25 May Cambios que ha traído el RGPD en estos tres años (de obligado cumplimiento)
Hoy, 25 de mayo, hace ya tres años desde que autónomos y empresas de cualquier tamaño, con sede en la UE o clientes residentes en la UE, tenemos obligación de cumplir con el Reglamento Europeo 2016/679 (RGPD) al tratar datos personales en nuestro negocio.
Y, a pesar de eso, muchos aún desconocen los cambios que ha traído el RGPD y qué deben hacer en su negocio para cumplir con esta norma. A ellos, les recomiendo leer nuestro artículo “¿Estás seguro de cumplir con el RGPD en tu negocio?”
Y a los que tenéis curiosidad sobre cómo este Reglamento de la UE ha afectado a nuestras vidas, os recomiendo seguir leyendo.
Descubrimos un nuevo derecho fundamental
En realidad, siempre estuvo ahí. Pero ha sido gracias al RGPD por lo que muchos han conocido que la privacidad (el poder decidir sobre tus datos personales) es un derecho fundamental de todo individuo.
¿Y qué significa que es un derecho fundamental? Pues que tiene una especial protección por parte de la legislación española y europea. Por eso, siempre podremos denunciar a las empresas o personas que no respeten nuestra privacidad ante la Agencia Española de Protección de Datos y ante los Tribunales. Y las sanciones son muy serias.
Bien, parece que los ciudadanos de a pie lo sabemos, pero… ¿lo saben las empresas?
Estimamos que, en España, alrededor del 50% de las empresas aún no cumplen plenamente con el RGPD. Una norma que es obligatoria ¡desde hace 3 años!
Una empresa que no se preocupa de cumplir el RGPD no se preocupa de la privacidad de sus clientes, de sus posibles clientes, de sus proveedores, de sus suscriptores, de sus pacientes.
Los usuarios podemos hacer algo para esto: no deberíamos trabajar con una empresa así ni ser cliente suyo porque no va a respetar nuestro derecho fundamental a la privacidad.
Qué ocurre con las grandes empresas tecnológicas
Nuestro actual modo de vida nos ha llevado a depender de grandes empresas tecnológicas para nuestro ocio, para estar en contacto con familiares y amigos, para estar al tanto de la actualidad, para buscar información a la hora de estudiar o de trabajar.
Y nos habíamos acostumbrado a pagar el peaje de que estas empresas tuvieran todos nuestros datos, ganaran dinero con ellos, los cedieran sin nuestro permiso a no sabemos quién y los almacenaras sin que nos informaran dónde.
Pero entonces, otro de los cambios que ha traído el RGPD es la lucha para someter a estas grandes tecnológicas a la Ley. Y es que Google, Facebook, Whatsapp, Microsoft, Apple… son también empresas que tratan datos de ciudadanos europeos. Por eso, también están obligadas a tratar esos datos según indica el RGPD. Aunque todos sabemos que, en general, no lo hacen.
Por eso, Autoridades de Control de diferentes países del EEE (competentes para vigilar el cumplimiento del RGPD) les han abierto expedientes y sancionado.
Sanciones más destacadas antes del RGPD
Antes de la plena vigencia del RGPD, ya se habían impuesto estas sanciones:
En marzo de 2018, la Agencia Española de Protección de Datos (AEPD) sancionó con 300.000€ a Whatsapp y con 300.000€ a Facebook por dos infracciones graves de la LOPD española entonces vigente. Cedían los datos personales de los usuarios de WhatsApp a Facebook para que los tratara sin el consentimiento de los usuarios.
La multa es bastante escueta para la capacidad económica de estas empresas, pero la normativa anterior al RGPD no permitía mucho más.
Y poco después, en abril de 2018, saltó el caso Cambridge Analytica. Datos personales de, al menos, 87 millones de usuarios de Facebook acabaron en manos de una empresa ajena, sin su permiso ni conocimiento. La Comisión Federal de Comercio de Estados Unidos (FTC) sancionó a Facebook con 5.000 millones de dólares de multa (4.436 millones de euros) por esto.
Con estos antecedentes, podríamos pensar que Facebook (y otras grandes tecnológicas) habrían rectificado y se habrían preocupado de cumplir el RGPD desde el 25/05/2018 al tratar los datos de sus usuarios europeos. Pues no parece que haya sido así.
Procedimientos abiertos actualmente: Whatsapp
Comenzamos 2021 sabiendo que Whastapp quiere cambiar sus normas de servicio para obligar a sus usuarios a compartir datos suyos con Facebook si quieren seguir usando Whatsapp.
