Aceptar los términos de uso de empresas como Google, Amazon, Facebook, Microsoft o Apple es un acto tan cotidiano como misterioso: en la práctica nadie lee los contratos que vienen pre-diseñados para un click rápido y, sobre todo, nadie sabe qué hacen las empresas de tecnología con sus datos personales, como volvió a demostrar Facebook en ocasión del escándalo por la filtración de toda la información sobre 50 millones de sus usuarios.
Desde el 25 de mayo eso comenzará a cambiar en el territorio de la Unión Europea (UE). Ese día entra en vigencia una normativa aprobada en 2016, el Reglamento General de Protección de Datos (GDPR), que otorga más comprensión al usuario sobre la privacidad de sus datos personales, impone nuevos requisitos para el consentimiento, hace obligatorias las notificaciones (en 72 horas como máximo) sobre violaciones de seguridad y robo de información y crea el cargo del Delegado de Protección de Datos (DPO).
Ya no alcanzará con declaraciones del tipo "la empresa toma muy seriamente la protección de los datos y la privacidad de los usuarios", ni serán válidas las distinciones entre letra grande y letra chica, ni será posible obligar a las personas a que acepten para poder abrir una cuenta en una app, ni serán legales las casillas pre-chequeadas para recibir publicidad, ni el consentimiento tácito a las comunicaciones comerciales ni las cesiones de datos.
Sintetizó Wired: "Las empresas deben ser claras y concisas sobre el almacenamiento y el uso de datos personales como el nombre completo, el domicilio, los datos de ubicación, la dirección IP o el identificador que rastrea el uso de sitios y aplicaciones en los smartphones. Las empresas tienen que manifestar expresamente por qué se almacenan los datos y si se usarán para crear perfiles de las acciones y los hábitos de las personas. Además, los consumidores obtendrán acceso a los datos que las empresas guardan sobre ellos, tendrán derecho a corregir la información incorrecta y a limitar el uso de decisiones tomadas por algoritmos".
Los dueños de la información personal son los individuos y los datos se definen como cualquier información sobre ellos que se pueda utilizar para identificarlos de manara directa o indirecta: además de los evidentes, también un apodo, una foto, un e-mail, sus datos crediticios, sus publicaciones en redes sociales, sus informes médicos.
Los ciudadanos de la UE adquieren derechos como la minimización en la recolección de su información. Especialmente importantes son el derecho a la portabilidad, por el cual el interesado puede solicitar quien tenga sus datos que se los de en un formato que permita su traslado a otra entidad, y el derecho al olvido, que permite que alguien pida que se eliminen de los resultados de búsqueda aquellos datos sobre sí que sean falsos, irrelevantes, obsoletos, incompletos o carentes de interés público.
Como consecuencia, las empresas que gestionan datos quedan comprometidas con obligaciones nuevas, la fundamental de las cuales es informar a los usuarios sobre las finalidades de esa gestión de datos, para obtener consentimiento por separado para cada una. Las empresas también deben mantener registros propios de actividades de procesamiento y cooperar con las autoridades de la UE.
El sitio Xataka explicó que los cambios sustanciales son un punto de partida, según dos conceptos de el GDPR: privacy by design y privacy by default. Las compañías deben "tener en cuenta todos los requisitos de privacidad desde el momento de la creación de una nueva solución o herramienta tecnológica". Las compañías grandes y las instituciones públicas deberán tener un DPO, que podrá estar dentro de la estructura o tener un contrato externo.
Ya no serán legales en la UE las autorizaciones tácitas para recabar toda clase de datos.
Desde que el uso de internet se generalizó y causó distintas crisis de datos que se han sucedido desde hace más de una década, el GDPR será la primera norma efectiva que se inclina hacia el usuario en la protección de su información personal. Se complementará con el Reglamento ePrivacy, que en este momento debate la Comisión Europea, cuyo fin es extender a todas las operaciones en internet el principio de confidencialidad de las comunicaciones.
Como las empresas no han tenido hasta el momento ningún motivo para no comercializar la información de las personas, la norma de la UE ha encontrado mucha resistencia. Por eso las sanciones alcanzan los € 20 millones o el 4% de la facturación anual de quienes no la cumplan. "Para Facebook, eso sería USD 1.600 millones; para Google, USD 4.400 millones", ilustró Wired.
"La ley es una oportunidad para cambiar la economía de la industria", siguió la revista. "Desde los comienzos de la red comercial, las empresas han tenido el incentivo de aspirar los datos y monetizarlos luego. Ahora los consumidores de la UE tendrán la opción de optar por la inclusión en lugar de la molestia de optar por la desvinculación. Ese énfasis en el consentimiento crea un premio financiero a quien construya la confianza del consumidor".
El GDPR afecta a todas las compañías, no sólo a las europeas, que usen datos de los ciudadanos de los 28 países miembros de la UE, es decir que alcanza a las grandes de Silicon Valley, como Google, Amazon, Facebook, Microsoft y Apple. También están sujetas a esta norma más allá de cuál sea su actividad, si usan datos de las personas: desde editoriales a bancos, desde universidades a hospitales, desde empresas Fortune 500 a las agencias de publicidad que se dedican a rastrear las preferencias de las personas en internet.
"A modo de ejemplo del alcance la ley, la Comisión Europea dice en su sitio que una red social tendrá que cumplir con la solicitud de un usuario de que se borren las fotos que publicó como menor de edad, y tendrá que informar a los motores de búsqueda y otros sitios que usaron esas fotos que las imágenes se deben eliminar", ilustró Wired. Compañías como Uber podrán pedir nombre, domicilio y tarjeta de crédito, y a lo sumo preguntar si la persona tiene alguna discapacidad, pero ningún otro dato.
La expectativa del GDPR provocó cambios antes de su entrada en vigencia. En 2017 Google anunció que dejaría de buscar información en los correos electrónicos de los usuarios de Gmail para personalizar publicidades; en enero de 2018 Facebook anunció que lanzaría su propio tablero de privacidad, pero aún no lo hizo. Drawbridge, una empresa de publicidad que rastrea a las personas en sus dispositivos, dijo que reduciría sus negocios en la UE por la falta de claridad sobre lo que podría implicar el consentimiento del consumidor.
"La necesidad de transparencia y responsabilidad es más vital que nunca", consideró Wired en el análisis del reglamento europeo. "Aceptar con un click un documento impenetrable sobre términos de servicio alguna vez pareció una pavada. El beneficio era una eficiencia increíble, y el perjuicio, se creía, apenas alguna molesta publicidad de calzado que nos acosaba en la red. Pero el año pasado ha demostrado que los mismos datos personales se podían convertir en armas para suprimir a los votantes de las minorías, radicalizar a los jóvenes varones blancos, explotar las creencias políticas para sembrar la división y posiblemente dar vuelta elecciones".
El impacto del GDPR dependerá, creen los analistas, de cómo lo reciban los consumidores: si ejercen de manera muy activa sus derechos o aceptan seguir pagando con sus datos servicios populares. Según una encuesta que e-Marketer realizó en febrero de 2018 en el Reino Unido, casi 6 de cada 10 dijeron que el GDPR les ha hecho pensar en cuántos datos personales suyos tienen las compañías. El 58% consideró que el reglamento es "un paso positivo en el mundo de la privacidad y la protección de datos" y el 55% dijo que no tiene confianza en que sus datos personales "sean usados de la mejor manera posible por aquellos que tienen acceso a ellos".
MÁS SOBRE ESTE TEMA: