Han pasado casi cinco años desde que empezase a aplicarse de forma efectiva el Reglamento General de Protección de Datos (RGPD, por sus siglas en inglés), en mayo de 2018, considerada una de las grandes victorias europeas en materia legislativa y cuyo modelo se ha terminado reproduciendo en el resto del mundo.
Según la Comisión Europea, este reglamento establece las reglas sobre cómo se pueden procesar los datos personales de los residentes en la región con el objetivo de proteger sus derechos en el mundo digital y facilita la actividad económica, definiendo normas únicas para empresas y organismos públicos en territorio online.
A nivel general, el fin último del RGPDconsiste en dar más control a las personas sobre su propia información, lo que obligó a las empresas a buscar nuevas formas de encauzar el marketing, ya que, hasta ese momento, eran totalmente dependientes de las cookies de terceros para aumentar sus ventas.
Su alcance, además, no se limita al territorio que impulsó la medida, sino que sus directrices afectan tanto a las organizaciones que tratan datos de personas que viven en la UE como a las que tienen su sede fuera de ella pero su actividad se dirige a usuarios que sí residen en dicho territorio. De esta forma, su ámbito de aplicación es global.
Un 8% menos de ganancias y una caída en las ventas del 2%
Hasta el momento y dado el poco tiempo que ha pasado desde su aprobación, casi no se han realizado estudios sobre el impacto económico que ha tenido el RGPD para las diferentes firmas que operan -y operaban- en Europa.
Sin embargo, recientemente, la Oxford Martin School ha compartido un documento en el que analiza cómo han afrontado empresas de 61 países dentro de la región la adaptación a este reglamento.
Los autores explican que la legislación relativa al procesamiento de los datos personales afectó de diversas formas a las compañías, pero fue específicamente significativa en dos: las ventas y los costes.
Según apuntan, al prohibir que las webs compartan datos de usuarios con terceros sin el consentimiento de ellos, esto impactó en la recopilación de información para las firmas, lo que hizo que hiciesen peores predicciones sobre los deseos de los consumidores.
Este hecho, sumado al incremento del tiempo que tardan en acceder a la página por la necesidad de rellenar el formulario en base a sus derechos, supuso una reducción de las transacciones.
Por otro lado, el RGPD obligó a las firmas a recopilar y almacenar datos de forma que no permita la identificación personal, lo que hizo que muchas de ellas tuviesen que auditar sus procedimientos internos, y designar a profesionales encargados de esta materia.
Además, la necesidad de ofrecer a los usuarios derechos de acceso, rectificación o eliminación de su información derivó en una inversión en sistemas de tecnología de la información que cumpliesen con las demandas previstas.
Así, el informe revela que las compañías analizadas disminuyeron sus ganancias en un 8% y redujeron sus ventas en un 2% como consecuencia de la inversión en tecnologías que les permitiesen cumplir con los supuestos contemplados en la ley.
No obstante, precisa que este efecto no fue generalizado, sino que el mayor impacto negativo fue a parar a las firmas de menor tamaño, mientras las grandes tecnológicas afectadas apenas sufrieron un golpe significativo.
Un impacto desigual
Y es que, según los expertos que participaron en la investigación, para las multinacionales es mucho más fácil conseguir el consentimiento de los usuarios para procesar sus datos personales que en el caso de los nuevos participantes, que pueden llegar incluso a desaparecer.
A esto se suma que las compañías de mayor tamaño disponen de más recursos técnicos y financieros que sus competidoras. Según PwC, algunas empresas gastaron más de 10 millones de euros al año solo en garantizar el cumplimiento del reglamento.
Por ejemplo, Meta, antes conocida como Facebook, contrató alrededor de un millar de ingenieros, gerentes y abogados en todo el mundo para hacer frente a la nueva regulación, a la par que duplicaba su presupuesto dedicado al lobbying (grupos de presión) con respecto al año anterior. El informe explica que "a pocos actores de mayor tamaño les resulta más fácil resolver un problema de forma colectiva que a muchos más con menos poder".
En este sentido, el documento recoge datos de LobbyFacts que señalan que Google, Meta y Apple se encuentran entre las empresas que más gastan en estos grupos de presión contra instituciones de la Unión Europa, con presupuestos que superan los 3,5 millones de euros.
No obstante, el coste de no cumplir con la normativa es significativamente superior, ya que, según se detalla en la legislación, las multas pueden alcanzar los 20 millones de euros o el 4% del volumen de negocios mundial de la empresa en determinados casos.
Algunas de las fracciones más sonadas en estos casi cinco años de aplicación han sido, por ejemplo, las de Google (150 millones de euros), H&M (35 millones de euros), British Airways (22 millones de euros) o Marriott (20,4 millones de euros).
El documento precisa que, solo entre 2021 y 2022, las autoridades registraron más de 130 000 notificaciones de filtraciones de datos, un 8 % más con respecto al año anterior, mientras las multas relacionadas con el RGPD aumentaron casi siete veces hasta los 1.100 millones de euros.
La concentración del mercado se ha incrementado un 17%
Aún así, los expertos señalan que no hay evidencias claras de que la aplicación del RGPD haya afectado o esté afectando de forma notable a las ganancias de las big tech, ya que Amazon, Apple o Google siguen creciendo y sumando clientes. Según explican, los usuarios de Facebook pasaron de 2.300 millones en 2018 a 2.900 millones en 2021.
Una de las razones que explican el desajuste entre los porcentajes recopilados y el nulo o apenas perceptible impacto a las grandes firmas es su mejor posicionamiento en el mercado, lo que ha hecho que puedan compensar mejor los costes derivados, capturando la porción del mercado abandonada por sus competidores más pequeños que no han podido hacer frente a esta situación.
De hecho, el estudio apunta que la concentración relativa al mercado de proveedores ha crecido un 17% durante este período, con especial foco a aquellos que dependen de los datos personales.
No obstante y a pesar de las debilidades detectadas a raíz de la aplicación de la ley, el informe reconoce que esta legislación es uno de los puntos fuertes de Europa en materia de protección de la privacidad del ciudadano.
Ahora, la región busca abordar la desigualdad de poder entre las grandes tecnológicas y las pequeñas empresas mediante otra ley que entrará en vigor en los próximos meses, la Digital Market Act (DMA). Este documento quiere conseguir que el sector digital sea más equitativo y competitivo.
Según la Unión Europea, esta nueva ley estará operativa a finales de este año o principios dle siguiente y, junto a la Digital Service Act (DSA), serán "los dos pilares de una regulación" del contexto digital "que respete los valores y el modelo europeos".