La nueva ley de protección de datos, o como el Estado tendrá que multarse a sí mismo

El próximo 25 de mayo el Reglamento General de Protección de Datos (RGPD o GPDR por las siglas en inglés de General Protection Data Regulation) será de obligado cumplimiento para todos los países de la Unión Europea y para todas las personas o empresas que presten su actividad o vivan en ellos, sin importan su bandera de procedencia.

Esta normativa modificará la Ley Orgánica de Protección de Datos (LODP) que hasta finales de este mismo mes todavía estará en vigor. La ley española se ha adaptado para cumplir con la europea, si bien las autoridades continentales han dado bastante aire a las de cada país para que legislen de acuerdo a las particularidades de su mercado, siempre que no se contradiga de manera explícita los dictados del RGPD.

Las nuevas normas tienen la importante misión de blindar a los ciudadanos ante el manejo que hacen de sus datos los gigantes de internet, que a partir de ahora tendrán que ser más transparentes y explícitas en su relación con sus usuarios.

La filtración de millones de cuentas, en España más de 200.000, de Facebook a Cambridge Analytica que cambiaron el rumbo de campañas políticas tan importantes como las presidenciales estadounidenses o el Brexit han puesto de manifiesto que una normativa así se antoja necesaria. Twitter reconocía este mismo jueves que un problema en el cifrado a la hora de almacenar las contraseñas podría haber afectado a todos usuarios y pedía que todos cambiaran sus claves.

Si bien la normativa está pensada para acotar las ya imparables redes tejidas por los gigantes estadounidenses, contemplando incluso multas multimillonarias, las grandes afectadas por la regulación continental no van a ser ellas.

Peligro público

Por mucho que quieran crecer Facebook, Google o Twitter, ninguna de ellas va a poder igualar la cantidad de datos personales que manejan de manera diaria las Administración Públicas. En España, prácticamente todas las agencias y organismos públicos apenas tienen que introducir un nombre en la base de datos para conocer al detalle casi toda la vida de una persona.

Y no hablamos únicamente de cosas de relativa importancia como el email, el nombre o el número de teléfono, si no de datos vitales como los datos financieros, el historial médico o nuestros antecedentes penales en caso de haberlos.

Por supuesto, las Administraciones también tendrán que cumplir las nuevas normas que serán obligatorias a partir del próximo 25 de mayo, aunque no se enfrentan a unas consecuencias igual de graves que las empresas privadas.

En caso de que Facebook incumpla alguna de las directrices de la RGPD tendrá que pagar una multa de hasta el 4% de sus ingresos, por lo que la factura puede ser muy importante en caso de que los casos se acumulen.

Con esta nueva normativa las sanciones contra los organismos públicos, que tendrán que ser aplicadas por las agencias de protección de datos locales, existirán, pero no tendrán que pagarlas los contribuyentes. Significarían un trasvase de presupuestos y la cantidad supondría un aumento del déficit público, una de las cifras macroeconómicas que más vigila Bruselas.

Eso supondría que, si un organismo público como es la Agencia Española de Protección de Datos (AEPD), impusiera una multa a, por ejemplo, una Comunidad Autónoma tras la denuncia de un usuario, la cantidad podría acabar suponiendo un problema para las cuentas estatales del ejercicio. Grosso modo, el Estado se multaría a si mismo.

Antecedentes en la ley

Hasta el próximo 25 de mayo la legislación de protección española de datos seguirá siendo competencia exclusiva de la AEPD, gracias a una regulación que ha sido modificada en los últimos tiempos para ir amoldándose a las exigencias europeas.

Sin embargo, esta normativa cuya versión 2.0 llegará en unos días no contempla las multas a las Administraciones Públicas, lo que podría significar un precedente que podría continuar sin cambios una vez que la RGPD este funcionando al 100%.

Dada la flexibilidad que otorga la normativa acordada por los 28 miembros de la Unión Europea, es muy posible que los reguladores españoles mantengan fuera estas multas contra organismos públicos.

La LOPD dictaba en su versión primigénia, y según rezaba el artículo 46, que cuando "las infracciones fueran cometidas en ficheros de los que sean responsables las Administraciones públicos, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción".

Por tanto, tendrá que ser un cargo público el que decida sobre las consecuencias de una infracción. En ningún momento se habla de multas en los cuatro puntos del artículo, aunque sí se mencionan "actuaciones disciplinarias, si procedieran", que también deberán ser puestas en marcha por el máximo cargo de la AEPD.

Una regulación compleja

El Reglamento General de Protección de Datos es tremendamente complejo. Ni siquiera los expertos en la materia son capaces de llegar a puntos comunes en muchos de los aspectos que va a cambiar esta nueva norma europea, sobre todo en lo que a competencias se refiere.

Todos los países tendrán que hacer cumplir sus propias versiones de la ley, y luego será un comité europeo el que hará las veces de árbitro cuando se produzcan conflictos por la jurisdicción de cada uno.

Sin embargo, debido a la amplitud de conceptos que pretende proteger, esta norma será difícil de cumplir en su totalidad. De hecho, las autoridades europeas ya están preparadas para realizar una suerte de inspecciones de mínimos, en las que comprueben que las empresas tienen de verdad la intención de cumplir la ley y asesorándolas en cómo puede mejorar, siempre y cuando ciertos puntos básicos estén cubiertos.

Los grandes actores de internet estadounidenses, como Google o Facebook, van a tener que andarse con especial cuidado. Todos los ojos van a estar puestos en ellos, con más intensidad si cabe después de los escándalos de Cambridge Analytica.

El propio CEO de Google, Sundar Pichai, afirmaba en la última conversación con sus accionistas, hace unos pocos días, que llevan más de 18 meses preparándose para cumplir con la ley europea y adaptando su modo de trabajar en el Viejo Continente. Todo sea por no repetir una batalla como la que mantuvieron con una de sus grandes enemigas: la comisaria de Competencia de la Unión Europea, Margrethe Vestager.