Mar España: “Seremos beligerantes con todas las redes sociales”

Este viernes entra en vigor en la UE el nuevo Reglamento General de Protección de Datos (RGPD), que actualiza la defensa de la información personal a los tiempos de internet y las redes sociales. La directora de la Agencia Española de Protección de Datos, Mar España, explica en qué afecta este cambio normativo a los europeos y cómo se endurecen las sanciones. Avanza que a partir de ahora los ciudadanos sabran más sobre qué datos suyos tratan las empresas y administraciones, así como para qué los usan.

Pregunta: ¿Qué aporta este nuevo reglamento?

Respuesta: Un mayor control respecto a qué datos de las personas manejan las empresas, porque hará falta un consentimiento explícito, cuando hasta ahora podían estar haciendo perfilados [clasificaciones del usuario según sus intereses y características] con base en uno tácito. Las empresas y administraciones públicas estarán obligadas a decirte de dónde sacaron tus datos, para qué los van a tratar, cuál es su base legal o a quién se los van a ceder.

Más información

Si las empresas se aprovechan de tus datos es porque quieres

“Hay consultoras que están engañando a las empresas ante el nuevo reglamento de datos”

P. Las redes sociales han actualizado sus políticas de privacidad para adecuarse a la nueva norma. Una vez que te informan, ¿todo vale?

R. Hay dos principios básicos. La minimización, solo tratar los datos imprescindibles para ese servicio, y la proporcionalidad. No solo porque el consumidor “se entregue” y dé el consentimiento valdría. Hay que ir viendo caso por caso.

P. El negocio de muchas empresas en internet es recopilar y analizar los datos de los usuarios, hasta el punto de que obligan a aceptar plenamente sus condiciones o no permiten utilizar sus productos. ¿Qué ocurrirá ahora?

R. No me puedo pronunciar con carácter general, habría que ir viendo, caso por caso, que el consentimiento no ha sido libre a la hora de prestarlo.

La Agencia sí se ha pronunciado en las tres sanciones que ha impuesto recientemente a WhatsApp y a la compañía que la compró en 2014, Facebook. La directora destaca que la Agencia ha sido la única autoridad europea que sancionó el intercambio de datos entre ambas: el pasado marzo impuso 300.000 euros de multa a cada red social. WhatsApp había enviado datos a Facebook “sin haber obtenido un consentimiento válido” de los usuarios, y esta a su vez los trató “para sus propios fines sin consentimiento”. La Agencia argumentó que el uso de WhatsApp está tan extendido que algunos usuarios prestarían su consentimiento a las condiciones exigidas con tal de poder utilizarla. Esto impide que el consentimiento sea libre.

P. ¿Cómo diferencian qué red social está tan implantada en la sociedad como para no ser libre la aceptación de sus condiciones?

R. En este caso estamos hablando de más de 2.000 millones en el mundo de usuarios y 21 millones en España.

"Sé que la han recurrido a la Audiencia Nacional, pero la han pagado", comenta sobre una multa impuesta a Facebook.

P. ¿Qué ocurre si hay una red social pequeña pero muy implantada, por ejemplo, entre los adolescentes?

R. Por supuesto que vamos a ser tremendamente beligerantes y proactivos con todas las redes sociales, y sobre todo con las que utilizan los menores. Trabajamos desde hace años para intentar que los jóvenes usen internet de forma responsable. El reglamento establece una horquilla de 13 a 16 años para dar el consentimiento del tratamiento de los datos cuando se es menor de edad. Ahora mismo en España la edad está en 14 años, y en el proyecto de ley que se está tramitando en el Congreso la edad se ha establecido en 13 años, como la mayoría de los países de nuestro entorno.

P. ¿Cómo pueden saber las redes sociales si se tiene más o menos de esa edad?

R. Hay maneras. Desde la autorización expresa de los padres, el DNI… hay diferentes procedimientos.

P. Entonces, Facebook tendría que tener acceso al DNI del usuario.

R. Y también por lo que nos han comentado en otras redes sociales, con metadatos acceden al contenido de la información. En otros casos nos contaban que luego el menor simulaba una edad, pero luego publicaba: ‘Te invito a mi 14 cumpleaños’, y entonces le pillaban.

