Mañana 25 de mayo
entra en vigor el Reglamento europeo de
protección de datos, que las multinacionales de Internet han intentado
retrasar los últimos 6 años. Ahora, los usuarios tendremos más derechos sobre nuestros datos,
pudiendo rectificarlos o suprimirlos. Y se exige más control a las empresas sobre los datos que manejan, con multas millonarias.
Pero todavía está pendiente de aprobar otro Reglamento, el ePrivacy, más específico sobre Internet, donde empresas y Webs
presionan al Parlamento europeo sobre cookies y envío de mails. Con todo, Europa será el lugar más avanzado del mundo en la defensa de la privacidad. Pero no hay que
confiarse: nuestros datos son puro
dinero y los gigantes de Internet no van a renunciar a usarlos y saber más de nosotros cada día, con el
riesgo de que los datos se filtren (Facebook). Y controlarlo no es fácil, sobre
todo si la Agencia de Protección de Datos (AEPD) tiene sólo 15 inspectores. Nosotros debemos cuidar más los datos que damos.
Cada día dejamos un enorme rastro en Internet, un reguero de billones de datos: cada vez que hacemos una búsqueda en Google, mandamos un correo electrónicos, buscamos un billete de avión o un hotel, hacemos una compra online, ordenamos una transferencia por la Red, buscamos un lugar en Google Maps, escribimos algo en Facebook o Twitter, subimos una foto a Instagram, enviamos un mensaje por WhatsApp, buscamos trabajo en InfoJobs, nos bajamos música en Spotify, vemos un vídeo en YouTube… Son acciones ya cotidianas que van dejando rastro de cómo somos, de lo que nos gusta y con estos datos, los grandes operadores de internet hacen negocio, vendiendo publicidad personalizada, que es la base de su negocio, a costa de nuestra “privacidad”. Su argumento es que es el precio de ofrecernos unos servicios “gratuitos”. No es verdad: los pagamos con nuestros datos.
 |
| enrique ortega |
Cada día dejamos un enorme rastro en Internet, un reguero de billones de datos: cada vez que hacemos una búsqueda en Google, mandamos un correo electrónicos, buscamos un billete de avión o un hotel, hacemos una compra online, ordenamos una transferencia por la Red, buscamos un lugar en Google Maps, escribimos algo en Facebook o Twitter, subimos una foto a Instagram, enviamos un mensaje por WhatsApp, buscamos trabajo en InfoJobs, nos bajamos música en Spotify, vemos un vídeo en YouTube… Son acciones ya cotidianas que van dejando rastro de cómo somos, de lo que nos gusta y con estos datos, los grandes operadores de internet hacen negocio, vendiendo publicidad personalizada, que es la base de su negocio, a costa de nuestra “privacidad”. Su argumento es que es el precio de ofrecernos unos servicios “gratuitos”. No es verdad: los pagamos con nuestros datos.
Con más de 4.000 millones de internautas en el mundo y 39,42 millones en España (el 85% de la población está conectada), Internet se ha convertido en una
gigantesca “mina de datos”, que
crece imparable. Cada minuto se
generan en el mundo 1.700 millones de datos (el 94% digital), que rellenarían
360.000 DVD. Y con los 6 megabytes de dados por persona que se generan cada día, se podrían grabar tantos DVD como para, puestos en fila, ir y volver
a la luna, según el informe BSA Sata Study. Y este gigantesco volumen de datos se multiplica cada 1,2
años, siendo cada vez más barato almacenarlos. A partir de ahí, explotar
estos datos, “refinarlos” es el objetivo de una
potente industria, el big data, que factura ya 42.000 millones de euros anuales y se espera
que facture el doble para 2020. “El negocio del siglo”
Esta potente industria generada con nuestros datos, el big
data, es la base del negocio de Google,
que, con más de 1.000 millones de usuarios activos , facturó 95.400 millones de dólares en publicidad en
2017, un 20% más que en 2016 (y el 84% de todos sus ingresos). Y Facebook ingresó otros 40.000 millones por venta de publicidad, un 49% más. Y eso son sólo los trozos más
grandes del pastel publicitario que
generan nuestros datos, a través de plataformas millonarias en usuarios como Facebook (2.167 millones de usuarios),
YouTube (1.500 millones), WhatsApp (1.300 millones), Instagram (800 millones),
Twitter (320 millones), Linkedln (260 millones), Snapchat (255 millones) o
Pinterest (200 millones). Millones de personas produciendo datos que son un filón de negocio
para los gigantes de Internet.
