EL
MUNDO
24 mayo
2018
Qué
es la GDPR: guía para entender la nueva ley de protección de datos
César Urrutia
La UE activa hoy la norma de control de
datos más estricta del mundo. Estas son sus grandes novedades para los
usuarios... y también para las empresas
Los datos, el registro de quiénes somos, dónde estamos, qué
hacemos, qué pensamos... se han convertido en el fundamento de internet. Si no podemos concebir un día sin Google, Facebook o Whatsapp, tampoco
podemos prescindir de los datos que generamos como usuarios y que aprovechamos
también com usuarios. Todo gira alrededor de esta
industria invisible y multimillonaria que nos hace creer que los servicios
virtuales son gratis y de la que ya no nos podemos desenganchar.
El problema de esta adicción es que el volumen de datos que
se registra crece de modo exponencial, igual que crece la dimensión de los
robos y los abusos, que han escalado hasta alterar procesos democráticos. Eso
sí, frente a la desregulación estadounidense, Europa ha dado el paso de crear
el nuevo Reglamento General de Protección de Datos (GDPR), el marco regulatorio
más estricto hasta el momento.
Nuevos derechos
Ya que pasamos nuestra vida conectados al teléfono móvil o
al ordenador, ¿en qué nos cambia la vida la entrada en vigor de esta norma?
Básicamente, en que los usuarios de cualquier tipo de servicio en la red que
registre sus datos -es decir, prácticamente todos- tienen nuevos derechos en lo
que se refiere al registro y el uso de la información que le concierne. Es más
control a su favor, aunque como sucede con todos los derechos, tienen más valor
cuando se conocen.
¿Qué derechos?
El derecho de portabilidad de nuestros datos, por ejemplo,
que incluye reclamarlos y depositarlos en otras compañías. Le sigue el de la
limitación al tratamiento que se hace de ellos en función de nuestros
intereses, junto con los ya tradicionales derechos de acceso, rectificación,
supresión y oposición. "La norma también dedica un apartado específico al
derecho a oponerse a las decisiones individuales automatizadas, incluyendo la
elaboración de perfiles", explica la Agencia Española de Protección de
Datos.
"Supone un paso adicional en la protección de los
ciudadanos", explica Mar España, directora de la Agencia. "Es un
cambio de modelo en la gestión de los datos personales, puesto que se pasa de
un modelo reactivo a otro de carácter preventivo, a través de algunas
herramientas como puede ser la privacidad por defecto, la privacidad desde el
diseño o las evaluaciones de impacto en la protección de datos".
Desde Adglow, una de las mayores
empresas españolas de publicidad en redes sociales, el punto de vista es
coincidente, aunque con matices. "Los usuarios quieren usar los servicios
que las plataformas digitales de contenidos, e-commerce
o sociales les ofrecen y están dispuestos a pasar por alto muchas cuestiones
relativas a la seguridad y la privacidad", señala su consejero delegado,
Juan Domínguez. "Todo esto no quita para que la ley efectivamente proteja
más a los usuarios y obligue a las empresas que usan o intermedian datos a ser
más cuidadosos y advertir previa y repetidamente al usuario, que de todas
maneras hará lo que le parezca mejor".
Consentimiento
En opinión de este ejecutivo, el espíritu de la ley
contrasta con la impulsividad de los usuarios al acceder a los servicios
aceptando contratos que no se leen. "Los centros de gestión de privacidad
de cualquier red social están disponibles y funcionan", dice. "Lo que
ocurre es que visitarlos conscientemente y dedicar tiempo para afinar qué y
cómo compartimos nuestra actividad, sean fotos, posteos,
o la huella del GPS del móvil, resulta tedioso".
Así es. Nadie se lee los términos o los permisos que
otorgamos cada vez que descargamos una app o nos
dejamos seguir por una cookie. Ahora, entre los efectos más notables de la
nueva ley está el de pedir permiso al usuario para la utilización de sus datos.
Ése el motivo por el que en las últimas semanas los buzones electrónicos han
recibido millones de mails que proponen renovar la relación con los destinatarios.
A partir de ahora, se insistirá en el primer paso: preguntar.
