Europa revoluciona la economía de la información

El Reglamento General de Protección de Datos abre puertas a los negocios, pero cierra otras tantas

Por: THIAGO FERRER MORINI

 

Madrid. Seguro que su móvil ha vivido un bombardeo estas últimas semanas: correos o mensajes de empresas, con algunas de las cuales usted no recordaba o incluso desconocía que tenía contacto, que le escriben para avisarle de su nueva política sobre las informaciones que tienen de usted. Son las primeras consecuencias en la vida de los ciudadanos del nuevo Reglamento General de Protección de Datos (RGPD), aprobado por el Parlamento Europeo en abril y que entró en vigor este viernes. Pero no son las únicas. "Aunque inicialmente se discutió como una forma de reducir las cargas administrativas y dar más certidumbre a los negocios, ese ideal no se ha reflejado en la vida real", apunta un documento de PwC. "El RGPD va a aumentar masivamente la carga administrativa y de cumplimiento normativo de las empresas". La nueva reglamentación cambia para siempre uno de los pilares más prometedores de la economía; y, aunque a la larga vaya a ser beneficioso, está claro que hasta que se asiente el polvo habrá problemas para casi todos.

Hay pocas cifras sobre el impacto de la nueva legislación en la economía, pero las que hay marean. Un estudio de Deloitte en 2013, cuando el proyecto estaba en tramitación (y elaborado por encargo de la Plataforma de la Industria de Datos, que reúne a grandes empresas del sector) hablaba de la pérdida de 65.000 millones de euros en el PIB (un 0,4% del total) y la eliminación de 1,3 millones de puestos de trabajo. Cinco años después, y con el reglamento ya aprobado, aún no hay una estimación general. "Uno de los motivos por los que es difícil cuantificar el efecto es el que cada empresa está tomando un camino diferente para adaptarse", señala Catherine O'Neill, de Citi.

Las empresas, en gran parte, tampoco se atreven a dar cifras acerca de lo que el RGPD va a suponer en sus cuentas. "No creo que sea posible hacer números específicos", apunta Dierk Schindler, director del servicio legal de la firma de servicios de datos NetApp para Europa, África y Oriente Próximo. "Hay que tener en cuenta que el efecto del reglamento va a ser muy distinto dependiendo si son compañías que actúan de cara al consumidor o si son de servicios para empresas".

Incluso muchas cotizadas no se terminan de aventurar. Sundar Pichai, consejero delegado de Alphabet (la matriz de Google) descartaba efectos significativos de la legislación en su cuenta de resultados en una presentación para accionistas. "Hay que tener en cuenta que la clave de nuestro negocio son las búsquedas, que utilizan muy pocos datos personales, básicamente lo que los usuarios nos preguntan", apuntó. Facebook da una respuesta similar. "No podemos predecir cuál va a ser el impacto, pero no esperamos que sea significativo", indican. Semanas antes, en una conferencia con accionistas, la empresa había reconocido que la entrada en vigor del reglamento frenaría el crecimiento de nuevos clientes en Europa.

Habla mucho de lo que está en juego el hecho de que, con 4.000 enmiendas presentadas en los 18 meses de su tramitación, el RGPD ha sido la pieza legislativa con la mayor participación de grupos de presión de la historia del Parlamento Europeo. Y con razón: el mercado de los datos ha dejado de ser una anécdota en la economía del continente. Según los cálculos de la Comisión Europea, valdrá en 2020 739.000 millones de euros, alrededor de un 4,5% del PIB de la Unión y más del doble que cuatro años antes. Además, de él vivían en 2016 algo más de un cuarto de millón de empresas, que daban trabajo directamente a 6,1 millones de personas (que serán más de 10 millones al final de la década). Y, sobre todo, lo que pase en Europa a partir de este reglamento (parte de la estrategia del mercado único digital) influirá, sin duda, en la política de datos del resto del mundo. Por si acaso, Facebook ha movido los datos de sus 1.500 millones de clientes no europeos de sus servidores en Irlanda.

Del cuánto al cómo

¿Qué significa el RGPD para las empresas? Para empezar, cambia el foco del valor de los datos de lo cuantitativo a lo cualitativo: ya no se trata de cuánta información se tenga, sino de cómo se tenga y cómo se pueda usar. "Más allá de las medidas concretas, lo que supone, es, sobre todo, un cambio de la cultura de gestión, con mayor formación y sensibilidad", considera Rafael García, del área internacional de la Agencia Española de Protección de Datos (AEPD).

