Todos los artículos del blog

Actualización del RGPD: Año Uno

El Reglamento General de Protección de Datos (RGPD) afecta a cómo tu web puede realizar el seguimiento de los visitantes procedentes de la UE. 

Actualizado el 26 de abril, 2021.

Un año ha pasado desde que el europeo RGPD (Reglamento General de Protección de Datos) entró en vigor el 25 de mayo de 2018.

Una visión global de la situación un año después revela tanto retos como promesas en cuanto a su aplicación y efectos.

¡Aquí va una actualización del RGPD por su aniversario!

Recordatorio: ¿Qué es el RGPD?

El RGPD, o Reglamento General de Protección de Datos, es una ley de la UE que regula cómo las empresas, organizaciones y otras entidades manejan el uso de datos personales. Su jurisdicción es global, ya que requiere que cualquiera que trate con datos personales de ciudadanos de la UE acate sus reglas y normas.

El RGPD otorga a los europeos el control sobre qué datos desean compartir, así como permitirles pedir que se eliminen su información recopilada.

Lee más en detalle sobre el RGPD aquí.

Lee el texto oficial del RGPD aquí.

GDPR awareness amounts to 67% of EU citizens
Eurobarómetro especial de la de la Comisión Europea disponible aquí.

Si posees una página web, lo más probable es que tengas cookies y otras tecnologías de seguimiento operativas en tu sitio y que por tanto debas cumplir con las reglas del RGPD.

Esto incluye:

  • obtener el consentimiento claro e inequívoco de los usuarios,
  • previamente a cualquier tratamiento de datos personales,
  • tras especificar todos los tipos de cookies y otras tecnologías de seguimiento presentes y que se encuentren operativas en sus páginas,
  • de una forma comprensible que permita a los usuarios prestar o denegar su consentimiento a cada categoría de cookies específica,
  • para después ser capaz de registrar de forma segura y confidencial el consentimiento de cada usuario.
  • El consentimiento debe ser renovado cada año. Sin embargo, algunas de las guías nacionales de protección de datos recomiendan una renovación más frecuente, por ejemplo, cada 6 meses. Comprueba cuál es la postura de tu guía nacional de protección de datos para cumplir con la ley.

¿Tienes dudas sobre si tu página web cumple con el RGPD? Compruébalo con el test de cumplimiento gratis de Cookiebot™.

Prueba Cookiebot™ durante 14 días… O para siempre si tienes una página web pequeña.

Gestión del consentimiento por el RGPD un año después

Si tienes una página web que ofrezca sus servicios en la UE, estás legalmente obligado a cumplir con el RGPD.

Esto significa que debes seguir sus requisitos sobre cómo manejar los datos e información personal de los usuarios.

Emplear un software de gestión del consentimiento como la CMP (del inglés Consent Management Platform) Cookiebot™ puede hacer que cumplas al 100% el RGPD.

Regístrate y pruébalo de forma gratuita hoy.

Resumen de la aplicación del RGPD

Tras un año de la entrada en vigor del RGPD, poco a poco empezamos a ver su impacto.

GDPR enforcement in year one of the law
Eurobarómetro especial de la de la Comisión Europea disponible aquí.

Aunque las multas contra empresas y negocios que violan el RGPD han tardado en aumentar, sus efectos también se pueden ver en las nuevas leyes de privacidad en todo el mundo, así como su papel instigador de debates públicos sobre la privacidad.

¿Cómo puede aplicarse el RGPD?

El RGPD puede aplicarse de varias maneras, incluyendo:

  • Avisos.
  • Multas de hasta 20 millones € o el 4% de la facturación anual de la empresa, dependiendo de cuál sea mayor.
  • Inspecciones de protección de datos dirigidas por la Comisión Europea.
  • Restricciones temporales o permanentes de la capacidad de una entidad de procesar y/o recopilar datos.
  • Prohibición de operar en la Unión Europea.

De momento, la aplicación más común del RGPD ha sido mediante avisos y multas.

Common types of GDPR complaints
Eurobarómetro especial de la de la Comisión Europea disponible aquí.

