Tribuna originalmente publicada en Expansión.
a cita de este 28 de enero, Día Europeo de Protección de Datos, está marcada por la próxima entrada en vigor del reglamento ePrivacy, una norma adicional al reglamento general de protección de datos (RGPD), que, con cuatro años de retraso, no parece traer grandes cambios. Es momento de hacer balance.
Las distintas autoridades de control de los países miembros de la UE han sido muy activas interpretando el RGPD, normativas conexas y normativas locales. En el caso de España, la Agencia Española de Protección de Datos (AEPD), ha publicado nada menos que 43 guías en los dos últimos años, lo que es loable. El problema radica en la disparidad de interpretación de las distintas autoridades de control de los distintos Estados miembros en aspectos esenciales. Por ejemplo, la AEPD, en su guía sobre cookies, permite su instalación con una aceptación tácita si el usuario continúa navegando por el sitio web. Sin embargo, el Comité Europeo de Protección de Datos exige consentimiento. ¿A quién hacemos caso?
En esencia, la disparidad de interpretación diluye la intención de fondo de la normativa europea de protección de datos: su armonización en los estados miembro. Esto provoca una tremenda inseguridad y la preocupación no es baladí: cabe recordar que las sanciones son cuantiosas.
Esta disparidad también repercute en cómo las empresas pueden acreditar que han aplicado correctamente el RGPD y que, por tanto, no se les sancione ante una brecha de seguridad. Actualmente, no están claras las medidas de seguridad mínimas exigibles para demostrar la diligencia de una compañía ante un ataque.
La inseguridad jurídica afecta no solamente a las empresas, de hecho, es la ciudadanía quien sufre las consecuencias finales. En este sentido, cabe destacar que, aunque se ha incrementado la concienciación en materia de privacidad gracias a la actividad de los medios de comunicación y al conocimiento de diversos escándalos en esta materia, no se percibe una mayor protección.
En este contexto, las brechas de seguridad siguen creciendo a un ritmo exponencial, cientos de millones de contraseñas en claro en la deep web, tanto personales como de dispositivos IoT, accesibles por cualquier persona con unos mínimos conocimientos y que sea hábil buscando en Google. Personalmente, me preocupa más que tengan mis credenciales de acceso a distintos servicios en Internet, email, bancos, servicios sanitarios, etcétera, a que me envíen comunicaciones comerciales no consentidas vía email. Lo segundo es una molestia, pero lo primero puede tener unas consecuencias tremendamente serias. El principal problema radica en la educación al usuario, pero una mayor seguridad jurídica ayudaría.
Las perspectivas a futuro no parecen mejorar. Las brechas de seguridad aumentarán, y la protección al ciudadano frente a las empresas tecnológicas en Internet disminuirá si finalmente se cede a la presión de los lobbies.