidad va a dar menos ingresos y la gente no est¨¢ dispuesta a pagar, ?c¨®mo lo haces?".