El GDPR está en vigor desde el 25 de mayo de 2018. Después de dos años, el balance es más bien mixto. La esperanza de muchos "negadores" de que no habría sanciones a pesar de la amenaza no se ha confirmado. Sin embargo, no todos han aplicado el Reglamento General de Protección de Datos.
El GDPR causó furor desde el principio. Aunque los ciudadanos de la UE se alegraron de una mejor protección de datos, las medidas de acompañamiento por parte de las empresas, en las que normalmente había que confirmar con una firma o un correo electrónico que los datos podían almacenarse, también provocaron rápidamente el enfado de los clientes.
Por parte de las empresas, la DSGVO fue una gran sorpresa, se tenía la impresión. El reglamento ya está en vigor desde abril de 2016 y debe aplicarse definitivamente a partir del 25 de mayo de 2018. Sin embargo, muchas empresas ni siquiera pensaron en ello hasta el último día antes del plazo. A menudo, sólo se ha hecho lo "más necesario" para cumplir mínimamente la normativa. Se esperaba que ninguna autoridad se diera cuenta y que las multas fueran sólo amenazas. Incluso después de un año, según la asociación digital Bitkom, sólo el 25% de las empresas alemanas podía demostrar el pleno cumplimiento de la DSGVO.
Multas millonarias
Mientras tanto, está claro que sí se impondrán multas. Según Veritas, al menos 234 empresas han violado hasta ahora el GDPR de forma tan masiva que las autoridades de protección de datos en Europa les han impuesto multas por más de 467 millones de euros. Solo en Alemania se impusieron 187 multas el año pasado, con sanciones que ascendieron a más de 25 millones de euros.
Según una investigación publicada por el bufete de abogados DLA Piper, se han notificado unas 160.000 violaciones de datos en los 28 Estados miembros de la UE, así como en Noruega, Islandia y Liechtenstein, desde la introducción del GDPR. En los últimos doce meses, el número de violaciones de datos notificadas ha aumentado en más de un doce por ciento, según el informe.
La normativa también obliga a las empresas a notificar las violaciones de datos a las autoridades. Desde mayo de 2018, se han producido más de 21.000 incidentes de este tipo en este país. El número de casos no denunciados puede ser mucho mayor, ya que no todos cumplen con los requisitos de notificación y pueden preferir mantener los incidentes en silencio. Las conclusiones de Veritas revelan que algunas empresas están sobrecargadas con la tarea de gestionar sus datos de forma exhaustiva y, en particular, de controlar el acceso a los datos personales de forma más estricta. Los procesos internos son entonces demasiado irregulares y los responsables pasan por alto importantes fuentes de datos en las que podría haber datos personales.
La DSGVO sigue siendo un reto
Las empresas perciben cada vez más las normas de protección de datos como un desafío, según una encuesta de Bitkom. Ocho de cada diez empresas (79%) consideran actualmente que los requisitos de protección de datos son el mayor obstáculo a la hora de utilizar las nuevas tecnologías. En el año anterior, solo tres cuartas partes (74 %) lo decían, en 2018 ni siquiera dos tercios (63 %).
El conflicto entre el GDPR y la Ley de la Nube de Estados Unidos, a la que están sujetos los servicios en la nube de los proveedores estadounidenses, sigue sin resolverse. Muchos expertos opinan que sólo se pueden almacenar ciertos datos con estos servicios debido a las posibilidades de acceso del gobierno estadounidense; otros van un paso más allá y opinan que el GDPR y la Ley de la Nube de Estados Unidos son fundamentalmente excluyentes. Si las empresas utilizan servicios en la nube estadounidenses, se mueven permanentemente en una zona gris. Por ello, Tobias Gerlinger, director general de OwnCloud, reclama: "Necesitamos por fin declaraciones claras de nuestros máximos responsables de protección de datos sobre qué plataformas pueden usarse para qué datos y cuáles no, al igual que hizo el Comisario Federal de Protección de Datos y Libertad de Información cuando prohibió el uso de WhatsApp en las autoridades federales". Sin unas directrices claras, es difícil que las empresas cumplan con el RGPD de forma coherente"
Otro reto importante, según Gerlinger, es la eliminación oportuna de los datos personales. Según su experiencia, esto sigue ocurriendo con demasiada poca frecuencia en la práctica. Por un lado, esto se debe a que a menudo no hay una categorización adecuada de los datos. Por otro lado, suele faltar un soporte de software adecuado para el borrado automático.