Tal vez esta sea la naturaleza de la burocracia en todo su esplendor.

Cuando se lanzó en 2018, el RGPD fue aclamado como una especie de superhéroe de la privacidad. Estableció las reglas sobre cómo las empresas manejan los datos personales, asegurándose de que no pudieran obtenerlos sin el permiso de alguien.

Pero esas reglas fueron escritas de una manera que dejaba mucho abierto a la interpretación. Y eso debería haber estado bien. Los reguladores dijeron que educarían al mercado y solo harían cumplir donde creen que se está causando el mayor daño. Esto sucedió, pero no siempre de manera que haya cambiado el mercado publicitario para mejor. Los esfuerzos para educar a menudo se redujeron a notas de orientación que algunos ejecutivos publicitarios consideraron indescifrables (vea la próspera industria artesanal de los llamados consultores de GDPR como prueba), mientras que la aplicación ha sido irregular en el mejor de los casos.

Johnny Ryan, miembro principal del Consejo Irlandés para las Libertades Civiles, fue más directo con su evaluación: dijo que el RGPD no se ha “aplicado de manera significativa”. El quid de su argumento se puede leer en una publicación que compartió con The Economist. Otras voces de la industria se han sentido igualmente decepcionadas por el impacto (o la falta del mismo) del RGPD. “Las plataformas nunca cambiaron realmente sus prácticas”, dijo un ejecutivo de la agencia que habló bajo condición de anonimato.

En resumen, la historia de los últimos cinco años es una de oportunidades perdidas, reformas mínimas y muchos consultores de privacidad.

Esa evaluación, aunque demasiado simplificada, es al menos direccionalmente correcta, y la reciente multa récord de 1.200 millones de euros impuesta al propietario de Facebook, Meta, solo aumenta el argumento.

Fue emitido por la Comisión de Protección de Datos de Irlanda a principios de esta semana (26 de mayo) después de que concluyó que la empresa de tecnología había transportado tesoros de datos personales de sus usuarios en Europa a los EE. UU. sin suficientes garantías contra su uso indebido. El desglose se puede encontrar aquí, pero esta es la versión abreviada: la multa en sí misma realmente no importa (Meta obtuvo una ganancia neta de más de $23 mil millones el año pasado): lo que sí importa, sin embargo, es el requisito de que Meta deje de el almacenamiento de datos personales de usuarios europeos en los EE. UU. donde el contrabando Meta dice que se trata de un choque entre las leyes de la UE y las de los EE. UU. en lugar de que los datos estén en riesgo. Esto es básicamente cierto.

No hace falta decir que las implicaciones de este fallo tardarán un tiempo en aclararse.

Tenga en cuenta que Meta probablemente atraerá. Luego existe la posibilidad de que los legisladores de Europa y los EE. UU. puedan acordar un mecanismo conocido como el marco de privacidad de datos que permitirá a Meta y otras empresas transferir legalmente los datos de las personas de la UE a los EE. UU. Mientras tanto, cualquier empresa que necesite transferir los datos personales a los EE. UU. seguirán siendo completamente confusos.

Este es el RGPD en pocas palabras: un baile delicado en el que cada paso adelante se siente como tres pasos atrás. La amplia desviación de los resultados previstos para la publicidad empieza a tener más sentido.

Facebook, las agencias de medios, la publicidad programática estaban destinados a estar entre los mayores perdedores de las consecuencias y, sin embargo, salieron relativamente ilesos. Incluso el consentimiento dudoso de las cookies, que fue un gran problema para los reguladores en el período previo al RGPD, goza de buena salud. Los anunciantes aún no saben cómo se obtienen las cookies, el mecanismo que alberga los datos que utilizan para impulsar a los anunciantes programáticos. Resulta bastante furtivo en ocasiones.

Eso no quiere decir que el RGPD fuera un paseo por el parque para la industria publicitaria. Las cicatrices están ahí para que todos las vean.

¿Recuerdas a Drawbridge, el proveedor de dispositivos cruzados? Tuvo que salir de Europa por completo gracias al RGPD. Verve hizo lo mismo que innumerables proveedores de tecnología publicitaria más pequeños que no tenían los recursos o el conocimiento para lidiar con el RGPD. Las empresas más grandes también lucharon. El precio de las acciones de Criteo parecía estar en un estado de cambio permanente en los últimos meses antes de que llegara la regulación. Ah, y no olvides el ID de Doubleclick de Google. El elemento en el que se basaban las agencias para la atribución entre dispositivos en la web se restringió debido a la amplia ley de privacidad de datos.

Aún así, estos puntos de inflamación fueron raros y las consecuencias de ellos fueron limitadas.

No se puede decir lo mismo del marco de transparencia y consentimiento (lea las ventanas emergentes de aviso de cookies que interfieren con la lectura de artículos en línea).

Este fue el intento de la industria de estandarizar la forma en que las empresas (principalmente editores y proveedores de tecnología publicitaria, pero también agencias) pueden continuar ejecutando publicidad programática en el intercambio abierto de una manera que cumpla con GDPR. Sorprendentemente (o tal vez como era de esperar), no fue así.