Las autoridades
europeas llevaban años tratando de poner orden en este caos de datos personales que hacen multimillonarios a algunos. La Directiva Europea
de protección de datos es de 1.995,
cuando apenas había nacido Internet, y luego hubo otra en 2002 sobre comunicaciones electrónicas, pero ambas se ha quedado
obsoletas. En 2012 empezó a gestarse un nuevo Reglamento de
Protección de Datos, que tardó 3 años en aprobarse, por las enormes presiones de los gigantes de Internet y del gobierno norteamericano, que
intentaron “torpedear” la norma. “Nunca
había visto un lobby tan potente”, declaró en 2013 la Comisaria europea de Justicia
y vicepresidenta de la Comisión, Viviane Reding. Por fin, la Comisión europea aprueba el Reglamento
en 2015 y en abril de 2016 lo aprueba el Parlamento europeo,
pero las empresas consiguen una moratoria
y que no se aplique hasta este 25 de mayo de 2018.
El nuevo Reglamento Europeo de Protección de Datos (GDPR, por sus siglas en inglés)
pretende dar a los ciudadanos europeos una mayor capacidad de decisión y control sobre
los datos personales que facilitan a las empresas, no sólo a las
europeas sino a las de otros países que actúan en Europa (como Google o
Facebook, por ejemplo). El principio básico es que los usuarios
son los dueños de sus datos y que las empresas sólo pueden usarlos con su autorización e informando qué hacen con
ellos.
El Reglamento establece 5 derechos del usuario, resumidos en este esquema de la Agencia Española de Protección de Datos (AEPD). El
primero, el derecho a conocer: poder saber quién tiene tus datos,
para qué los usa, a quién se los cede, cuánto tiempo se conservan, qué
tratamiento automático se hace con ellos y qué perfiles se elaboran. A partir
de ahora, al pedirnos los datos en un hotel, por ejemplo, nos tendrán que
informar de todo esto. El segundo derecho es poder solicitar al responsable de los datos la suspensión (si son
inexactos o falsos) o su conservación (si los necesitamos para litigar) y la
portabilidad a otros proveedores (que se los pasen a otra teleco a la que nos
hemos cambiado, por ejemplo). El tercer derecho es a rectificar los datos cuando son inexactos o incompletos. El cuarto,
el derecho al olvido: poder solicitar
la supresión de tus datos por tratamiento ilícito, porque ya no tiene sentido,
porque revocas tu consentimiento o porque te opones a que los traten. Este
derecho al olvido en Internet está apoyado en una sentencia de 2014 del Tribunal europeo de Justicia e incluye solicitar que los datos
se bloqueen en buscadores. El quinto derecho es la oposición al tratamiento de datos: rechazo a que se traten los
datos para marketing directo (llamadas y mails), salvo que quien los trata
acredite “un interés legítimo”.
Pero quizás el mayor cambio del Reglamento es que obliga a las empresas a tener un consentimiento
explícito del usuario para guardar
sus datos: no vale como hasta ahora un consentimiento tácito, debe ser un consentimiento específico y quedar constancia de él en la empresa
que lo recoge (debe poder probarlo). Y en el caso de menores de 14 años, este
consentimiento lo han de dar sus padres. Y otro cambio importante es que las empresas que gestionan nuestros datos están obligadas a informar de las fugas o
violaciones de datos en 72 horas, a la AEPD y al usuario si le afecta
gravemente. Se podrían evitar así casos como el de Uber, que escondió durante un año el robo de datos a 57 millones de clientes, y tantas
otras fugas de datos que se descubren con retraso. Por último, otra novedad
importante es que el Reglamento permite acciones colectivas, por las
que asociaciones de consumidores y usuarios podrán hacer reclamaciones en nombre
de los usuarios e incluso hacerlo a escala europea, lo que fortalecerá
la defensa de estos derechos ante autoridades y jueces.
El nuevo Reglamento supone un gran cambio para las empresas e instituciones, europeas y españolas, que tratan datos de clientes. Por un lado, han de modificar todo el
sistema de recogida y tratamiento de datos, para asegurar que cuentan con el
consentimiento de los clientes. Y por otro, habrán de tomar medidas internas para asegurar la privacidad y el correcto tratamiento de estos
datos, con sistemas de control interno y una mecánica que han de seguir con rigor
los empleados. Esto va a obligar a muchas empresas a realizar una auditoría interna para asegurarse cómo
cumplir el Reglamento, aprobando inversiones en nuevos procesos de tratamiento
y control de datos. Y en el caso de algunas empresas e instituciones, es
obligatorio que contraten fuera o tengan en plantilla un delegado de protección de datos (DPO): los 20.000 organismos e instituciones
públicas (incluidas Universidades y centros docentes), Colegios profesionales, las
empresas que gestionan muchos datos (telecos, eléctricas, bancos, aseguradoras),
medios de comunicación y empresas de publicidad, así como empresas que
gestionan datos sensibles (hospitales, empresas de seguridad…).
