El GDPR no cambió una cultura de incumplimiento. Cuando el GDPR entró en vigor el 25 de mayo de 2018, se percibió como un momento decisivo. Los comentarios estaban a medio camino entre que la UE se tomara en serio la privacidad y que Internet se rompiera a medianoche. Los últimos cuatro años han demostrado que una ley por sí sola no cambia los modelos de negocio que se basan en el abuso de los datos personales y una cultura dentro de la profesión de la privacidad que a menudo se centra en encubrir el incumplimiento. Tras un primer momento de conmoción, gran parte de la industria de los datos ha aprendido a vivir con el RGPD sin cambiar realmente sus prácticas. Esto se hace principalmente ignorando los derechos de los usuarios y saliéndose con la suya.
La cultura del RGPD: burla y hostilidad abiertas. Esto se traduce a menudo en que se menosprecian los derechos fundamentales. El derecho fundamental a la protección de datos no se respeta ni se percibe como resultado de un largo proceso democrático, sino que se burla como una locura o «imposible de cumplir». Las autoridades y las organizaciones sin ánimo de lucro que intentan hacer cumplir la ley tal y como está son objeto de una hostilidad abierta y de acusaciones, como que su aplicación «mataría la innovación». Casi ningún otro ámbito del derecho está politizado hasta ese punto; al menos, nunca he oído que se ignoren abiertamente los códigos de construcción o fiscales con el argumento de que su cumplimiento «socavaría el modelo de negocio» de una empresa. La burbuja de la privacidad acepta estas narrativas como un argumento legítimo.
Dinámica de cumplimiento del GDPR. El GDPR no ha conseguido (todavía) salir de una condición preexistente: una espiral descendente de más y más incumplimiento y no aplicación. Al igual que cuando partes de una ciudad se convierten en una zona prohibida para los delincuentes que son abandonados por la policía, parece que muchas autoridades de protección de datos han perdido el control sobre muchas áreas de la esfera digital. Las empresas se dan cuenta de que los competidores no cumplen y de que actuar legalmente no es rentable. Cuanto más se extienda el incumplimiento, más difícil será para las autoridades recuperar el control con recursos limitados
Falta de aplicación por parte de las APD. La falta de aplicación real y, por tanto, la ausencia de un efecto disuasorio en otras empresas echa más leña al fuego. De los cerca de 50 casos internacionales que noyb ha presentado en los últimos cuatro años, ninguno ha visto aún una decisión final. Mes a mes, sin una aplicación adecuada, será más difícil reconducir esta situación. Mientras que algunas autoridades parecen preocuparse más por la percepción pública si realmente hicieran cumplir la ley, otras parecen haberse dado cuenta de la situación y hacen lo posible por ponerse en marcha. No obstante, el tiempo apremia y parece que nos acercamos a una situación en la que el RGPD será totalmente ignorado, al igual que la anterior Directiva de Protección de Datos de la UE de 1995.
Problemas técnicos. Sobre el terreno, las autoridades (y los interesados) sufren a menudo problemas muy técnicos creados por los diferentes procedimientos nacionales, los recursos limitados, la falta de personal capacitado o los tribunales que se apresuran a anular las decisiones. Estos problemas no acaparan los titulares, pero son las razones por las que, a día de hoy, noyb tiene que ocuparse de cuestiones de procedimiento más que de cuestiones de privacidad.
noyb: Primero te ignoran, luego luchan contra ti, luego ganas. En este contexto más amplio, el papel de la noyb ha experimentado un cambio muy interesante en 2022. Muchos actores del sector ven como un insulto que los usuarios puedan realmente exigir el cumplimiento del GDPR y se atrevan a acudir a los tribunales por sus derechos. Aunque los tribunales suelen ser el hábitat natural de cualquier abogado, vemos que los abogados se indignan cada vez más por nuestro trabajo. Personalmente, veo esto como una señal de nuestro extraordinario éxito como pequeña organización que todavía era ignorada hace uno o dos años.
El camino a seguir. Para muchos derechos fundamentales se necesitaron siglos para establecerlos, defenderlos y aplicarlos. Todos ellos son continuamente atacados y hay que trabajar en ellos cada día. No debe sorprender que ocurra lo mismo con el derecho a la protección de datos. Las autoridades tendrán que aprender que a nadie le gustan los organismos de control, pero que su papel es crucial para nuestras sociedades digitales. Las empresas tienen que aprender que hay consecuencias. Los abogados del sector tendrán que aprender que sus puntos de vista serán cuestionados ante las autoridades de protección de datos y los tribunales. Los activistas de la privacidad tendrán que aprender que no basta con aprobar una ley, sino que también hay que hacerla cumplir. Tenemos muchas ganas de trabajar en esto en los próximos años.