P. El menor tiene que dar el consentimiento a ese perfilado para saber si es mayor de edad. Tendrá que decir sí, ¿no?

R. Sí.

P. Antes marcábamos una casilla, ahora habrá que hacerlo con 20. ¿Va a traer el reglamento muchos más consentimientos?

R. No es la única base para el consentimiento. Esa es una, pero otra puede ser un interés legítimo de una empresa. Por ejemplo, si tienes una hipoteca hemos dicho que perfectamente dentro del interés legítimo puede ser que el banco te envíe información comercial o productos financieros relacionados con su actividad y no haga falta para eso el consentimiento explícito.

La Agencia también multó a Facebook el pasado septiembre con 1,2 millones de euros al comprobar que trataba los datos de usuarios españoles sin contar con aceptaciones explícitas, o gracias a consentimientos poco informados. La directora explica que se trataban datos sensibles y de carácter ideológico. Cuando se pedía la cancelación, la red social se quedaba esos datos durante 17 meses.

P. ¿Para qué usaban esos datos?

R. La finalidad principal de Facebook es ganar dinero por publicidad. Perfilar y vender esos datos a terceros para que se muestre publicidad segmentada adaptada a ese perfil ideológico.

P. ¿Y Facebook ha pagado la multa?

R. Sí. Sé que la han recurrido a la Audiencia Nacional, pero la han pagado.

P. ¿Qué ocurrirá ahora con las sanciones?

R. El reglamento cambia radicalmente el régimen sancionador. A partir del 25 de mayo mi potestad máxima para poder imponer una sanción es del 4% del volumen de facturación mundial anual o 20 millones de euros.

P. ¿A qué empresas se aplica el nuevo reglamento?

R. Protege a los ciudadanos que vivamos en Europa, no solo respecto a las empresas que están en nuestro continente, sino a cualquiera del mundo. Obliga simplemente por ofrecer bienes o servicios o hacer un perfilado de los consumidores europeos.

P. Con todas las que hay, ¿hay inspectores suficientes para controlarlo?

R. La actividad de la Agencia se está multiplicando exponencialmente. Tenemos 15 inspectores, y 181 trabajadores en total, pero es evidente que debe tener sus medios reforzados para poder hacer frente a los retos. Tenemos que contar con más recursos. Es evidente, y es una petición.

Legislación española

P. ¿Cómo afecta el reglamento a la legislación española?

R. El reglamento es directamente aplicable a partir del 25 de mayo. Aunque no se haya aprobado aún la Ley Orgánica de Protección de Datos, el régimen sancionador se aplica. Ya he advertido en el Congreso de que necesitamos esa ley porque si no las infracciones pueden caducar. El día 25 haré público un estudio interno de la ley sobre aspectos de la actual ley orgánica que devienen inaplicables.

P. ¿Por qué no se ha aprobado todavía esa ley?

R. Ha habido que circularla por todos los ministerios, se han recibido más de trescientas enmiendas. Es una ley muy técnica y compleja. Solo tres estados europeos han llegado a tiempo.

P. ¿Cuándo se espera que entre en vigor?

R. Yo espero, confío y pido consenso a los grupos parlamentarios para que se apruebe en este primer período de sesiones.

P. ¿Cómo le afectará el reglamento a un autónomo o pyme que maneje los datos de sus clientes?

R. Si solo trata datos de clientes, de proveedores y a lo mejor de un par de empleados, si son datos de riesgo básico puede utilizar Facilita, una herramienta que hemos creado y que en 20 minutos permite rellenar un formulario a quienes traten datos con riesgo de carácter básico.

P. ¿En qué consiste la portabilidad de los datos, uno de los nuevos derechos que recoge el reglamento?

R. Es un derecho nuevo que permite, por ejemplo, que si quieres cambiar tus fotos y vídeos de una red social a otra, no tengas que bajártelos primero y cargarlos en la otra, sino que una red se lo traspase a la otra, si es técnicamente operativo. Es responsabilidad de cada uno lo que quiera subir de su vida a una red social, pero a partir de ahora si una compañía no le convence y se quiere cambiar a otra, se da la facilidad de que lo puedan hacer entre ellas. Para que la primera borre esa información personal, sin embargo, el usuario tendría que pedirlo.

P. ¿Esto abre la posibilidad de formar un paquete sobre tu vida y llevarlo a diferentes empresas?

R. Si quieres. Si no quieres, no. La denuncia que hubo contra Facebook fue precisamente porque un austriaco solicitó a la compañía toda la información que tenían sobre él y se quedó impresionado cuando recibió un CD con 1.200 páginas.

P. Entonces, esas 1.200 páginas de información podrían transferirse a una nueva red social.

R. Si así lo solicitas, sí.