Y no vale cualquier formato de pregunta. "Desaparece el
denominado consentimiento tácito, de forma que aquellas entidades que basaban
el tratamiento de datos personales en ese consentimiento tácito, no pueden
seguir haciéndolo", advierte Mar España. El consentimiento según el
reglamento debe ser "inequívoco", lo que exige registrar una
manifestación del interesado o mediante una clara acción afirmativa. Ya no
vale, por ejemplo, considerar como consentimiento la inacción o el uso de
casillas ya marcadas. Y, por cierto: igual de fácil que obtener este
consentimiento debe ser cancelarlo.
Iguales ante la
ley
No todos los datos son iguales ante la ley. La nueva norma
establece dos niveles básicos de datos. Hay datos que nos identifican
específicamente como individuos, de manera que tienen protección extra, como
pueden ser el DNI, la dirección de correo electrónico, el número de cuenta o
cualquier dato asociado a una identidad. La información médica, la orientación
sexual o creencias religiosas también entran en este capítulo. Ésta es la razón
por la que, más allá de los términos y condiciones de aceptación obligatoria, Facebook pide explícitamente a sus usuarios consentimiento
para registrar sus opiniones religiosas o, en su proyecto de servicio de citas,
su orientación sexual.
Hay categorías de datos menos relevantes. "El dato
'Madrid' como lugar de nacimiento o de residencia no es de nadie", explica
el abogado especializado Borja Adsuara. "Lo que
es 'tuyo' es tu intimidad. Lo que hay que proteger es la 'asociación' entre un
sujeto y un dato, porque ese vínculo es lo que da información o dice cosas de
ti. Cuando empaquetan 'tus' datos y te los llevas, lo que realmente te llevas
son esos vínculos entre los datos y tú. No te llevas el dato 'Madrid' o tu
edad, porque la edad es un número y no es propiedad de nadie y cambia todos los
años".
El hecho es que para el resto de datos que no son únicos,
también hay condiciones. Una capacidad cada vez mayor de registrar cada uno de
los pasos de los miles de millones de usuarios y de combinarlos en datos para
construir perfiles segmentados crece de modo exponencial, de modo que lo que
hoy puede considerarse un dato poco relevante -como el código postal o geolocalización a través del móvil- mañana puede entrar en
una categoría más protegida.
Menos abusos
"Nadie sabe lo que tiene hasta que lo pierde".
Esta vieja sentencia conserva todo su valor en una industria digital que ha
dado sus primeros pasos basándose en la explotación de datos personales de los
usuarios para crecer hasta escalas nunca vistas. Las empresas deben ahora ser
transparentes en su recogida de datos, en el uso que hacen de ellos y en el
registro de lo que conservan y han utilizado.
También serán auditables y
denunciables por los usuarios. «No hay más abuso que un mal uso», opina
Domínguez, cuya empresa basa su negocio en intermediar entre anunciantes y
grandes plataformas. "Y esto es recíproco. Las grandes empresas tienen la
capacidad de relacionar silos de información aparentemente independientes, para
sorpresa a posteriori del usuario. Y de nuevo, la forma de evitar el abuso como
usuario es la de ser consciente del papel que cada uno representamos dentro de
cualquier ecosistema digital. El sentido común se nos olvida en lo digital: ¿Es
tal o cuál servicio gratuito? En caso afirmativo, probablemente estemos
cediendo información en forma de localización, fotos, aspecto de una
presentación o agenda de contactos".
Desde la AEPD dicen que al 80% de los españoles le preocupa
su privacidad en internet. "Además, se ha
producido una evolución en relación a las reclamaciones", indica España.
"Cada vez son más los usuarios que reclaman a la Agencia por cuestiones
como, por ejemplo, la publicación de fotos en internet,
que quieren eliminar un vídeo de una determinada red social o incluso la
difusión de datos personales sin consentimiento a través de aplicaciones de
mensajería instantánea", añade la directora, que recomienda a los usuarios
la lectura de las fichas de privacidad y seguridad en internet
de la AEPD.
Y más multas
La filosofía del nuevo GDPR es poner cierto control a una
industria que se ha vuelto gigantesca no sólo en Silicon Valley
sino en la propia Europa, donde los 60.000 millones de euros que genera esta
actividad son motivo suficiente para protegerlo como un sector que en el plazo
de apenas cinco años podría emplear a tantas personas como la industria del
automóvil, con 12 millones de trabajadores. Las multas pueden ser también a
escala: un 4% de la facturación global de una empresa. Así, en el peor de los
casos, un gigante como Apple podría pagar hasta 8.000 millones de euros.