Skip to content

BLOG

Novedades, ideas y reflexiones varias.

¿Quién gana con el GDPR?

Sigue abierto el debate sobre el impacto real del RGPD/GDPR a muchos meses ya de su entrada en vigor. No solo por el valor que pueda aportar al ciudadano de a pie, sino también por la forma en que el nuevo marco regulatorio redefine el tablero competitivo en la arena digital.

Esto último sigue resultándome especialmente interesante. Al menos mientras avanzamos un poco más en en el frente de la concienciación social sobre derechos individuales, o el valor real de la transparencia y toma de control.

Me parece bastante obvio que quien más capacidad de partida tiene para afrontar una nueva carga regulatoria parte con ventaja en un escenario de tabla rasa. Bajo este criterio, toda gran empresa, en tanto que ostentadora de presupuestos y departamentos específicos (compliance, legal, seguridad de la información, etc.), obtiene una ventaja competitiva frente a nuevos entrantes partiendo de cero y necesariamente volcados en tareas fundamentales para la subsistencia del negocio.

En otras palabras, una startup con tres empleados no puede permitirse dedicar el tiempo completo de uno de ellos a gestionar un programa de protección de datos.

En la dirección opuesta, resulta también lógico que una empresa con cierto recorrido histórico, bajo el peso de sistemas y repositorios de datos existentes, sufrirá mucho más en su adecuación que quien parte de cero en un escenario post-GDPR, bajo principios de Privacidad desde el diseño o contando al menos con una buena perspectiva de posibilidades técnicas y servicios disponibles en alineación con el nuevo marco legal.

¿Qué pesa más en la balanza? A efectos de cumplimiento “sustantivo”, y aún con el trabajo mastodóntico (e inversiones multimillonarias) que ha supuesto para las empresas más representativas de cada industria, sigo pensando que el GDPR penaliza más a quien no tiene recursos para siquiera comenzar a plantearse sus básicos principios. Cosa diferente, como trataba aquí el otro día, es que el tamaño de la empresa determine igualmente su vulnerabilidad frente a las autoridades de supervisión.

Llegando con ello al asunto más peliagudo: ¿Favorece el GDPR a las grandes plataformas digitales?

Sin entrar ahora a considerar los casos de Amazon, Apple o Netflix (por su muy diferente naturaleza), Facebook y Google sí parecen estar idealmente posicionadas para obtener importantes réditos, con todo lo contradictorio que pueda resultar y a la vista de los varapalos sufridos en los dos últimos años.

Esto es algo que ya he contado mucho pero, en la medida en que el GDPR (en combinación con la directiva ePrivacy – artículo 22.2 LSSI en España) penaliza la intermediación, el mercado publicitario abierto (en competencia directa con ambas empresas por presupuestos de anunciante) se ha llevado, con razón, la peor parte. No solo ha quedado claro que la publicidad programática es directamente incompatible con el nuevo estándar de consentimiento, sino que, además, las medidas adoptadas por Google en la gestión de sus propios riesgos han dado la puntilla a las pocas métricas que quedaban disponibles al anunciante en prensa y otros medios digitales.

A diferencia de la mayor parte de los medios tradicionales o nativos digitales, Google y Facebook cuentan con una relación basada en la identificación directa y voluntaria de sus usuarios. En la puja por perfiles en que ha desembocado la inversión publicitaria queda poco margen de maniobra a quien solo puede acceder a datos personales mediante el recabado indirecto o intercambio no autorizado.

Cosa distinta es, nuevamente, que su relevancia o procedencia geográfica determine su nivel de exposición a la autoridad supervisora. Lo cual, de nuevo, me resulta una desconcertante fuente de inseguridad jurídica.

(Todo esto con independencia de que Facebook se haya ganado a pulso una batería interminable de acciones, y resaltando que no ha hecho falta un GDPR para castigar a la empresa con multas aún mayores en Estados Unidos).

Share on twitter
Share on facebook
Share on linkedin