Multas del RGPD durante el Año Uno

La suma de todas las multas derivadas del RGPD tras un año de su entrada en vigor suman un total aproximado de 56.000.000 €, de acuerdo con la IAPP.

La multa media por el RGPD ha sido hasta ahora de unos 70.000 €, según la empresa de contabilidad londinense Ernst & Young.

Infographic of GDPR enforcement in the EU
La aplicación del RGPD en cifras (infografía de la IAPP).

La mayoría de los casos de aplicación del RGPD hasta ahora han sido discrecionales, es decir, se han impuesto caso por caso.

Las sanciones se diferencian en función de qué artículos del RGPD viola una empresa: si viola sus propias obligaciones, estará sujeta a multas de menor nivel, mientras que las violaciones de los derechos individuales de privacidad estarán sujetas a multas de mayor nivel.

Alemania, Polonia, Dinamarca, Austria y Portugal se encuentran entre los estados miembros de la UE que han multado a empresas y organizaciones por violar el RGPD durante este primer año.

Francia lidera la aplicación del RGPD en el Año Uno

La autoridad de protección de datos francesa, la CNIL, puede considerarse, con razón, el principal organismo de control del RGPD, tanto en lo que respecta a la aplicación como a la orientación hasta el momento.

La CNIL recibió alrededor de 11.000 denuncias en 2018 – un incremento del 32,5% desde el año anterior – y un amplio porcentaje de estas se han centrado alrededor del derecho introducido por el RGPD a pedir que se eliminen los datos personales recopilados online. La APD francesa también ha sido ejemplar a la hora de orientar a las empresas en el cumplimiento del RGPD, así como de asesorar la legislación gubernamental.

La mayor aplicación monetaria del RGPD hasta ahora también surgió de la mano de la CNIL, el 21 de enero de 2019, cuando la autoridad de protección de datos francesa impuso una sanción de 50 millones € a Google por tres violaciones individuales del RGPD: falta de transparencia  (Artículo 12), información inadecuada (Artículo 6) y falta de consentimiento valido respecto a la personalización de anuncios (Artículo 7).

La sanción de 50 millones de € fue el resultado de una investigación iniciada a partir de dos denuncias colectivas de las asociaciones de defensa de la privacidad None of Your Business (noyb) y La Quadrature du Net (LQDN), que acusaron a Google de infringir el RGPD en lo que respecta al procesamiento de datos personales, particularmente en el caso de la publicidad personalizada.

“Por primera vez una autoridad de protección de datos europea utiliza las posibilidades del RGPD para castigar claras violaciones de la ley”, ha dicho el presidente de noyb, Max Schrems.

Estas denuncias se presentaron ante la APD francesa el 25 y 28 de mayo de 2018, es decir, el primer y tercer día tras la entrada en vigor del RGPD. El hecho de que la CNIL tardara seis meses en investigar y aplicar la ley, nos da una pista sobre el tiempo que lleva la aplicación de grandes casos del RGPD…Y esto puede insinuar que casos de aplicaciones mayores están por venir.

GDPR fines distributed across the EU
Eurobarómetro especial de la de la Comisión Europea disponible aquí.

Irlanda, un desafío y una promesa

Técnicamente, Irlanda tiene el singular papel de ser el regulador principal del RGPD.

¿Por qué, te preguntarás?

Pues bien, debido a que una disposición del RGPD especifica que su regulador principal debe ser el país que albergue al controlador de datos de una empresa tecnológica, y debido a que Irlanda es la sede europea de muchas grandes empresas tecnológicas como Facebook y Google, que disfrutan de acuerdos fiscales laxos del gobierno irlandés, Irlanda tiene la responsabilidad de liderar la aplicación del RGPD contra las grandes empresas de la industria.

Tanto la APD alemana como la francesa han expresado su frustración por la falta de aplicación de la APD irlandesa.

Ireland is a tax haven for GPDPR non-compliant companies
Irlanda lleva años atrayendo a empresas tecnológicas con sus bajos impuestos de sociedades.