IAB Europe está trabajando para arreglar el TCF que orquestó con el resto del mercado. Sin embargo, esos esfuerzos pueden no ser suficientes. Ese es un asunto que debe resolver el Tribunal de Justicia de la UE.

Hasta entonces, el destino del TCF y, más ampliamente, el destino de comprar anuncios en el mercado abierto, donde los precios se deciden en tiempo real a través de una subasta, penden de un hilo. Señale a muchos ejecutivos publicitarios preocupados: los cimientos de una gran parte de su industria podrían desmoronarse.

“El paradigma de información y elección que encarna el RGPD es, sin duda, la mejor manera de empoderar a los usuarios para que decidan qué contenido y servicios en línea pagan con dinero y a cuáles desean acceder en contra de su disposición a recibir publicidad”, dijo Townsend Feehan, CEO de IAB Europa. “Pero habiendo producido un ‘estándar de oro’ global para la regulación de la protección de datos, Europa debe garantizar que las autoridades de control tengan el conocimiento y otros recursos para garantizar que la Regulación brinde todos los beneficios posibles a los usuarios y a la economía digital de Europa”.

En muchos sentidos, la disputa sobre TCF es sintomática de cuánto se ha adaptado la industria publicitaria, especialmente la parte compradora, al RGPD. Siempre que fue posible, esas partes interesadas han tratado de reemplazar o incluso reescribir los pilares de cómo se obtienen, procesan y almacenan los datos personales, pero rara vez han intentado reescribirlos por completo. Eso está cambiando ahora, para ser justos, pero eso se debe más a los efectos de segundo orden del RGPD que a una causalidad directa.

“Mucho de esto se debe a que la regulación de privacidad de datos está comenzando a ser mucho más integral y, como resultado, se está volviendo centrada en el cliente”, dijo Jon Suarez-Davis, director comercial de la empresa de control de datos Ketch, quien dirigía la estrategia digital de Kellogg cuando el entró en vigor el reglamento. “Antes de GDPR, había un puñado de personas que administraban miles de millones de dólares de inversión en medios y datos en las empresas. Hoy, esa apertura se ha ampliado: los asesores legales, los científicos de datos y otros especialistas se involucran mucho más en lo que respecta a estas discusiones”.

Tratar de averiguar cuánto ha sumado el RGPD en los últimos cinco años es realmente un proceso de suma por resta. La demostración de lo que no ha logrado ilumina lo que tiene. Y lo que ha logrado es conciencia pública. Hoy en día, las personas son mucho más conscientes de su privacidad personal en línea que en 2018. Es cierto que ya eran conscientes en mercados como Alemania, Italia y España, no tanto en lugares como el Reino Unido.

Una de cada seis personas en el Reino Unido dice que borra su historial de navegación de Internet y el caché de cookies a diario y el 18% dice que opta por no recibir cookies de seguimiento de sitios web a diario, según un estudio de 2000 encuestados realizado por la empresa de tecnología publicitaria Nano Interactive. Estos no son números abrumadores de ninguna manera, pero muestran un interés en los problemas de privacidad de datos,

“Podemos quejarnos del nivel de cumplimiento o del hecho de que es [compliance] es demasiado complicado, pero sin el RGPD, las personas estarían en un lugar mucho peor de lo que están hoy”, dijo Nigel Jones, cofundador de Privacy Compliance Hub. “Estamos bien preparados para el futuro gracias a eso”.

Lo que quiere decir es lo que le ha faltado al RGPD en las habilidades de aplicación que compensó en términos de influencia.

En los últimos cinco años, se ha convertido en la base de muchas normas de privacidad más allá de la UE, desde la Ley de Privacidad del Consumidor de California en EE. UU. hasta la Ley General de Protección de Datos de Brasil. Incluso los pedidos recientes de una ley federal de privacidad en los EE. UU. se remontan al RGPD. Y eso sin considerar el impacto más amplio que podría tener en los flujos de datos transfronterizos, como muestra la multa de Meta.

Quizás, este es el efecto más duradero del RGPD. Fue el comienzo de un debate más matizado y centrado sobre la privacidad de los datos. Y si nada más, esas conversaciones han obligado a los ejecutivos publicitarios a pensar un poco más sobre la procedencia de los datos que usaron, si el consentimiento equivale al cumplimiento de la ley y confrontar aspectos de una industria publicitaria que son poco éticos en el mejor de los casos e ilegales en el peor. . No, esto no siempre condujo a una reforma para mejorar, y sí, los especialistas en marketing se han vuelto complacientes en algunos aspectos. Pero nadie, ya sea un comercializador o no, puede decir que no está al tanto de estos problemas ahora.

“Eso es algo bueno”, dijo Ben Kartzman, director de operaciones de Mediaocean. “Es realmente importante que la industria de la publicidad les dé a las personas opciones sobre cómo compartir sus datos y que les quede claro qué sucederá si lo hacen. Si GDPR ha logrado algo en los últimos cinco años, ha aumentado la conciencia sobre la importancia de la privacidad y la necesidad de protegerla”.