Cuando el GDPR entró en vigor en 2018, la nueva y brillante ley de protección de datos fue aclamada como un cambio hacia una aplicación más estricta - asegurando que en la UE, el derecho fundamental a la protección de datos no solo existe sobre el papel. Con motivo del Día de la Protección de Datos de este año, el 28 de enero, noyb realizó una encuesta entre más de 1.000 profesionales de la protección de datos que trabajan en empresas europeas. Esto proporcionó una visión única desde dentro: el 70% de los encuestados cree que las autoridades necesitan emitir decisiones claras y hacer cumplir el RGPD para garantizar su cumplimiento, mientras que el 74% afirma que las autoridades encontrarían "infracciones relevantes" si entraran por la puerta de una empresa media. En un intento de avanzar hacia una "aplicación basada en pruebas", esta investigación también muestra que las autoridades tendrían que cambiar fundamentalmente su enfoque de la aplicación para conseguir que las empresas cumplan.
La aplicación seria no ha cumplido lo prometido. Cuando entró en vigor en mayo de 2018, el Reglamento General de Protección de Datos (RGPD) prometió un cambio del enfoque actual de "toque suave" de la protección de datos a una aplicación seria. Para lograr este objetivo, la política de la UE dotó a las autoridades de serios poderes de investigación y la opción de emitir grandes multas. Según un nuevo informe de noyb entre más de 1.000 profesionales de la protección de datos, la mayoría de los participantes cree que la introducción del RGPD ha "mejorado significativamente" la forma en que las empresas manejan los datos personales, pero el 74% sigue afirmando que si las autoridades realizaran realmente una investigación in situ en una empresa media que maneje datos de usuarios, encontrarían "infracciones relevantes".
Max Schrems, Presidente Honorario de noyb: "Resulta extremadamente alarmante que el 74% de los profesionales de la protección de datos internos de las empresas afirmen que las autoridades encontrarían infracciones importantes en una empresa media. Estas cifras serían inimaginables si se tratara de cumplir la legislación fiscal o la normativa de seguridad contra incendios. El incumplimiento solo parece ser la norma cuando se trata de los datos personales de los usuarios."
Datos objetivos internos sobre el cumplimiento del GDPR. Para conocer lo mejor posible la aplicación práctica del GDPR, noybincluía 65 preguntas sobre diversos temas relacionados con el cumplimiento y la aplicación del RGPD. Esto nos permitió obtener datos fiables y objetivos sobre la dinámica interna que impide a los responsables de la protección de datos (RPD) aplicar medidas para reforzar el cumplimiento del RGPD, así como sobre los factores externos que podrían empujar a las empresas hacia un mayor cumplimiento en el futuro. Estos datos parecen cruciales para centrar el trabajo de aplicación y cumplimiento en estrategias que realmente funcionen y apoyen la labor de los RPD internos.
En conflicto con los departamentos de marketing y la dirección. Las empresas operan a menudo en un espacio de conflicto entre la búsqueda de beneficios, los costes de hacer que sus sistemas cumplan con el GDPR y la obligación de cumplir con la ley. la encuesta de noybmuestra claramente que los responsables de la protección de datos se ven presionados para limitar el cumplimiento del RGPD en interés de la empresa: el 46% de los encuestados afirmó que los departamentos de ventas y marketing les presionaban activamente para limitar el cumplimiento, mientras que el 32% se sentía presionado por miembros de la alta dirección. Como era de esperar, convencer a estas partes interesadas de que realicen los cambios necesarios para mejorar el cumplimiento también está resultando bastante difícil. Un sorprendente 56% de los encuestados afirmó que era difícil convencer al departamento de marketing, mientras que el 38,5% tuvo problemas con la alta dirección. el 51% también afirma que es difícil convencer a los proveedores de fuera de la UE o del EEE para que suministren productos conformes a los clientes empresariales de la UE.
Max Schrems: "Se supone que los RPD son independientes y velan por el cumplimiento de la normativa desde dentro de la empresa.En realidad, muchos de ellos denuncian presiones de diversos lados para que den prioridad a los intereses empresariales."
