¿Y si el GDPR fracasa?
Hace algunas semanas llamaba la atención en estas mismas hojas sobre el escaso impacto que ha tenido el Reglamento General de Protección de Datos (GDPR) en su primer año completo de vida. Apenas 114 millones de euros en sanciones registradas en toda Europa marcaban un comienzo tibio para una regulación que prometía marcar un antes y un después en la siempre delicada arena de la privacidad. Pero los números por sí solos no son más que un indicador, que ha de ser refrendado por la percepción inmediataa de aquellos involucrados en estos quehaceres.
Una constatación que esta misma semana ha destacado José Manuel Petisco, líder de Veritas en España. "Estamos asistiendo a una oleada de cambios regulatorios que crean un desafío en la gestión de los datos y a la hora de cumplir con la normativa. Pero a la hora de la verdad, hasta normativas como MIFID, orientada a la banca y el sector financiero, está imponiendo más sanciones que el GDPR", dijo esta semana en un encuentro con medios.
¿Cómo es posible que una norma sectorial tenga más efecto sobre el manejo de la información en las empresas que la más ambiciosa de las ambiciosas leyes para la protección de los datos personales? Es una pregunta sin una respuesta fácil, máxime cuando el GDPR está convirtiéndose en ejemplo para multitud de países y regiones a la hora de enfrentar el debate de la privacidad. California (con su consumer Protection Act), Australia (Privacy Principles), Canadá (PIPEDA), Sudáfrica (POPIA), Brasil (LGPD), México o Argentina se están inspirando en la norma europea para asegurar la confidencialidad de los datos y otorgar al ciudadano control sobre el uso que las compañías hacen de ellos.
Todo un orgullo para las instituciones comunitarias, una forma de extender los principios europeos en materia digital, pero que suscita -a raíz de su poco impacto por el momento- algunas preguntas: ¿Y si el GDPR no logra sus objetivos? ¿Y si tan sólo es un compendio de trabas burocráticas que no ayudan a la privacidad de los usuarios? ¿Y si los avisos por doquier de ‘cookies’ no cambian nada por completo? ¿Y si el resto del mundo está copiando algo ideado en Europa que resulta ser un equívoco mayúsculo?