Desde que el GDPR (Reglamento General de Protección de Datos) entró en vigor en 2018, los ciudadanos de la Unión Europea tienen una privacidad y una protección de datos más fuertes. Sin embargo, la ley dista mucho de ser perfecta, y las grandes empresas tecnológicas, los abogados del sector y los grupos de presión se aseguraron de utilizar todas las herramientas de su arsenal para eludir las disposiciones del RGPD (mediante una interpretación errónea) o para influir en la opinión pública sobre la ley, de modo que el consumidor no les culpe a ellos de las infracciones, sino al propio RGPD. En los últimos años, esto ha dado lugar a una serie de conceptos erróneos sobre la protección de datos y el RGPD en particular. Por ello, en honor al Día de la Protección de Datos de este año, noyb aclara 5 de los conceptos erróneos más comunes.
1. El GDPR obliga a las empresas a utilizar banners de cookies
Esto es incorrecto. El GDPR no obliga a los sitios web a utilizar banners de cookies. En cambio, las empresas están obligadas a obtener su consentimiento explícito si quieren rastrear sus movimientos en línea. Normalmente, esto se hace para mostrarle anuncios personalizados basados en sus intereses. Las empresas optaron por pedir su consentimiento con los banners de cookies y a menudo culpan al GDPR por ello.
Pero eso no es todo: Para maximizar las tasas de consentimiento -y, por tanto, los beneficios-, muchos sitios web utilizan banners de cookies intencionadamente engañosos que hacen (casi) imposible denegar o retirar el consentimiento.
Así que, la próxima vez que veas un banner de cookies, recuerda que no existen por el GDPR, sino porque una empresa quiere lucrarse con tus datos personales.
2. Las empresas deben temer las sanciones de las autoridades de protección de datos
Desgraciadamente, las autoridades de protección de datos (APD) solo recurren a medidas de aplicación estrictas en casos excepcionales. Un análisis de noyb sobre la actividad de las APD entre 2018 y 2023 mostró que solo el 1,3% de los casos terminan en una multa. El CPD irlandés, que es responsable de la mayoría de las principales empresas tecnológicas (Meta, Google, Apple, OpenAI, Microsoft y muchas más), incluso emite multas en solo el 0,26 % de los casos que tramita. E incluso si el CPD irlandés impone una multa, apenas casi nunca recauda el dinero, como informan los medios de comunicación.
Sabemos por nuestros casi 900 casos que los procedimientos se alargan a menudo durante varios años, sólo para que la empresa quede libre con una advertencia. En algunos casos, la APD incluso ha cambiado de función para asesorar a la empresa que ha infringido la ley de protección de datos. Por ejemplo: En 2024, noyb llevó a los tribunales a la DPA de Hamburgo por discrepancias en un caso Pay or Okay contra la revista alemana de noticias SPIEGEL. Durante el procedimiento ante la autoridad, la DPA de Hamburgo estuvo en estrecho contacto con SPIEGEL. En lugar de investigar y decidir imparcialmente, también se reunió varias veces con representantes de la empresa, les invitó a sus instalaciones y les proporcionó información sobre los cambios propuestos en su aplicación de Pay or Okay. Por los gastos administrativos del procedimiento, la autoridad de Hamburgo cobró a SPIEGEL 6.140 euros. Más barato que prácticamente cualquier abogado.
En definitiva, desgraciadamente es un error pensar que las empresas tienen que temer graves consecuencias de las autoridades de protección de datos por violar el derecho fundamental a la protección de datos.
3. La publicidad tiene que ser personalizada, de lo contrario nadie la compraría y la industria publicitaria quebraría
La afirmación de la industria publicitaria de que NECESITA rastrearle a través de Internet y atosigarle con engañosos banners de cookies para mantener su negocio es más que controvertida. De hecho, existen muchas formas alternativas de monetizar un sitio web, como la publicidad contextual, la colocación de productos, los contenidos de pago o los modelos freemium, en los que determinados contenidos sólo están disponibles previo pago.
