El mal uso de nuestros datos va a salir muy caro a las grandes empresas

Es mejor pedir perd¨®n que pedir permiso. Esta frase, que resume toda una declaraci¨®n de intenciones y presenta ciertos s¨ªntomas de picaresca espa?ola, sonar¨ªa estremecedora en la boca de un alto ejecutivo de una compa?¨ªa que maneje los datos de cientos de miles de usuarios. Y aunque no se conozca un caso como este, en el que la predisposici¨®n empresarial hacia las malas pr¨¢cticas en el tratamiento de la informaci¨®n sea tan evidente, queda claro que si lo hubiera ser¨ªa necesario pararle los pies.

En un momento en que la sociedad empieza a ser consciente del valor que tienen sus datos en el mundo digital, es imperante vigilar el uso que hacen las empresas de ellos para garantizar unos derechos a los ciudadanos que hace un par de d¨¦cadas no pod¨ªamos llegar a imaginar que necesitar¨ªamos. El Reglamento General de Protecci¨®n de Datos (GDPR, por sus siglas en ingl¨¦s), que entra en vigor el 25 de mayo, pretende brindar a los usuarios mayor tranquilidad en este sentido, pero, ?sirve de algo?

¡°El usuario est¨¢ protegido tanto con la actual legislaci¨®n como con el GDPR¡±, sostiene Jos¨¦ Luis Pi?ar, delegado de Protecci¨®n de Datos del Consejo General de la Abogac¨ªa Espa?ola. ¡°La diferencia es que el nuevo reglamento viene a dar respuesta a la necesidad de un mayor control del usuario sobre sus datos personales, lo que comienza con la transparencia del tratamiento y sigue con los nuevos derechos¡±. Y, por supuesto, con las sanciones.

El pasado marzo la Agencia Espa?ola de Protecci¨®n de Datos mult¨® a Facebook y a su filial Whatsapp con 600.000 por cruzar datos entre ambas sin el consentimiento de sus usuarios. Un mes despu¨¦s, la red social publicaba sus resultados trimestrales: m¨¢s de 4.000 millones de euros ingresados en los primeros 90 d¨ªas del a?o. De acuerdo a estos n¨²meros, Facebook tard¨® apenas 20 minutos en generar el dinero para pagar la multa.

La relativa inmunidad en la que viven las grandes empresas en lo relativo al tratamiento que hacen de los datos de sus usuarios en el medio digital promete llegar a su fin ¡ªo, al menos, empezar a hacerlo ¡ª con la llegada del GDPR. Las diferencias en las sanciones que establece la nueva normativa no son tantas como puede parecer, pero establecen un marco com¨²n en Europa que consolida las pol¨ªticas llevadas a cabo en este campo hasta la fecha en un est¨¢ndar que exige m¨¢s a las compa?¨ªas y brinda mayor protecci¨®n a los usuarios.

Actualmente, las sanciones que establece Espa?a por incumplimiento de la Ley de Protecci¨®n de Datos se clasifican en tres niveles: leves, en las que las multas pueden ascender hasta 30.000 euros; graves, de hasta 300.000 euros; y muy graves, donde se establece un techo de 600.000 euros. Aunque el l¨ªmite puede ser superior. Una violaci¨®n por parte de una empresa puede conllevar varias infracciones, como sucedi¨® con la multa de 1,2 millones de euros que impuso la AEPD a Facebook el pasado septiembre ¡ªla mayor hasta la fecha¡ª por vulnerar la privacidad de sus usuarios, en la que se entendi¨® que la compa?¨ªa incurr¨ªa en dos faltas graves y una muy grave.

El nuevo reglamento viene a dar respuesta a la necesidad de un mayor control del usuario sobre sus datos personales

El problema es m¨¢s que obvio: ?qu¨¦ es un mill¨®n de euros para Facebook, o incluso los tres millones que contemplan actualmente las autoridades francesas? En muchas ocasiones, el valor que generan infringiendo la ley compensa el importe de la multa. ¡°No puedo evitar sorprenderme de lo peque?a que es la cifra que tienen que pagar cuando pienso en la forma en que las caras de mis hijos han alimentado el desarrollo del reconocimiento facial¡±, reconoc¨ªa Aur¨¦lie Pols, analista de datos experta en ¨¦tica y privacidad, a EL PA?S Retina hace unas semanas.

Con el objetivo de disuadir a las empresas de dejar de cumplir con su obligaci¨®n, la nueva normativa trae consigo un incremento en el l¨ªmite en el importe de las multas. ¡°El GDPR establece dos niveles, frente a los tres que contempla la actual legislaci¨®n espa?ola¡±, explica Jos¨¦ Rodr¨ªguez, delegado de protecci¨®n de datos de Cornerstone OnDemand. ¡°El primero llega hasta 10 millones de euros o el 2% del volumen de negocio anual de la compa?¨ªa e incluye sanciones por obligaciones generales, como las de seguridad. En el siguiente nivel, las compa?¨ªas pueden pagar hasta 20 millones de euros o el 4% de sus ingresos por violaciones m¨¢s graves, como evitar pedir el consentimiento de las personas para utilizar sus datos de una determinada manera¡±.

No est¨¢ mal si lo comparamos con la cifra de la que habl¨¢bamos antes: los 600.000 euros de multa a Facebook suponen un 0,0046% de su facturaci¨®n de 2017, pr¨¢cticamente 1.000 veces menos de lo que podr¨ªan llegar a pagar si infringen la ley en este nuevo marco europeo, donde una sanci¨®n ejemplar podr¨ªa alcanzar los ocho ceros (cientos de millones). No cabe duda de que el efecto disuasor es considerablemente mayor.

Al margen de la cifra definitiva, el GDPR a?ade un factor interesante a la ecuaci¨®n: si una autoridad en protecci¨®n de datos no est¨¢ de acuerdo con la sanci¨®n que va a imponer otra, la resoluci¨®n correr¨¢ a cargo del Comit¨¦ Europeo de Protecci¨®n de Datos. ¡°Esto podr¨ªa suponer que las multas aumenten en ciertos casos para garantizar la aplicaci¨®n coherente del reglamento¡±, razona Jos¨¦ ?ngel Sand¨ªn, consejero delegado de Lefebvre - El Derecho. ¡°En cualquier caso, las multas administrativas tender¨¢n a ser efectivas, proporcionadas y disuasorias¡±.

M¨¢s informaci¨®n

?Puedo saber qu¨¦ informaci¨®n tiene mi empresa sobre m¨ª?

El nuevo reglamento de datos, contado para gente sin tiempo