Se habla mucho en este momento del primer ‘cumpleaños’ del GDPR. Pero realmente, el GDPR no cumple un año (fecha en que empezó a aplicarse), ni tres años (cuando el texto fue aprobado por el parlamento europeo y entró en vigor) ni 7 años (cuando aparecieron los primeros borradores del texto).
La verdad es que el Reglamento General de Protección de Datos cumpliría como mínimo 24 años, ya que podría considerarse la versión “2.0” de la Directiva Europea de 1995. De hecho, de los seis principios del GDPR (artículo 5), sólo la transparencia es un principio nuevo; las condiciones de licitud (artículo 6) tampoco cambian, sólo se actualiza el significado de consentimiento; por último, de los derechos del interesado, sólo la portabilidad de datos es realmente un derecho nuevo.
Lo que cambia con el GDPR es por supuesto las multas (hablaremos de ello más en detalle), la creación de la figura del DPD, o las obligaciones para los encargados de tratamiento (artículo 28). Estos cambios han contribuido a que nos tomemos más en serio la protección de datos.
Siguiendo con fechas, en España el GDPR cumpliría más bien 27 años, si fuera el sucesor de la LORTAD de 1992
Pero en realidad la primera ley en España que habla de protección de datos es la propia constitución de 1978. Así, el artículo 18, que forma parte de la Sección 1ª (“De los derechos fundamentales y de las libertades públicas”) del Capítulo Segundo (“Derechos y Libertades”) establece en su punto 4 que “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”
Así que en España el GDPR tendría, aproximadamente, ¡40 años!
Sin olvidar que, en Europa, la primera ley de protección de datos es del año 1970 en Alemania. ¿Tendría el GDPR 50 años, en realidad?
Como decíamos, uno de los cambios importantes ha sido la cuantía posible de las multas, que pueden ser de hasta 20 millones de euros o el 4% de la cifra mundial de negocio. Hasta la entrada en vigor del GDPR, la multa más alta posible en España era de 600,000 euros por infracción muy grave, de hecho, Facebook recibió en 2017 una multa de 1,2 millones de euros por tres infracciones. Sin embargo, desde el 25 de mayo de 2018, la multa más elevada has sido de 50 millones de euros a Google en Francia, aunque de momento parece ser un caso bastante excepcional. En España la multa más alta ha sido de 45.000€ a Vodafone por una infracción menor.
La cuantía potencial de las multas es, sin duda, uno de los factores que han hecho que ahora nos tomemos más en serio la protección de datos, pero creo que son sobre todo las diferentes fugas de datos (por ejemplo la fuga de datos sufrida por la cadena de hoteles Marriot, que se estimó podría haber afectado a 500 millones de clientes, aunque luego parecen ser “sólo” alrededor de 350 millones) y el riesgo, entre otros, de utilización política (utilización de datos de Facebook por Cambridge Analytica para influenciar la elección de Donald Trump en USA, o la denuncia en España del artículo 58bis de la LOREG, que permitiría a los partidos políticos recopilar datos sobre opiniones políticas), lo que nos ha hecho reflexionar sobre la necesidad de proteger los datos adecuadamente, para así poder proteger a las personas.
Porque el GDPR no es una ley para proteger a los datos, sino para proteger a las personas (‘Reglamento… relativo a la protección de las personas físicas’). Y este es un camino que, en España, empezamos hace 40 años.