Incluso estudios científicos plantean dudas sobre la rentabilidad -y, por tanto, la necesidad- del seguimiento de anuncios, tal y como afirma la industria publicitaria. Un estudio estadounidense de 2019 muestra, por ejemplo, que el uso de datos personales solo aumenta los ingresos de un sitio web en torno al 4%. "Esto corresponde a un aumento medio de 0,00008 dólares por anuncio", concluye el estudio.
Pero hay ejemplos aún más extremos: El ente público de radiodifusión holandés NPO llegó a informar de un aumento de los ingresos una vez que abandonó la publicidad dirigida.
Esto deja claro que hay soluciones alternativas a que las empresas te rastreen por internet.
4. El RGPD interfiere en la libertad de empresa
No, no interfiere. La libertad de empresa, tal y como se establece en la Carta de los Derechos Fundamentales de la UE, establece claramente que usted tiene la "libertad de empresa de conformidad con el Derecho de la Unión y con las legislaciones y prácticas nacionales".
Esto significa que las empresas deben cumplir la ley, ya se trate de fiscalidad, protección del medio ambiente, protección de datos o privacidad. No existe ningún derecho fundamental a dirigir una empresa que se anteponga a sus obligaciones legales, aunque a muchas empresas les encantaría.
Además, la libertad de empresa significa que se puede ejercer una actividad económica. Por ejemplo, eres libre de ser farmacéutico, y no es necesario que uno de tus padres lo haya sido. Por supuesto, también un farmacéutico tiene que cumplir la ley. Lomismo ocurre con las grandes empresas tecnológicas y de otro tipo.
5. La gente abusa de su Derecho de Acceso e inunda a las empresas con solicitudes de acceso
A pesar de que el derecho de acceso contemplado en el artículo 15 del RGPD es esencial para conservar al menos un poco de control sobre los datos personales en la era digital, algunas empresas se están movilizando en su contra, alegando que exigiría un "esfuerzo desproporcionado". Estas afirmaciones de los grupos de presión llegaron incluso a aparecer en un documento de posición alemán, en el que se describían las solicitudes de acceso como cada vez más "mal utilizadas".
Sin embargo, la realidad ni siquiera respalda esta afirmación. La ley ya contiene salvaguardias para evitar un abuso: Según el artículo 12, apartado 5, del RGPD, las empresas pueden cobrar una tasa razonable o incluso rechazar las solicitudes si "son manifiestamente infundadas o excesivas, en particular debido a su carácter repetitivo".
Además, la inmensa mayoría de las empresas que operan en la UE no trabajan con un uso tan intensivo de datos como para recibir muchas solicitudes de acceso. En una encuesta de noyb (que se publicará próximamente), el 73,3% de los responsables de protección de datos (RPD) afirmaron que el derecho de acceso apenas genera trabajo. Por el contrario, las grandes empresas suelen limitarse a ignorar las solicitudes de acceso de los consumidores o a retener parte de la información a la que tienen derecho por ley. El intermediario publicitario Xandr (filial de Microsoft), por ejemplo, informó de un asombroso índice de respuesta del 0% a las solicitudes de acceso y borrado en 2022.
Además, la mayoría de las grandes empresas tecnológicas ya han implementado algún tipo de herramienta de automatización que les permite cumplir con las solicitudes de acceso GDPR a escala masiva, por lo general a través de una herramienta de "descarga de su información", pero siguen sin proporcionarle todos sus datos.
En otras palabras: las empresas tienen los medios para atender las solicitudes de acceso sin una carga de trabajo significativa. Simplemente no quieren darle acceso a la información procesada.
6. Error de bulto: con miles de millones de euros en multas impuestas, noyb debe de ser rica
Por supuesto, noyb no recibe ninguna de las multas impuestas por las autoridades de protección de datos. Cuando una APD recauda multas, el dinero va a parar al presupuesto estatal del país en el que tiene su sede la autoridad (o en España directamente a la autoridad de protección de datos).
el trabajo de noyb por un futuro más respetuoso con la privacidad sólo es posible gracias a nuestros 5.400 miembros colaboradores. Si usted también quiere contribuir a nuestra causa, puede obtener más información sobre nuestras afiliaciones aquí. También puede ponerse en contacto con nosotros en info@noyb.eu si tiene alguna pregunta.
