Europa se planta ante el mercadeo de datos

La relación de los ciudadanos con el reguero de datos que dejan a su paso es todavía compleja, y el ecosistema legal no ha avanzado al mismo ritmo que las cada vez más profundas huellas digitales. Pero este limbo se acaba y Europa lanza un contundente mensaje disuasorio a las empresas que manejan datos personales sin consentimiento de los usuarios o se muestran incapaces de evitar fugas de información. El próximo mes entrará un vigor una regulación comunitaria, la más garantista del mundo en la protección de datos. La UE quiere acabar con la barra libre, obligando a las compañías a extremar el celo no solo por la vía de la advertencia, sino con potentes instrumentos sancionadores.

Más información

Tus datos se pueden volver contra ti

¿Navegar sin dejar rastro?

La pérdida de inocencia aparejada al reciente escándalo Facebook-Cambridge Analytica ha dejado una sensación de impúdico y avaricioso manoseo de la intimidad. Y también una pregunta: ¿qué hacer para que esto no vuelva a ocurrir? La respuesta europea llega el 25 de mayo con el Reglamento General de Protección de Datos (RGPD), que unifica las normas de los Veintiocho bajo una premisa clara: el usuario es dueño de sus datos, y las empresas solo pueden usar esa información previa autorización.

En 260 páginas y 99 artículos, la nueva ley busca frenar los abusos. Las compañías deberán pedir consentimiento expreso para usar información personal; por ejemplo, pidiendo que se marque una casilla o se firme un formulario. Se acabaron las autorizaciones genéricas y ambiguas, y los textos interminables de condiciones de uso. Ahora se exigirán cláusulas de privacidad claras y comprensibles, y que se cuente con permiso de los padres cuando los usuarios sean menores. En ningún caso se podrá interpretar el silencio como una aceptación implícita. Quien calla ya no otorga.

El abanico de medidas incluye el derecho de los ciudadanos a tener acceso a un fichero con todos los datos de los que disponga una compañía. Y también recoge el derecho al olvido, es decir, que los buscadores de Internet eliminen resultados sobre un usuario cuando este lo pida y se cumplan determinados requisitos. También, en los supuestos más graves, se marca un plazo máximo de 72 horas para informar a un cliente de que su cuenta ha sido pirateada, para evitar casos como el de Uber. Esta start-up, una de las más valiosas del mundo, escondió durante un año el robo en EE UU de los datos de 50 millones de clientes y siete millones de sus conductores.

Las vulnerabilidades no desaparecen a golpe de leyes, pero el nuevo sistema fortalece la privacidad de los usuarios y acaba con la impunidad de la que disfrutaban las tecnológicas estadounidenses por tener su sede fuera de la UE. El reglamento se aplicará a todas las empresas que manejen información de ciudadanos europeos. Aun así, no se eliminan por completo los riesgos: “No va a evitar casos como los de Cambridge Analytica, pero se podrá sancionar”, dice Borja Adsuara, experto en derecho y estrategia digital.

El elemento disuasorio clave en el nuevo texto son las herramientas de castigo. Con el reglamento en la mano, Facebook podría haber sido multada con hasta 1.310 millones de euros por la fuga de datos de Cambridge Analytica. Las redes sociales son un negocio boyante: Facebook ganó 12.800 millones de euros y facturó 32.750 millones de euros en 2017. Y la normativa europea contempla multas de hasta 20 millones de euros. “Hacer trampas o ser negligentes no puede ser barato”, advierte la comisaria de Justicia, la checa Vera Jourová.

El abanico de medidas incluye el derecho de los ciudadanos a tener acceso a un fichero con todos los datos de los que disponga una compañía

Otra de las novedades es la obligación de que las empresas nombren un delegado de protección de datos. Solo deberán hacerlo aquellas que traten datos sensibles o a gran escala y las Administraciones públicas. Estos delegados serán el enlace con las agencias de protección de datos, y los usuarios podrán dirigirse a ellos para conocer el tratamiento que se hace de sus datos o presentar reclamaciones.

Lo cierto es que bajo el RGPD late una renovación legislativa que, lejos de ser una reacción en caliente al torbellino desatado por Cambridge Analytica, lleva seis años gestándose. Los ministros de Justicia dieron su aprobación en 2015, después de tres años de negociación, y la Eurocámara lo ratificó en 2016. Pese al boom de teléfonos inteligentes, redes sociales y banca digital, la anterior directiva databa de 1995. Ese año Internet tenía 16 millones de usuarios. Hoy supera los 4.000 millones, más de la mitad de los habitantes del planeta.

“Era muy necesario unificar criterios. No solo en los Estados miembros, también frente a terceros países como EE UU, que no acaban de comprender la importancia de proteger los datos. Ni siquiera ante escándalos como las revelaciones de Snowden o el Facebookgate”, afirma Ofelia Tejerina, abogada especializada. Pero en el cambiante entorno tecnológico, la rápida obsolescencia de las leyes es una de las inquietudes que planean sobre el texto. “Cuando lo analizas en profundidad, ves la dificultad práctica de adaptarlo al Internet de las cosas, la inteligencia artificial o a entornos en constante evolución como el de la publicidad digital”, alerta Paula Ortiz, directora jurídica de IAB Spain, asociación que representa al sector publicitario español en medios digitales.

Cuando se habla de datos, lo primero que viene a la mente son millones de usuarios compartiendo preferencias en Facebook, Instagram o Twitter. Pero es un universo mucho más amplio. Imágenes grabadas por cámaras de seguridad. Bases de datos repletas de nombres y teléfonos. Listas de correo a las que se envían ofertas publicitarias. Horas y horas de grabaciones de las autoridades de Tráfico. Todo eso es parte del tratamiento de datos. ¿Por qué es importante? “Con esa información puedes conocer y entender a consumidores, usuarios y ciudadanos. Puedes gestionar más eficientemente los servicios, segmentar mensajes y ofrecer lo que necesitan en el momento en que lo necesitan”, dice Paula Ortiz.

En los supuestos más graves, se marca un plazo máximo de 72 horas para informar a un cliente de que su cuenta ha sido pirateada

Ahora tecnológicas como Apple ya han mostrado su disposición a aplicar en todo el mundo las mismas exigencias que la UE reclama en su territorio. El fundador de Facebook, Mark Zuckerberg, ha sido menos tajante, pero aseguró a Reuters que comparte “en espíritu” la letra de la norma impulsada por Bruselas. Y el margen de error parece más estrecho que nunca. “La UE no dudará en aplicar penas de hasta el 4% de la facturación global en caso de violaciones graves de la privacidad”, apunta la comisaria europea.

Bruselas se ha propuesto rescatar para los ciudadanos la soberanía del uso de sus datos personales. Arrebatarle su control a las compañías sin perturbar los avances asociados a la manipulación de una información tan valiosa que convierte a sus poseedores en los mayores conocedores de nuestros hábitos y gustos. Mario Costeja, el español que denunció a Google por publicar una información desfasada sobre él, logró en 2014 que el buscador reconociera el derecho al olvido. En medio del largo proceso judicial que libró entonces, describió en una frase la magnitud del poder al que se enfrentaba: “Luchar contra Google es como luchar contra Dios”.