Cookies: cómo un aburrido aviso se convirtió en una pesadilla regulatoria

Cookies
  • A pesar de que hubo cuatro años para preparar el terreno antes de la entrada en vigor del Reglamento General de Protección de Datos, apenas un 10% de las empresas estaban preparadas a tiempo.
  • El primer semestre de 2018 fue un caos de compañías tratando de adaptarse a última hora a la norma, de usuarios hartos de renovar consentimientos digitales y la irrupción para siempre de los avisos obligatorios de cookies en nuestras vidas.
  • Las escasas y poco ejemplarizantes sanciones impuestas al amparo del GDPR siguen siendo el punto débil de un reglamento llamado a cambiar las reglas del juego en la arena online.
  • Descubre más historias en Business Insider España.

Hace ya cuatro años que entró en vigor el Reglamento General de Protección de Datos, comúnmente conocido como GDPR, y dos desde que es obligatorio su cumplimiento.

Esta norma nació como una manera de empoderar a los consumidores a la hora de tomar las decisiones sobre cómo se tratan sus datos personales. No en vano, son muchos los usuarios que no confían en la manera que tienen de tratar sus datos las grandes empresas y negocios de internet, conformando un agitado debate público sobre el ingente poder que algunos de estos conglomerados ostentan en la era digital y cómo ello amenaza libertades individuales y colectivas de toda índole.

En una sociedad cada vez más global, digitalizada e hiperconectada, una de las grandes demandas de los usuarios es la privacidad. La privacidad se está convirtiendo en un artículo de lujo, cada vez más difícil de conseguir y mantener. Es por este clamor del consumidor que se están llevando políticas cada vez más estrictas y legislativas para garantizar que es el propio usuario quien decide qué hacer con sus datos y cómo hacerlo. Además, normas como el GDPR imponen la responsabilidad activa a las empresas de custodiar los datos personales con las máximas garantías y la debida transparencia en caso de que se produzca cualquier tipo de incidente.

Pero como toda gran revolución, todo comenzó con algo muy sencillo: las cookies. Más allá de la repostería, estas cookies son el arma más útil de las empresas digitales para conocernos cuando navegamos por internet. Para ello, los distintos sitios crean archivos en nuestro ordenador o móvil que contienen detalles de nuestros hábitos de uso digital que son recopilados, enviados y explotados por los servicios de publicidad online y multitud de agentes económicos interesados en acceder a esta valiosa información personal.

En menos de un año desde la entrada en vigor del GDPR se han detectado casi 60.000 vulneraciones de datos en Europa

Pesadilla regulatoria

Así, lo que comenzó como un aburrido aviso en la parte inferior de nuestros navegadores (que antes del GDPR podía incluso obviarse) se ha convertido en una auténtica pesadilla regulatoria para empresas y países. Pongamos el caso de nuestro país en el que, como no puede ser de otra manera, tuvimos dos años para actualizar y modernizar el tratamiento de los datos pero casi todo el mundo esperó hasta el mes de mayo de 2018 para ponerse al día. ¿El resultado? Una prisa generalizada para cumplir en unos días lo que se tendría que haber hecho en dos años; un montón de búsquedas de información sobre las consecuencias de su incumplimiento y un aluvión de correos que ahogaron a los usuarios durante semanas hablando sobre GDPR. 

Este descontrol y estas prisas provocaron que muchos negocios borrasen gran parte de su base de datos sin necesidad alguna y que se produjese una saturación en el consumidor pidiendo renovar sus permisos en newsletters y comunicaciones comerciales de todo tipo. La paranoia sobre el GDPR llegó hasta tal punto que las búsquedas sobre multas y consecuencias de su incumplimiento se dispararon durante semanas. La fiebre del GDPR duró semanas y generó mucha incertidumbre tanto en empresas como en usuarios que no sabían, pese a haber tenido tiempo de sobra, a qué atenerse ante esta situación.