Se levanta un gran revuelo. Posponen el cambio de los términos de uso. Dicen que no afectará a sus usuarios europeos. Pero, al final, nos obligan a aceptar sus nuevas normas de uso para poder seguir usando Whatsapp a partir del 15 de mayo de 2021, sin saber muy bien qué va a pasar.
Afortunadamente, la Autoridad de Protección de Datos de Hamburgo (Alemania) abre una investigación sobre lo que suponía este cambio en las condiciones de Whatsapp: permitir a Facebook procesar datos de usuarios de WhatsApp, y conceder permiso para que la app pueda leer los mensajes que los usuarios envíen a empresas que utilicen WhatsApp Business.
De momento, han bloqueado durante tres meses la aplicación de las nuevas condiciones de WhatsApp. Y van a intentar que la UE aplique la decisión a nivel europeo a través del Comité Europeo de Protección de Datos, resolviendo que de ninguna manera pueden aplicarse estas condiciones a los ciudadanos europeos.
Este es otro de los cambios que ha traído el RGPD: que puede darse una unidad de acción de todos los organismos europeos para velar por la protección de datos de sus ciudadanos.
Veremos cómo termina este caso y si, finalmente Whatsapp entra en razón o se imponen sanciones.
Las transferencias internacionales de datos a EE.UU. y Facebook
En julio de 2020 el TJUE derogó el Privacy Shield, el acuerdo entre la Unión Europea y EE.UU. que permitía realizar transferencias de datos personales de europeos a empresas americanas suscritas a dicho acuerdo.
Desde que se ha declarado no válido el Privacy Shield, se ha complicado muchísimo poder transferir datos personales de europeos a empresas de los Estados Unidos cumpliendo con la Ley (el RGPD).
Entre los cambios que trajo el RGPD, la empresa (o el autónomo) pasan a ser los Responsables del Tratamiento de los datos personales en su negocio. Eso implica que son responsables de transmitir estos datos sólo con autorización previa del interesado y sólo a países y a empresas que cumplan con el RGPD. Hoy, se considera que EE.UU. no ofrece esas garantías. Porque no ofrece el amparo judicial a los datos personales de europeos al que obliga el RGPD.
En septiembre de 2020, la Autoridad de Protección de Datos irlandesa emitió una orden preliminar advirtiendo a Facebook de que podría tener que suspender su flujo de datos de la UE a EE.UU. Facebook respondió solicitando una revisión judicial y obteniendo así una suspensión en el procedimiento. Sin embargo, hace pocos días, el Tribunal Superior de Irlanda acaba de emitir el fallo que desestima la impugnación de Facebook al procedimiento de la Comisión de Protección de Datos de Irlanda (puedes leer la resolución completa aquí).
Este caso tiene una enorme importancia operativa para Facebook, que puede verse obligado a tratar y almacenar los datos de los usuarios europeos en Europa si se le ordena que deje de llevar éstos a los EE. UU. para su procesamiento.
Qué opina el Parlamento Europeo
En la semana del 17 de mayo de 2021, el Parlamento Europeo pidió a la Comisión Europea que se revisen las normas de transferencia de datos personales con EE.UU. (y con el Reino Unido), de manera que se establezcan «normas claras».
Y lo pide porque la sentencia que derogó el Privacy Shield se dictó basándose en que la legislación americana es incompatible con el estándar de protección del derecho europeo. Por eso, si se siguen haciendo transferencias de datos al Reino Unido y éste las hace a EE.UU. sin ninguna cautela, igualmente se estaría vulnerando el RGPD.
Además, el Parlamento Europeo dio un tirón de orejas a las Autoridades de Protección de Datos de todos los países porque considera que éstas no están haciendo lo suficiente para que no se lleven a cabo transferencias internacionales de datos fuera del EEE que no cumplan con el RGPD. Y las anima a investigar más, abrir expedientes y sancionar por este tema.
Así que, aviso a navegantes: si eres el Responsable del Tratamiento de datos de tu negocio, evita las transferencias de datos internacionales (dentro de lo posible, no trabajes con proveedores de EE.UU. si has de transferirles datos de tus clientes, suscriptores o leads).
Si quieres conocer el avance de estos procedimientos, así como nuevas normas que se van a aprobar próximamente y que afectan a la protección de datos, te invito a que te suscribas a nuestra newsletter.
¡Quiero suscribirme a la newsletter de Emprender Seguro!