En vísperas de la aplicación del nuevo Reglamento, sólo la mitad de las empresas españolas
parecen haberse adaptado a él, según la consultora Gartner. Y la AEPD sólo ha recibido el nombramiento de 1.300delegados de protección de datos. Otro problema es que la mayoría de
empresas no tienen Planes de ciberseguridad ni han invertido en gestionar la
seguridad de sus plataformas y datos. El mayor problema de adaptación lo
van a tener los pequeños Ayuntamientos,
las pymes y autónomos, aunque están siendo ayudados por las Cámaras de
Comercio y la propia AEPD. En caso de incumplimiento, el Reglamento contempla multas por sanciones muy graves del 4% de la facturación y hasta 20
millones de euros (la cantidad mayor de ambas), multas importantes para los
gigantes de Internet. En el caso de la fuga de datos de 87 millones de clientes de Facebook a Cambridge Analytics, la
multa del 4% de la facturación anual habría sido de 1.380 millones de dólares,
un 8,6% del beneficio anual de Facebook (15.934 millones de dólares en 2017). Como para que vigilen más…
El Reglamento
supone un gran avance y coloca a Europa a la vanguardia mundial en la defensa de los usuarios frente a los
gigantes que gestionan sus datos, muy por delante de EEUU. Pero el problema es
que son derechos a defender frente a empresas
muy poderosas (las 5 mayores empresas del mundo son tecnológicas), con miles de
empleados dedicados a sacar la máxima rentabilidad de nuestros datos y, ahora, a ver cómo
evitan las obligaciones del nuevo Reglamento. Seguro que intentarán “buscar las
vueltas” a esta nueva normativa. Y medios les sobran.
Además, todavía faltan
por aprobar otra norma europea muy importante, el nuevo Reglamento aplicable a la privacidad en el
entorno digital, el llamado ePrivacy. El nuevo Reglamento de privacidad electrónica, que complementa el estrenado Reglamento
de Protección de Datos, fue aprobado por la Comisión Europea el 10 de enero de 2017, con la idea de que entrara en vigor también este 25 de
mayo. Pero no es posible, porque
las presiones de los gigantes de Internet han retrasado su aprobación en el
Parlamento europeo, donde hay dos grupos muy enfrentados (el PP europeo y los
verdes). De momento, su aprobación podría retrasarse a principios de 2019 y no se
aplicaría hasta 2020.
Este nuevo Reglamento, ePrivacy,
contempla dos temas cruciales y muy
polémicos. Uno, el tratamiento de las “cookies”, esos archivos
que rastrean lo que vemos en Internet. El proyecto de Reglamento contempla que
los gestores de webs sólo puedan utilizar cookies si los usuarios dan su consentimiento explícito, permitiendo que
puedan seguir viendo los contenidos si no lo hacen. Y, lo más importante: el
usuario tendrá que configurar su navegador de Internet para que se puedan instalar
cookies, porque por defecto deberá estar configurado para no recibirlas. Estas
exigencias pueden reducir drásticamente el
uso de las cookies y la publicidad en
Internet (mueve 118.000 millones
de euros anuales en Europa), según se quejan los editores de webs
españolas, que han enviado una carta a Bruselas, argumentando que “desaparecería el modelo de
negocio” en el que se sustentan las webs.
Otra cuestión polémica del futuro Reglamento ePrivacy es la regulación del marketing online: las
empresas tienen que informar al usuario del tipo de información que va a
recibir y de los datos personales que se van a almacenar, solicitando su
consentimiento expreso para recibir mails comerciales. También se prohíbe la
instalación de “puertas traseras”,
para que accedan los Gobiernos a los datos personales de las compañías de
Internet Y se hace más estricta la regulación del telemarketing, permitiéndolo solamente cuando las empresas
revelen sus teléfonos o utilicen un código señalado como “promocional”.
Precisamente, el Gobierno Rajoy estudia adelantar esta medida
y prohibir ya en 2018 que las
empresas de telemarketing llamen a
los clientes desde móviles ocultos en vez de desde fijos o centralitas.
Mientras llega el ePrivacy y se pone en marcha el nuevo Reglamento de Protección de Datos, en el
Parlamento español está pendiente de aprobación (con varios meses de retraso) la
nueva Ley orgánica de Protección de Datos, aprobada por el Gobierno
Rajoy en noviembre de 2017 y que sustituirá a la LOPD, la Ley de Protección de Datos de 1992, totalmente obsoleta.
Con esta Ley y los dos Reglamentos europeos, es indudable que los usuarios
estaremos mucho más protegidos
legalmente. Pero hacen falta medios para controlar y asegurar que las
normas de cumplen. La propia presidenta de la Agencia de Protección de
Datos (AEPD) los ha pedido, porque con los 15
inspectores que tiene es imposible controlar que se protegen los datos y derechos
de casi 40 millones de internautas.
Con todo, la clave
está en nosotros, en que nos preocupemos de los datos que cedemos y de lo que subimos a la Red, de gestionar
los mails que recibimos y los mensajes de las webs que visitamos. Somos
pequeños David frente a gigantes y cada vez será más difícil defender
nuestra privacidad y nuestros derechos. Por eso, la mejor garantía es ser
más cuidadosos y reducir nuestra exposición en Internet. Si no, luego
no nos quejemos.
No hay comentarios:
Publicar un comentario