_
_
_
_
_

Si las empresas se aprovechan de tus datos es porque quieres

La nueva normativa europea obliga a las compañías a comunicar de dónde han obtenido los datos del usuario y para qué los van a usar

Foto: atlas | Vídeo: SAMUEL SÁNCHEZ / ATLAS

Twitter fue una de las primeras redes sociales en avisar: “Actualizaremos las políticas de privacidad para ofrecerte aún más transparencia en torno a los datos que recopilamos sobre ti”. Hace unas semanas las tecnológicas empezaron a advertir a los usuarios de que debían dar su consentimiento a sus nuevos términos de servicio antes del próximo 25 de mayo, día de la entrada en vigor del Reglamento General de Protección de Datos, una normativa europea que endurece las condiciones para que las empresas usen los datos de sus usuarios. La nueva regulación llega en mitad del terremoto del caso Cambridge Analytica, la filtración masiva de datos de al menos 87 millones de usuarios de Facebook a esa empresa británica, entre ellos unos 2,7 millones de europeos.

La Comisión Europea aprobó esa normativa en 2016 y ha dado un plazo de dos años a las compañías y organizaciones, entre ellas las gubernamentales, para que realicen los cambios y cumplan con las nuevas obligaciones. A partir del día 25 deberán comunicar a los usuarios de dónde han obtenido sus datos, para qué los van a usar, durante cuánto tiempo los van a conservar, a quién se los van ceder y qué base jurídica les legitima para tratarlos.

Más información
El Delegado de Protección de Datos (DPD), una nueva figura profesional
Zuckerberg comparecerá en el Parlamento Europeo por la filtración masiva de datos

En cuanto a la cesión da datos personales a terceros, motivo por el que Mark Zuckerberg comparecerá esta semana ante el Parlamento Europeo, la nueva normativa contempla algunas excepciones. Las organizaciones podrán hacerlo sin el permiso de los usuarios si está autorizado por ley (por ejemplo, pasar información a la Agencia Tributaria); si ha sido requerida por un tribunal, o si se trata de una cesión de datos entre administraciones con un fin estadístico o de investigación, entre otras.

“España tiene un mayor grado de madurez en cuanto al tratamiento de datos que otros países europeos”, asegura Rafael García, responsable del área de internacional de la Agencia Española de Protección de Datos (AEPD), el organismo regulador. Su comentario no es baladí. A diferencia de otros estados europeos, España aprobó la Ley Orgánica de Protección de Datos en 1999 con un régimen sancionador que obliga a las empresas a ser cuidadosas con la privacidad de los ciudadanos para no cometer ninguna infracción y sortear multas de hasta 600.000 euros.

Algunos puntos del nuevo reglamento europeo son incluso más laxos que lo estipulado en la actual ley española. García pone un ejemplo. “Para poder hacer una transferencia internacional de datos -fuera de la UE- las empresas tenían que solicitar autorización a la AEPD en la mayoría de los casos. La nueva normativa los acota y, por lo tanto, las organizaciones tienen un trámite menos que hacer”.

También hay algunas desventajas. “Pasamos de un régimen reactivo, en el que es la Agencia la que actúa en base a las denuncias, a otro en el que la responsabilidad es de las empresas, que deben tener una actitud preventiva”, explica. Precisamente ese punto es el que más preocupa a las compañías porque supone un cambio absoluto de cultura, según confirman varios expertos consultados. “Estamos acostumbrados a que papá Estado nos dé la autorización para todo; las empresas han seguido un cumplimiento pasivo. Ahora pasamos a un sistema más anglosajón en el que hay que ser proactivo y tomar decisiones para garantizar la seguridad de los datos”, señala Borja Adsuara, abogado especializado en derecho digital y miembro de la comisión de Propiedad Intelectual del Ministerio de Educación.

Para realizar esa evaluación de posibles riesgos, la normativa europea contempla la figura del Delegado de Protección de Datos (DPO, siglas en inglés de data protection officer ), un nuevo puesto de trabajo obligatorio para las administraciones públicas y para las empresas que tratan datos de alto riesgo a gran escala. Su función será supervisar que la hoja de ruta marcada se aplica de forma correcta y hacer de intermediario entre la empresa y las autoridades en caso de que se detecten irregularidades en el tratamiento de los datos.