AMÉRICA PONE SUS OJOS EN EUROPA

Una de las preguntas más repetidas a Mark Zuckerberg, consejero delegado de Facebook, en su comparecencia ante ambas cámaras del Congreso de EE UU fue: "¿Cree que una regulación como la europea podría aplicarse en Estados Unidos?". Un estudio de HarrisX, elaborado poco después del escándalo Cambridge Analytica, indicaba que el 83% de los estadounidenses aboga por una regulación más dura en caso de brechas de seguridad. Sin embargo, la idea de un RGPD americano se enfrenta a la vigorosa oposición de la Administración de Donald Trump, sistemáticamente en contra de cualquier clase de regulación. El motivo, la lucha contra el delito en Internet. "Los cibercriminales celebran el RGPD", afirmó en Twitter Rob Joyce, coordinador digital de la Casa Blanca. "Intentando proteger la privacidad de un ciudadano eliminamos la habilidad de obtener datos que permitan ver tendencias en ataques", afirmó la secretaria de Seguridad Interior, Kirstjen Nielsen.

"Lo que hace el reglamento es hacer proactiva la responsabilidad", explica José Luis Piñar, nombrado delegado de protección de datos (una figura creada, precisamente, por el RGPD) del Consejo General de la Abogacía. "Es decir, en vez de gestionar ficheros se ha de explicar por qué se toman decisiones en los flujos de datos. Todo debe quedar documentado, por lo que los sistemas de gestión deben estar diseñados pensando en la privacidad; esta no puede ser una incorporación a posteriori. Y la privacidad debe ser la opción por defecto". Además, la reglamentación desarrolla el derecho al olvido, que ya estaba vigente gracias a una sentencia del Tribunal de Justicia de las Comunidades Europeas de 2014.

Eso hace que casi todas las empresas, grandes o pequeñas, tengan que revolucionar sus sistemas de gestión de la información que tienen sobre sus clientes. El no cumplir puede salir muy caro: las multas pueden llegar a ser el equivalente el 4% de la facturación o 20 millones de euros, lo que sea más. "Hasta ahora, las empresas podían hacer cálculos sobre qué les convenía más; en determinados casos, la multa podría hasta valer la pena", comenta Piñar. "El régimen sancionador proporcional a la facturación es mucho más disuasorio".

Pero más incluso que el dinero, lo que impulsa a las compañías es la preocupación por su reputación digital. "La regulación va a aumentar la paranoia sobre filtraciones, porque las implicaciones financieras y de reputación van a ser mucho mayores", indica un informe de Citi.

Y ya hay pruebas de primera mano de los efectos que puede tener una política laxa de datos en la reputación de una empresa. El 17 de marzo, los diarios The New York Times y The Guardian revelaron que la firma Cambridge Analytica había utilizado información personal de al menos 87 millones de usuarios de Facebook para comercializar campañas electorales a la carta en dos votaciones de resultado ajustado y consecuencias muy relevantes en 2016: el referéndum británico de salida de la Unión Europea y las elecciones estadounidenses que pusieron a Donald Trump en la Casa Blanca. Las airadas reacciones tanto dentro como fuera de Estados Unidos y Reino Unido han obligado a Mark Zuckerberg, consejero delegado de Facebook, a aparecer contrito en una serie de preparadas declaraciones frente al Congreso estadounidense y el propio Parlamento Europeo.

El de Facebook no es el primer escándalo en el que están envueltos millones de datos personales. El año pasado, un ciberataque masivo se hizo con 143 millones de registros de la empresa estadounidense de análisis de crédito Equifax. Pero ambos se quedan cortos ante el ataque a Yahoo!: mil millones de cuentas comprometidas. El golpe a la empresa fue tan grave que menos de un año más tarde desaparecía, subsumida en Verizon.

Tantos escándalos mediáticos hacen aún más difícil responder a la gran pregunta: ¿qué van a hacer los consumidores con las herramientas que les ofrece el RGPD? "La pregunta es si, en estas aguas digitales, los ciudadanos van a seguir navegando en barcas de cartón", considera Efrén Díaz, profesor de reputación corporativa de la Universidad de Navarra. "Entiendo que está dentro de la libertad de cada cuál, pero está claro que los que puedan van a buscar productos que se ajusten a las normas europeas". En un sondeo de Pegasystems de diciembre de 2017, solo un 21% de los consumidores eran conscientes de la existencia del nuevo reglamento. Pero al conocer las potencialidades del texto, el 82% creían "probable" o "muy probable" el pedir la retirada de información de las bases de datos. España e Italia son los países con los usuarios más quisquillosos con sus informaciones. Lo que los usuarios rechazan, sobre todo, es que las empresas compartan sus datos con terceros: según la encuesta de Pegasystem, el 45% de los encuestados los borraría si supieran que las empresas que los tienen los utilizan para otros fines.