El cumplimiento basado en pruebas: multas y daños a la reputación. La grave falta de medidas claras de ejecución por parte de las autoridades no ayuda a los RPD a hacer su trabajo. Según los resultados de la encuesta, es más probable que una empresa mejore su cumplimiento cuando ella misma -o incluso otras empresas- se enfrentan a multas significativas. 67.el 4% de los encuestados afirma que las decisiones de la APD contra su propia empresa que incluyen una multa influirán en los responsables de la toma de decisiones para que opten por un mayor cumplimiento. Curiosamente, el 61,5 % de los encuestados afirmó que incluso las multas de la APD contra otras organizaciones influirían en el cumplimiento del RGPD por parte de su propia empresa. Este efecto ("disuasión") es bien conocido y estudiado, pero las autoridades no lo utilizan realmente. La siguiente mejor herramienta parece ser la publicación de las decisiones. el 52 % afirmó que la pérdida de reputación de otra empresa ya tiene un efecto positivo en el cumplimiento de su propia empresa. Sin embargo, actualmente muchas autoridades no publican sus decisiones (por ejemplo, Alemania) o sólo las publican de forma selectiva.
Max Schrems: "El consejo de los profesionales de la protección de datos dentro de las empresas parece ser: 'imponer multas elevadas y hacerlas públicas'. El enfoque común de confiar en negociaciones "informales" entre autoridades y empresas y en procedimientos secretos parece ser el menos eficaz según las personas de dentro de las empresas."
Las directrices de la AEPD o los cierres de casos no influyen. Aunque las autoridades invierten considerables esfuerzos, tiempo y recursos en proporcionar directrices a las empresas, éstas parecen ignorarlas en gran medida. el 46% de los encuestados afirma que las directrices de la EDPB no son influyentes, mientras que sólo el 23% las considera algo influyentes. Del mismo modo, los encuestados consideran poco influyentes las reclamaciones directas a las empresas. Esto contrasta con las denuncias ante las APD y el cierre informal de casos (actualmente la forma más común de decisión). A pesar de todos los indicios de que existe una necesidad urgente de una aplicación estricta, en la práctica tales acciones por parte de las APD son la excepción. Esto se ilustra fácilmente utilizando noyb: La mayoría de nuestros más de 800 casos llevan pendientes más de dos años. Pero incluso si sólo se eligen los casos que noyb ha ganado, sólo hay un puñado de decisiones que incluyen una multa. En más de 800 casos, no hemos visto ni una sola autoridad que haya llevado a cabo una inspección in situ de una empresa.
Max Schrems: "En los últimos años, las autoridades europeas han elaborado numerosas directrices y entablado largas discusiones 'informales' con las empresas para luego 'cerrar' los casos sin tomar más medidas. A juzgar por los comentarios de los responsables de cumplimiento, lamentablemente no es el mejor uso del dinero de los contribuyentes."
La opinión de los iniciados sigue siendo más positiva que la experiencia de los usuarios. Aunque la opinión de los informadores es ya alarmante, sigue siendo más optimista de lo que permitiría la experiencia media de los interesados. Por ejemplo, cuando noyb ejerció el derecho de acceso a los datos personales, más del 90% de las solicitudes no recibieron una respuesta completa a tiempo. La mayoría de las solicitudes simplemente se ignoran. En comparación, el 59% de los encuestados cree que la mayoría de las empresas cumplirían "en su mayor parte" las "normas básicas" del RGPD. La experiencia práctica sugiere que la opinión de los de fuera puede ser incluso peor que la de los de dentro.
La única salida: "aplicación basada en pruebas". Si hemos de creer a los encuestados, la única solución realista a este problema es clara: una aplicación más estricta y unas resoluciones judiciales y de la APD más claras que obliguen a las empresas a ajustar su tratamiento de datos a la normativa. En el estudio figura una lista completa y detallada de las medidas propuestas. Los resultados también ponen de manifiesto la urgente necesidad de reunir más pruebas objetivas para garantizar que las autoridades (puedan) emprender una labor de aplicación eficaz teniendo en cuenta los limitados recursos. Repetir enfoques que no funcionan no conducirá a cambios prácticos en los teléfonos y ordenadores de los europeos. Los datos recogidos en nuestra encuesta constituyen un excelente punto de partida para futuras investigaciones. noyb también seguirá investigando.