La importancia del RGPD continua vigente y así lo demuestran las significativas multas impuestas por las autoridades de control cuatro años después de su aplicación.
Desde la aprobación del RGPD en 2016 y su aplicación a partir de 2018, han existido algunas dudas sobre su implementación efectiva. El RGPD es una normativa europea que asegura que el tratamiento de datos personales no infringe el derecho de los sujetos a la privacidad. El objetivo del RGPD es asegurar que las organizaciones que recogen y tratan datos personales pueden garantizar métodos de cumplimiento apropiados para proteger los derechos de privacidad de los interesados. A pesar de que Reino Unido salió de la Unión Europea, el RGPD continua aplicándose, con el nombre de ‘UK GDPR’.
La falta de cumplimiento con el RGPD sigue suponiendo un impacto para grandes y pequeñas empresas, especialmente aquellas del sector tecnológico.
Se han dado varios casos de implementación del RGPD que han afectado tanto a grandes corporaciones como a pequeñas empresas. Meta Platforms es un ejemplo de gigante tecnológico que ha tenido que enfrentarse a las consecuencias de no cumplir con el RGPD, al ser multada en varias ocasiones por infracciones de esta normativa. Anteriormente, Whatsapp fue sancionado con 225 millones de euros por no informar de manera adecuada a los usuarios sobre la cesión de datos con Facebook. Más recientemente, la autoridad de supervisión de Irlanda (DPC) impuso una multa de 405 millones de euros por varios incumplimientos del RGPD que afectaban al tratamiento de datos de menores, principalmente en lo relativo al proceso de registro, que implicaba que dichos datos quedaban expuestos de manera pública. Estos ejemplos demuestran el amplio ámbito de aplicación del RGPD.
Es por tanto fundamental que las empresas de todos los tamaños lleven a cabo un proceso de documentación y evaluación de riesgos apropiado cuando decidan implementar nuevas formas de tratamiento de datos. La normativa evoluciona de manera constante como respuesta a los desarrollos en la sociedad, como es el caso de la IA y los algoritmos, y las empresas que utilizan estas tecnologías deben hacerlo de forma paralela, como las redes sociales o las plataformas de marketplace.
Empresas y organizaciones deberían revisar su cumplimiento con la normativa, especialmente en el área de transferencias internacionales.
Otro aspecto clave en la aplicación de la normativa de protección de datos son las transferencias entre empresas y sus filiales. En este sentido, desarrolló un papel fundamental la decisión del TJUE en el caso de Schrems II por la cual se invalidó el Privacy Shield que era utilizado de manera frecuente entre empresas que necesitaban transferir datos personales entre Europa y Estados Unidos. En relación a este ámbito, la autoridad de supervisión de Irlanda anunció una investigación a TikTok que fue motivada, entre otros motivos, por la transferencia de datos personales a China a través de las diversas entidades de la empresa.
Es común que las empresas tengan filiales y que se compartan datos entre todas las compañías del grupo, lo cual puede ser necesario con una finalidad de administración interna. Sin embargo, no se puede olvidar que estas transferencias también están sujetas al RGPD y deben cumplir con los requisitos aplicables. En la práctica, estas transferencias no deberían tener lugar salvo que sea bajo la implementación de las garantías necesarias, como las cláusulas contractuales tipo o las normas corporativas vinculantes o bajo alguna de las excepciones recogidas por el RGPD.