De hecho, cuando apenas quedaban 100 días para la entrada en vigor del GDPR, solo el 10% de las empresas españolas estaba preparada, mientras que otro 25% tenía “planes sólidos para implementarlo”, de acuerdo a un informe que publicó IDC. El restante 65% fue el causante de la pesadilla que se vivió en aquel momento, con multitud de proveedores (consultoras, agencias de marketing, etc.) haciendo su particular agosto y las firmas de abogados saturadas con las dudas de sus clientes. Ya un año antes de su irrupción, otro estudio de NetApp anticipaba que el 70% de las empresas europeas no cumpliría con el GDPR a tiempo. 

Superado el 'shock' inicial, y con la visión de conjunto que proporciona el paso del tiempo, la mayoría de usuarios y empresas admiten a día de hoy que el GDPR ha merecido pasar por ese sufrimiento.

Para los usuarios ha supuesto un mayor empoderamiento y conocimiento sobre qué se hacían con sus datos. Son ellos los que deciden ahora quién puede escribirles y quién no y qué tipo de mensajes y contenido quieren recibir. Pero también tiene beneficios para las compañías que sí hicieron bien sus deberes en 2018.

Un estudio realizado por Capgemini a través de su Instituto de Transformación Digital asegura que las empresas que se prepararon con tiempo y que invirtieron tiempo y recursos en ponerse al día ya están recogiendo los frutos de su esfuerzo. Según este informe, los consumidores afirman que han adquirido más productos en aquellas organizaciones que protegen sus datos personales, llegando a subir este gasto un 24%. Estos beneficios se suman al aumento de la reputación de aquellas compañías que han decidido ser más “user centric” en esta materia.

Asimismo, esta ley ha servido como acicate para una regulación más competente y exhaustiva en materia de protección de datos en todo el planeta. Según Gartner, los datos del 65% de la población mundial estarán protegidos por regulaciones actualizadas en 2023. Y el GDPR ha servido de modelo para legislaciones parecidas en varios países de Latinoamérica, Asia e incluso estados norteamericanos como California.

Las multas, escasas y poco ejemplarizantes

Uno de los aspectos que más atemorizaron a las compañías del GDPR fue su aspecto sancionador. Las faltas de protección se datos menos graves se sancionan con hasta 10 millones de euros o el 2% del volumen de facturación anual de la empresa (la más alta de las dos), mientras que las más graves se sancionan con multas que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa (la más alta de las dos). 

Sin embargo, esos miedos parece que rara vez están viéndose aplicados. Salvo Google -que enfrentó una multa de 50 millones de euros-, la mayoría de sanciones impuestas han sido de escaso montante y con poco poder ejemplarizante.

De hecho, si miramos dentro de nuestras fronteras, en estos dos años Vodafone, por ejemplo, fue multada con 125.000 euros cuando no pudo probar que un cliente les había dado su consentimiento para procesar sus datos personales. La AEPD (Agencia Española de Protección de Datos) explicó que, además, la telco había divulgado ilegalmente esos datos a agencias de crédito de terceros. A su vez, Telefónica cometió un error técnico que permitió a los clientes ver datos personales de otros clientes en la web de la compañía. Inicialmente se multó a la compañía con 60.000 euros que finalmente se redujeron a 48.000.

Sin embargo, la multa más sonada hasta el momento es la emitida a la Liga Nacional de Fútbol, que se vio obligada a pagar un cuarto de millón en materia de multa por violación de protección de datos. LaLiga no informó a los usuarios de las implicaciones contenidas en una aplicación que ofrecían y que accedía de forma remota a los micrófonos de los usuarios una vez por minuto, sin su conocimiento ni consentimiento.

LEER TAMBIÉN: El GDPR decepciona 2 años después de su implantación y la UE se prepara para reforzar sus controles a las grandes tecnológicas tras la crisis del coronavirus

LEER TAMBIÉN: En menos de un año desde la entrada en vigor del GDPR se han detectado casi 60.000 vulneraciones de datos en Europa

VER AHORA: José Miguel Aparicio, CEO de Audi España: “Los vehículos se van a transformar en plataformas de software que nos conectarán con nuestros clientes”