LOS TEMORES POR LA INTELIGENCIA ARTIFICIAL

Uno de los sectores que más teme por los efectos del RGPD es la investigación en inteligencia artificial, y, sobre todo, el aprendizaje automático ('machine learning'). "Las empresas europeas que desarrollen o utilicen la inteligencia artificial estarán en desventaja competitiva con sus rivales en Norteamérica y Asia", afirman en un documento del Centro de Innovación de Datos los investigadores Nick Wallace y Daniel Castro. Primero, porque para aprender, estos sistemas necesitan enormes cantidades de información que se espera que sean más difíciles de obtener de forma masiva por la necesidad más elaborada de permisos. Pero lo que realmente preocupa al sector es el artículo 13: cuando un algoritmo tome una decisión acerca de un consumidor, la empresa deberá saber explicar al cliente por qué ha tomado esa decisión y para qué le va a servir. Eso es complicado, con el actual estado de la tecnología. "Hoy los sistemas son tan complicados que hasta los ingenieros que los diseñan pueden tener dificultades para aislar el motivo de cualquier acción individual", explica Will Knight en la revista del Instituto de Tecnología de Massachussetts (MIT). "Y no les puedes preguntar".

Malas noticias para las compañías que se dedican, precisamente, a sacarle el máximo jugo posible a los datos de sus clientes, cuyo modelo de negocio va a tener que cambiar por completo por el nuevo reglamento. El viejo axioma de Internet "si no estás pagando por un producto, es que el producto eres tú" se va a hacer mucho más difícil, y, sobre todo, más caro. "Hay muchas industrias que confían mucho en los datos de terceras personas, y la situación se va a complicar para ellos", apunta O'Neill.

"Esto va a suponer un reto para muchas startups que cuando empiezan no tienen totalmente claro el modelo de negocio y van aprendiendo y añadiendo nuevas funcionalidades, servicios y formas de monetizar, por lo que no pueden pedir de antemano permiso para todos los usos que van a hacer de los datos.", explica Carmen Bermejo, presidenta de la Asociación Española de Startups. "Ahora eso va a ser mucho más complicado, porque tendrán que pedir más permisos e informar a los usuarios de cada nuevo uso". Es normal, pues, que en un sondeo de NetApp entre más de 1.100 directores de tecnología, el 51% de los encuestados considere que el nuevo reglamento va a suponer un daño a su reputación, el 44% crea que perderá ingresos, y el 35% piense que puede poner en peligro la propia supervivencia de su compañía.

Bajo presión

El sector de la publicidad online también está bajo presión. En 2017, los anunciantes gastaron en publicidad por Internet 209.000 millones de dólares, con lo que, por primera vez en la historia, superó a la televisión como medio preferido de publicidad. Y con razón: al contrario que la veterana televisión en abierto, que obligaba a los anunciantes a crear campañas orientadas a todos los públicos, las nuevas tecnologías permiten una precisión milimétrica a la hora de diseñar métodos promocionales.

La nueva reglamentación pone un palo en las ruedas de este modelo de negocio. "Por ahora está siendo un poco apocalíptico", confirma Paula Ortiz, directora jurídica y de relaciones institucionales de IAB Spain. "Todavía faltan muchas orientaciones sobre cómo cumplir con la normativa en un entorno tan complejo y dinámico como el nuestro. En este escenario operan multitud de actores, tratando datos y tomando decisiones en tiempo real. No obstante, esperemos que después de esta fase de ajuste se consiga el fin de un usuario más informado y con una mayor capacidad de elección". Otros gigantes del sector también son optimistas. "Hacer publicidad y proteger la información de las personas no son incompatibles", explicaba a los analistas Sheryl Sandberg, directora de operaciones de Facebook. "Los anuncios que respetan la privacidad de la gente son mejores porque muestran lo que es más probable que les interese".

Pero no son solo las empresas que gestionan grandes cantidades de datos las que están teniendo que moverse: todas están redoblando sus esfuerzos por adaptarse a este nuevo mundo. Y eso tiene un coste, tanto el ajuste de sus sistemas como en la formación de aquellos que lo gestionarán. Un estudio de EY con la Asociación Internacional de Profesionales de la Privacidad (IAPP, en sus siglas en inglés) calcula que las 500 firmas de mayor facturación del mundo gastarán 7.800 millones de dólares (6.600 millones de euros) en adaptarse al RGPD. Deloitte estima que solo en Europa harán falta 28.000 nuevos delegados de protección de datos.

