25 de mayo de 2018, anotad esta fecha, las reglas del juego de los datos de internet cambian desde hoy para todos los ciudadanos europeos. Llega la GDPR (General Data Protection Regulation), en español: Reglamento General de Protección de Datos.
Por primera vez en la historia se reconocen los derechos de nosotros, los usuarios de internet, sobre nuestra propia información, por primera vez se definen los límites y por primera vez se regula el uso por parte de las empresas.
Si eres de los que aplaudió viendo a Zuckerberg tragar saliva ante el Senado de los Estados Unidos, si estás harta de que desde que pasaste los treinta toda la publicidad que rodea lo que lees sean métodos para aumentar la fertilidad, o si, simplemente, te preocupa no tener control sobre adónde va a parar la información que internet guarda sobre ti, esto te va a encantar.
Empezamos.
De qué hablamos cuando hablamos de datos
Quienes aún conservamos un inconsciente analógico, cuando pensamos en nuestros datos personales seguimos visualizando un cuestionario en una hoja en blanco, donde debe constar: nombre, apellidos, fecha de nacimiento, DNI, dirección postal… Pero no, no hablamos de eso, o al menos no solo. Hace mucho tiempo que nuestros datos han crecido, han mutado y se han multiplicado, lo interesante acerca de nosotros no es nuestro nombre del bautismo ni la dirección postal. Lo que en este siglo XXI se ha revelado como la verdadera fuente de riqueza es el análisis y recopilación de información acerca de nuestros hábitos, especialmente de consumo. La ubicuidad de los teléfonos móviles ha sido una ayuda inestimable para la recopilación detallada de todas nuestras preferencias en la vida diaria, adonde nunca llegó el ordenador han llegado ellos.
La GDPR, en su un glosario de términos, define como «datos personales»:
toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Sobre estas cinco líneas se sostiene el que a partir de ahora será uno de nuestros derechos fundamentales en las redes sociales y el mundo virtual.
Quizá, si nos preguntasen cuáles son los datos que constan en internet sobre nosotros, mencionaríamos los considerados datos directos: nombre, dirección, número de identificación, número de teléfono, datos bancarios, etc. Sin embargo, el reglamento, al especificar que los rasgos identificadores pueden ser tanto directos como —y aquí está la clave— indirectos, abre el arco de posibilidades protegiendo a los usuarios frente a las empresas en un gesto sin precedentes.
Así, desde ahora mismo, serían considerados datos personales de identificación indirecta: nicknames o alias, datos que tengan que ver con la salud, el aspecto físico, en qué lugares utilizas determinadas aplicaciones, la renta, la genética, la economía, tus preferencias, tus compras … y todo el abanico de posibilidades que internet y los teléfonos móviles nos vayan poniendo a nuestro alcance en los próximos años.
¿Quiere esto decir que ahora las empresas ya no nos van a poder pedir información a los usuarios?
No, de hecho seguirán haciéndolo, así como seguirán utilizando la información sobre nosotros que tenían hasta ahora. La clave de lo que significa esta nueva legislación tiene más que ver con los derechos que nos otorga a nosotros, usuarios, ante las compañías que manejan nuestra información. Con esto llegamos a uno de los puntos que a partir de hoy supondrán un cambio de paradigma:
El consentimiento
Para abreviar, asumamos sin pudor que hemos entrado en páginas o aplicaciones aparentemente inofensivas, en las que de repente nos ha asaltado una ventanita que decía: «Al utilizar esta aplicación usted acepta las condiciones de uso…», y nosotros hemos seguido adelante sin darle la menor importancia, con la tranquilidad de quien espanta una mosca. Hemos sido capaces de negarnos a firmar una multa o un acuse de recibo pensando que nos compromete demasiado, pero, tal vez porque el ratón no se parece a nuestra firma personal, hemos dicho sí a todo durante años en nuestra vida digital.
Esto no volverá a pasar.
Según el artículo 7 punto 2, deben darse una serie de condiciones para que el consentimiento sea legal en caso de que sea por escrito:
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
En pocas palabras, se acabó la letra pequeña, las notas a pie que enmiendan un texto general, o el hacer clic para admitir los términos y condiciones y al mismo tiempo la newsletter de la compañía.