En el caso de las pymes españolas, en el 75% de los casos no es necesaria la incorporación del delegado por el tipo de actividad que realizan, según los datos de la Confederación Española de la Pequeña y la Mediana Empresa (Cepyme), que representa a casi un millón de compañías de todo el país. Para realizar su análisis de riesgo, disponen de herramientas online como Facilita, impulsada por la AEPD, que les ayuda al cumplimiento de las nuevas obligaciones en solo 20 minutos. “Si manejan datos sensibles, una primera evaluación por parte de un experto les puede costar desde los 300 hasta los 1.200 euros”, indica Carlos Ruiz, responsable de Economía de Cepyme.

Carlos Mateo, abogado especializado en protección de datos de 31 años, trabaja desde hace dos meses como delegado de protección de datos para ocho empresas. Una de ellas es CoverWallet, un comparador online de seguros con sede en Nueva York. Le pagan unos 400 euros por un trabajo a media jornada. “Hay que entender muy bien el reglamento y en el caso de España no nos lo han puesto fácil; la aprobación de la nueva ley no se va a tramitar para el día 25, por lo que tenemos que interpretar la normativa europea nosotros”, lamenta.

“Nadie” está preparado para el nuevo sistema, ni siquiera la propia la Agencia Española de Protección de Datos, pese a ser “de las más activas de Europa”, considera el abogado Borja Adsuara. Cree que el primero será un año de aprendizaje que se empezará a consolidar cuando se hagan efectivas las primeras sanciones. La actual normativa estipula tres tipos: las leves con 40.000 euros, las graves con 300.000 y las muy graves con 600.000. La europea contempla multas de hasta 20 millones de euros o del 4% del volumen de facturación anual.

Los usuarios tienen el control

El derecho a conocer para qué utilizan sus datos las empresas. Ese es el máximo logro para el usuario que introduce la nueva normativa europea de datos. Quién los tiene, para qué los usa, a quién se los puede ceder y quiénes son los destinatarios. Desde la Agencia Española de Protección de Datos (AEPD) señalan que otros de los derechos más novedosos son el derecho a la portabilidad y a la limitación del tratamiento. “Cuando los datos personales se tratan por medios electrónicos, el usuario puede llevárselos a otra compañía sin que la empresa de origen ponga ningún obstáculo”, explica Rafael García, responsable del área de internacional de la AEPD.

El origen de esa medida, cuenta García, fue encontrar una fórmula para permitir a los usuarios llevarse todas sus fotos a una red social nueva, asegurándose de que después la plataforma inicial no las conservaría. "Tus datos personales son tuyos, por fin tienes el derecho de llevártelos donde quieras", añade. Igualmente ese derecho permite trasladar todos los datos de una entidad bancaria a otra o de una empresa de telecomunicaciones, para que conozcan el historial de consumo del usuario y puedan hacerle ofertas. El derecho al olvido -impedir la difusión de información personal a través de Internet- es otro de los logros, aunque García asegura que desde la sentencia del Tribunal de Justicia de la UE en 2014 sobre el llamado caso Google, en España se ha aplicado de forma regular.

Las empresas están obligadas a ser transparentes y el usuario puede pedir que le informen del funcionamiento de los algoritmos. “Muchas veces las compañías le echan la culpa a la inteligencia artificial. De esta forma se puede saber si un algoritmo es discriminatorio, por ejemplo, a la hora de conceder o no un crédito”, indica el abogado Borja Adsuara. “Se puede incluso impugnar”, recalca.

Regístrate gratis para seguir leyendo

Si tienes cuenta en EL PAÍS, puedes utilizarla para identificarte
_

Sobre la firma

Ana Torres Menárguez
Redactora de Juventud. Antes, pasó por las secciones de Educación y Tecnología y fue la responsable del espacio web Formación, sobre el ámbito universitario. Es ganadora del Premio de Periodismo Digital del Injuve (dependiente del Ministerio de Derechos Sociales). Fue redactora de la Agencia EFE y del periódico regional La Verdad.

Más información

Archivado En

Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
Recomendaciones EL PAÍS
_
_