Y mañana por la mañana, muchas empresas empezarán a trabajar bajo las nuevas normas ya no solo sin haberse adaptado al nuevo sistema; sin ni siquiera saber qué pasos debían haber tomado. O, al menos, eso afirma Luc Hendrickx, director de relaciones externas de la Asociación Europea de Artesanos y Pymes. "La regulación tiene 88 páginas en el Boletín Oficial de las Comunidades Europeas, y mucha de la documentación ha salido tarde y sin traducir", enumera. "Falta gente preparada para gestionar los datos según el nuevo Reglamento porque no puedes entrenar a alguien en algo que no sabes qué es. ¡La propia página web de la Comisión Belga de Protección de Datos dice que no puede responder a todas las preguntas!". Según un sondeo elaborado por PWC, en enero dos de cada tres firmas encuestadas afirmaba estar listas, aunque solo una de cada tres había empezado a implementar el reglamento.

No todo el mundo es tan pesimista. Rafael García, de la AEPD, replica que, en el caso de España, las empresas han recibido todas las facilidades, máxime cuando, gracias a la Ley Orgánica de Protección de Datos (LOPD), el país ya contaba con un sistema de protección más robusto que sus vecinos europeos. "Hemos hecho cosas en ese sentido. Hemos publicado guías para pymes, hemos creado una herramienta de tratamiento online..."

Otros sectores, como el de la banca, se declaran igualmente preparados. "Los bancos han otorgado siempre una elevada protección a los datos de sus clientes y una plena garantía en el ejercicio de sus derechos", señalan de la Asociación Española de Banca. "En los dos últimos años, nuestras entidades han ido acometiendo las adecuaciones relevantes y necesarias a sus mecanismos, procedimientos y formularios internos".

No todas las empresas pueden permitirse tener gente dedicada las 24 horas al control de los datos. Y esto ha impulsado el crecimiento del sector de los servicios de privacidad. En un año, el número de empresas que ofrecen esta clase de productos ha pasado de 44 a 143, según la IAPP. En los últimos cinco años, según un informe de CB Insights, la industria ha levantado capital por más de 4.000 millones de euros.

Para Hendrickx, todo esto deriva de una reglamentación pensada exclusivamente por y para las grandes empresas. "Las discusiones en el Parlamento y en el Consejo Europeo estuvieron totalmente dominadas por ellas; de hecho, durante un tiempo se apodó la ley Google. Y, una vez más, las pymes pagamos las consecuencias de las malas acciones de las grandes", considera. "Se dice que el registro de las actividades de tratamiento no es obligatorio para las empresas de 250 empleados o menos si no son ocasionales. ¿Qué significa ocasional? ¿Y si yo registro las nóminas de mis empleados una vez al mes?"

No todo el mundo está tan convencido de que los usuarios harán uso de sus derechos, y más si se ve la respuesta en redes sociales a la riada de correos electrónicos: muchos usuarios simplemente dan a aceptar, sin mirar. "Yo estoy guardándome todos los correos para leérmelos luego, pero ¿cuánta gente va a hacer eso?", apunta Carmen Bermejo. Y las empresas pueden sacar partido a esa incuria. "La nueva ley ofrece a Facebook la posibilidad de incluir, dentro del proceso de cumplimiento del RGPD, la posibilidad de empujar a los usuarios a confirmar activamente una multitud de nuevas actividades de recolección y utilización de información que den el visto bueno a todos los aspectos de su máquina de minería de datos", explica el analista Kalev Leetaru en Forbes.

Pero, sobre todo, lo que elimina algunos modelos de negocio crea igualmente otros nuevos. "Hay oportunidades destacables en los servicios que ayuden a los ciudadanos a gestionar mejor y de forma más consciente el tratamiento de sus datos personales", apunta Martín, de BBVA. "La nueva ley crea una nueva economía de la regulación de la privacidad", explica un informe publicado el mes pasado por un grupo de profesores del Real Instituto de Tecnología de Melbourne (Australia). "Lo que hace el Reglamento, en efecto, es titulizar el acceso a los datos, un título que puede comprarse y venderse según los derechos ejercidos por el propietario. En vez de tener los datos en si, las empresas van a tener una opción sobre ellos, dependiente del consentimiento permanente del titular".

En 2012 la Comisión Europea estimaba que la aplicación de una reglamentación común de protección ahorraría a las empresas europeas 2.300 millones de euros al año, un cálculo que ha mantenido desde entonces. "El reglamento está impulsando muchos proyectos que sirven para gobernar y entender los datos", considera Adolf Hernández, de Everis. "Creo que, a la larga, la gente va a proteger mucho más la información que tiene", afirma O'Neill. "Eso puede llevar a la consolidación de la industria y un movimiento de poder hacia los editores".

Sin embargo, para muchas compañías, se trata de empezar de cero. "Sería más fácil si no tuviéramos asentada una cultura del todo gratis, que se introdujo en su momento y que ahora la gente está acostumbrada, y hace que muchas startupsque están ofreciendo valor no sean sostenibles", considera Bermejo. "Si la publicidad va a dar menos ingresos y la gente no está dispuesta a pagar, ¿cómo lo haces?".