Cinco años después de la entrada en vigor del RGPD, la literatura económica ha analizado su impacto económico en las empresas. La mayoría de estos estudios se centran en los costes sin medir suficientemente los beneficios para las empresas y las ganancias de bienestar para los particulares.
Puede parecer un ejercicio superfluo estudiar el impacto económico de la aplicación del Reglamento General de Protección de Datos (RGPD) en Europa desde 2018: ¿no es el objetivo de este reglamento proteger los derechos fundamentales de los europeos? No tienen las empresas que cumplir con este texto en cualquier caso? No se ha convertido también el RGPD en una norma mundial, que inspira a muchos países?
Al armonizar las normas sobre protección de datos personales en Europa, el RGPD ha creado un espacio de libre circulación de datos. La economía digital, que se basa en gran medida en el uso de datos personales, no puede desarrollarse sin la confianza de los ciudadanos, garantizada por un alto nivel de protección de datos. La aplicación del RGPD tiene, por tanto, importantes implicaciones económicas para Francia y sus empresas.
Tras 5 años de aplicación del RGPD, la literatura económica se ha ocupado de este tema para arrojar luz sobre su impacto, en particular para las empresas, basándose principalmente en trabajos empíricos dedicados al vínculo entre esta normativa y el crecimiento, la innovación y la competencia.
Una inversión en cumplimiento, un impacto matizado
La literatura económica suele hacer hincapié en los costes iniciales y recurrentes que supone para las empresas la aplicación del RGPD. Estos costes son reales e inevitables: corresponden a una preferencia colectiva europea que debe asumirse, tanto más cuanto que todas las empresas están en el mismo barco. En realidad, este coste es una inversión en cumplimiento, con beneficios económicos.
Al leer estos estudios, debemos sobre todo evitar un enfoque simplista, porque los datos personales son un objeto económico muy específico: rara vez se comercializan, su producción no es gratuita, pero pueden copiarse prácticamente sin coste alguno. En ausencia de regulación, puede dar lugar a asimetrías de información entre el servicio y el usuario, teniendo este último sólo una visión fragmentada de cómo se utilizan sus datos. El bienestar de las personas afectadas puede verse afectado por «externalidades negativas» (que se producen cuando una actividad genera consecuencias negativas no deseadas para otros agentes económicos; por ejemplo, la reventa de datos puede dar lugar a un flujo de solicitudes no deseadas).
En consecuencia, una de las virtudes del RGPD puede ser que, al proporcionar una mejor información y una mayor racionalidad en las elecciones, cerrará las «lagunas del mercado» (reduciendo las molestias causadas por las solicitudes de publicidad o la elaboración de perfiles, por ejemplo) y hará posibles transacciones económicas que no serían posibles en ausencia de protección (como la participación voluntaria en un estudio de salud).
Además, los efectos de la aplicación del RGPD en las empresas francesas son matizados: los estudios informan de impactos en ambas direcciones, dependiendo de la actividad económica y de la naturaleza del modelo de negocio considerado. Mientras que algunas operaciones están más reguladas (como la prospección o la reventa de datos de clientes, por ejemplo), otras se ven facilitadas por el aumento de la confianza de los clientes.
Dificultades metodológicas
Los estudios de impacto económico siguen un enfoque experimental, basado en datos medidos, en un intento de establecer un enfoque objetivo. Esto presupone la capacidad de comparar, por ejemplo, empresas sujetas al RGPD y un grupo de «control» no sujeto al RGPD, «en igualdad de condiciones».
A pesar de estos enfoques, desde un punto de vista metodológico resulta complicado aislar el efecto específico del RGPD en relación con el contexto económico y los variados comportamientos de los actores. Es con la acumulación de estudios, si son convergentes, como surgirán las grandes tendencias.
Del mismo modo, aunque muchos de los estudios se refieren a sectores tradicionalmente poco regulados, en los que el impacto del RGPD es mayor (comercio electrónico, publicidad en línea, marketing), los resultados de estos sectores no pueden generalizarse al conjunto de la economía. Sin embargo, por el momento no se ha llevado a cabo un enfoque macroeconómico más general debido a las dificultades inherentes a la modelización de las cuestiones relativas a los datos personales.
Tener en cuenta las ventajas para las empresas y los particulares
Los resultados de los estudios son interesantes, pero su alcance es incompleto: sólo tratan de forma marginal los beneficios del cumplimiento para las empresas, que son menos fáciles de observar. Sin embargo, desde un punto de vista cualitativo, el cumplimiento del RGPD tiene un retorno de la inversión, en términos de reputación ante clientes y socios, seguridad informática, conocimiento de los «datos» disponibles en una empresa o ahorro operativo, por ejemplo. Sería útil que los economistas intentaran objetivar estas ganancias para llevar a cabo un verdadero análisis coste/beneficio.
Del mismo modo, la aplicación del RGPD ha supuesto importantes mejoras en el bienestar de los consumidores, que ahora tienen un mayor control sobre sus datos y son más capaces de evaluar los riesgos de difundirlos. Más vigilantes, son menos propensos al uso fraudulento de sus datos o a irritantes como el sondeo abusivo, que causan perjuicios económicos.
Sin embargo, estas ganancias no son directamente observables en un mercado y, por tanto, son difíciles de medir. Sólo una comparación cuantificada entre el efecto sobre las empresas y el efecto sobre los particulares permitirá confirmar (o refutar) si esta normativa ha aportado un beneficio neto al conjunto de la sociedad.
Lecciones para el regulador
Aunque los estudios económicos realizados hasta la fecha se han centrado principalmente en los costes derivados de la aplicación del RGPD, y estamos a la espera de una nueva etapa en la que se analicen en detalle los beneficios, hay sin embargo una serie de lecciones que extraer para la CNIL. En primer lugar, validan la pertinencia del enfoque de apoyo del regulador, que consiste en proporcionar a las empresas herramientas adaptadas a sus necesidades, reduciendo así el coste del cumplimiento, así como en proporcionar seguridad jurídica a través de marcos de referencia, consejos o guías de buenas prácticas.
En segundo lugar, estos estudios demuestran que la intimidad debe considerarse un bien público. Su protección no surge espontáneamente del funcionamiento de los mercados, ni siquiera de los comportamientos individuales, sino que tiene una dimensión de «paternalismo libertario» (es decir, de organización de las condiciones en las que se anima a las personas a comportarse de forma que las proteja). La acción del regulador facilita las elecciones individuales que contribuyen a establecer un alto nivel de protección de los datos. Esto, a su vez, beneficia a todos los actores de los mercados digitales, al crear un marco de confianza esencial para su desarrollo (desarrollo de French Tech desde 2017, por ejemplo).
Por último, estos estudios muestran que el RGPD es proporcionalmente más favorable a los grandes agentes económicos, que disponen de más recursos para dedicar al cumplimiento, pero que sin embargo son auditados con mayor regularidad. El regulador debe contrarrestar activamente esta tendencia adoptando una política exigente con los grandes agentes, y más aún con los muy grandes, en proporción a los riesgos que plantean y a los recursos de que disponen. De este modo, como se afirma en la declaración conjunta de la CNIL y la Autoridad de la Competencia de diciembre de 2023, la CNIL ya está asumiendo, y lo hará aún más en el futuro, una dimensión asimétrica de su acción reguladora en los mercados digitales, combinada con una plena comprensión de los modelos de negocio, en beneficio de las personas y de la protección de sus derechos fundamentales.
https://www.cnil.fr/fr/limpact-economique-du-rgpd-5-ans-apres