Sin embargo, la APD irlandesa reveló recientemente que su oficina planea anunciar acciones de aplicación este verano, además de que actualmente tienen abiertas 51 investigaciones de privacidad de gran escala, 17 de las cuales están relacionadas con empresas tecnológicas como Twitter, WhatsApp, Instagram, LinkedIn y Apple, mientras que 7 casos implican específicamente a Facebook.

El 22 de mayo de 2019 – tres días antes del aniversario del RGPD – la Comisión de Protección de Datos (CPD) irlandesa anunció una investigación exhaustiva de la empresa DoubleClick de Google (entretanto rebautizada como Authorized Buyers) por “presunta infracción” del tratamiento de datos personales. La investigación se inició a raíz de una denuncia formal del Dr. Johnny Ryan, jefe responsable de políticas de Brave, el navegador privado.

Esta investigación podría llevar a severas multas contra Google, o incluso a algo peor para la empresa: la prohibición total de utilizar datos personales en su sistema publicitario. El RGPD está mostrando los dientes de verdad.

Un año tras la entrada en vigor del RGPD, hemos visto principalmente multas menores, pero ahora hemos empezado a ver investigaciones y sanciones cada vez mayores en el horizonte, precisamente porque los casos de aplicaciones más grandes contra los pesos pesados de la industria necesitan mucho tiempo para construirse y ejecutarse.

Es por ello por lo que los expertos en privacidad afirman que esperan que las multas más grandes por el RGPD estén en camino.

Otras técnicas de aplicación del RGPD

El RGPD autoriza a las agencias nacionales de protección de datos a ser los principales organismos encargados de hacer cumplir la ley. Esto significa que las APDs nacionales pueden multar a las empresas (hasta un máximo de 20 millones € o el 4% de su facturación anual), o pueden dictar cómo o qué datos pueden utilizar las empresas en su negocio.

Esto último puede aplicarse, por ejemplo, en el caso de una violación de datos, cuando los reguladores consideren que una empresa está siendo negligente. En este caso, pueden dar un ultimátum a la empresa para que rectifique la violación en un plazo de 90 días o deje de utilizar los datos que ha recogido.

Data breaches reported under the GDPR
Eurobarómetro especial de la de la Comisión Europea disponible aquí.

Si una compañía depende de la recopilación de datos como modelo de negocio principal para obtener beneficios, esto potencialmente podría ser un golpe más duro que una multa, por muy grande que sea.

De momento, solo han existido dos ejemplos del estilo:

  • La APD neerlandesa ha prohibido a las autoridades fiscales del país, desde el 1 de enero de 2020, el uso de inúmeros de identificación nacional como parte de su sistema de números de declaración de impuestos.
  • La APD maltesa prohibió temporalmente al registro nacional de la propiedad de su país el tratamiento de datos mientras investiga a la autoridad.

RGPD como foco iniciador de ondas: leyes de privacidad en todo el mundo

Un año tras la entrada en vigor del RGPD, empezamos a ver otro de sus efectos que no tiene que ver con las multas o su aplicación, sino con el cambio legal: lo que el jefe de privacidad global de LinkedIn llamó recientemente “la RGPDización de las leyes en todo el mundo”, lo que se refiere a que leyes están surgiendo en todo el planeta que toman forma inspirándose en el alcance y fuerza del RGPD.

CCPA, California Consumer Privacy Act will take effect January 2020
La Consumer Privacy Act de California (CCPA) es la ley de privacidad más fuerte de EEUU y entró en vigor el 1 de enero de 2020.

Entre las nacionales o estados del mundo que han aprobado o están en proceso de aprobar leyes de privacidad se encuentran:

  • Brasil, cuya LGPD entró en vigor en agosto de 2020.
  • California, cuya CCPA entró en vigor el 1 de enero de 2020.
  • India, cuya PDPA (Ley de Protección de Datos Personales de 2018) ha sido redactada, pero aún no se ha aplicado.

Argentina, Israel, Chile y China se encuentran entre otras naciones que están trabajando en sus respectivas leyes y reglamentos de privacidad.

Conciencia pública sobre la industria de la tecnología publicitaria y la privacidad

Cuando entró en vigor el 25 de mayo de 2018, el RGPD fue una de las principales palabras clave de búsqueda en Google, superando tanto a Beyoncé como a la Reina de Inglaterra.

Ya no lo es, pero su alcance generalizado todavía se puede sentir. El efecto del RGPD también ha sido el de fomentar un debate público sobre la privacidad que sigue siendo intenso a día de hoy.

Awareness of data protection authorities
Eurobarómetro especial de la de la Comisión Europea disponible aquí.

Su fecha de entrada en vigor coincidió más o menos con la revelación sobre el escándalo de Facebook/Cambridge Analytica, quizá la mayor y más sonada crisis de privacidad del pasado año, solo rivalizada por interferencia digital del gobierno ruso en las elecciones presidenciales de Estados Unidos.

Algunos de los principales medios de comunicación en el mundo han informado continuamente sobre el RGPD y la privacidad en general sigue siendo un gran tema recurrente, por ejemplo, el NY Times con su serie de artículos titulada The Privacy Project.

Preguntas frecuentes

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es una ley que abarca a toda la UE que regula el tratamiento de los datos personales de los individuos dentro de la Unión Europea. El RGPD requiere que las páginas web que empleen cookies y rastreadores de terceros deban pedir y obtener el consentimiento explícito de los usuarios antes de activarse y procesar sus datos personales.

Lee más sobre el RGPD y el consentimiento al uso de cookies

¿Qué es un consentimiento al uso de cookies válido según el RGPD?

Un consentimiento al uso de cookies válido según el RGPD es aquella acción de los usuarios, clara y afirmativa, que de forma inequívoca indica sus deseos. Los banners de consentimiento de cookies en las webs deben desactivar las cookies por defecto sin casillas pre-marcadas, de forma que los usuarios activamente seleccionen y activen aquellas cookies y rastreadores a las que les permitan procesar sus datos personales.

Aprende más sobre el consentimiento válido en la UE

¿Quién se encarga de hacer cumplir el RGPD?

Las autoridades de protección de datos de cada país miembro de la UE se encargan de hacer cumplir el RGPD. El incumplimiento puede ser sancionado con multas de hasta 20 millones € o un 4% de la facturación anual de la empresa. El principal organismo supervisor del RGPD es el Comité Europeo de Protección de Datos (CEPD), compuesto por representantes de cada autoridad nacional de protección de datos.

Más información sobre el cumplimiento del RGPD aquí

¿Cómo puede mi página web empezar a cumplir con el RGPD?

Tu página web puede emplear una plataforma de gestión del consentimiento que sea capaz de escanear y detectar todas las cookies y rastreadores, para después automáticamente controlarlos de forma que el usuario pueda dar su verdadero consentimiento a aquellas a las que permita procesar su información personal.

Prueba Cookiebot™ gratis durante 14 días para cumplir totalmente con el RGPD

Fuentes

Prueba Cookiebot™ gratis para cumplir con el RGPD.

Lee más en detalle sobre el RGPD aquí.

Lee el texto oficial del RGPD aquí.

Infografía del primer año del RGPD (en inglés).

Las multas medias del RGPD en su primer año de vigencia, según Ernst & Young (en inglés).

La ICO de Reino Unido y sus 57 aplicaciones del RGPD (en inglés).

Lista de los mayores casos de aplicación del RGPD hasta la fecha (en inglés).

Politico analiza la falta de aplicación por parte de Irlanda, el principal ejecutor del RGPD (en inglés).

Todos los detalles del escándalo Facebook/Cambridge Analytica (en inglés).

Los hechos de la interferencia rusa en las elecciones presidenciales estadounidenses de 2018 (en inglés).

    Mantente al día

    Únete a nuestra comunidad de entusiastas de la privacidad de datos en expansión ahora. Suscríbete a la newsletter de Cookiebot™ para poder recibir las últimas actualizaciones directamente en tu bandeja de entrada.

    Clicando en “Suscribirme” confirmo que quiero suscribirme a la newsletter de Cookiebot™. Puedo retirar este consentimiento clicando en el botón para darme de baja o simplemente escribiendo a [email protected]. Consultar la Política de privacidad.