El consentimiento debe ser afirmativo, activo, especificado y documentable, bien sea por escrito o grabado. Solo sí será sí.
3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
En este párrafo se resume perfectamente la situación de indefensión en que habíamos vivido hasta ahora. El consentimiento no debe ser una trampa sin salida, sino un acuerdo, y por tanto, si los términos del acuerdo cambian o mudan mis preferencias, tengo que tener derecho a romperlo, como una persona libre. Todo lo demás es abusivo.
¿Quiere esto decir que a partir de ahora todas las aplicaciones que tenemos instaladas en nuestro teléfono deberán pedirnos autorización cada vez que reciban datos nuestros?
No necesariamente, para toda la información que la aplicación deba utilizar con un interés reconocido como «legítimo», es decir, absolutamente necesario para su funcionamiento, no es necesario dar consentimiento porque se considerará implícito en el uso.
Por ejemplo:
Si te bajas una aplicación de alquiler de bicicletas, es normal que conlleve un servicio de geolocalización, que probablemente vendrá detallado en los «Términos y condiciones» o en la «Política de privacidad», sin el cual la aplicación no podría funcionar.
Ahora bien, no tendría sentido que cuando comprases unas entradas para el cine, por ejemplo, se guardasen datos de tu ubicación en el momento del uso sin pedirte consentimiento explícito, porque no son necesarios para realizar la transacción.
Mis datos son míos, ¿y ahora qué?
Hasta hace poco, conseguíamos deducir mínimamente adónde habría llegado nuestra información personal por la publicidad que recibíamos. A partir de hoy, puesto que somos reconocidos como dueños con derechos, podemos exigir saber qué datos exactamente constan en poder de una compañía y para qué utiliza esa información.
En los artículos 13, 14 y 15 de la GDPR se articulan las condiciones para el acceso a la información personal en poder de una empresa; tal acceso debe ser, al igual que el consentimiento, inmediato y facilitado.
¿Por qué esto es importante?
Pues porque en caso, supongamos, de que una red social o una aplicación quiera utilizar nuestros datos para estadísticas, para almacenarlos sin más o pretendan venderlos a otra empresa, ya no podrán hacerlo a nuestras espaldas.
Nuestra información personal es una propiedad, un bien no tangible pero cuantificable, que ponemos en manos de una empresa pero que en ningún momento le hemos regalado, sino que está depositado bajo custodia. Por eso tenemos derecho a exigir responsabilidades en cualquier momento, solicitar información para controlar cómo está siendo cuidada nuestra propiedad y tener conocimiento de si está siendo utilizada y con qué fin.
Tenemos claro, entonces, que nuestros datos personales son nuestros, que tenemos derecho a reclamarlos, vigilarlos y llevárnoslos adonde queramos.
¿Eso es todo? No; el dueño legítimo de algo es aquel que tiene el poder para destruirlo.
Derecho al olvido
¿Cuántas veces hemos intentado anular una suscripción o borrarnos en una web y no hemos encontrado cómo? ¿Cuántas veces, aun después de borrarnos, seguían llegando e-mails pidiéndonos que volviéramos o diciéndonos que nuestros amigos nos echaban de menos? ¿Cuántas veces hemos pensado que este abuso debería estar penalizado?
En el artículo 17 se detallan todos los supuestos en los que el usuario tiene derecho a que sus datos sean borrados inmediatamente. Aparte de todos los supuestos de irregularidad, el fundamental es:
… estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
(…)
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6.
Reconocer que una persona tiene derecho a cambiar de opinión, es decir, a revocar su consentimiento, es adjudicarle un patrón de pensamiento inteligente, basado en juicios y preferencias que son susceptibles de evolucionar y cambiar. Nosotros, usuarios, dejamos legalmente de ser sujetos pasivos, gracias a que se nos reconozca el derecho a querer hoy una cosa y mañana otra.
La figura del consentimiento es el matiz que lo cambia todo, aquí y en la vida en general.
La parte contratante de la primera parte
El Reglamento General de Protección de Datos ampara a todos los ciudadanos de la UE y es de obligatorio cumplimiento para todas las empresas, sean europeas o no, que procesan datos de ciudadanos miembros de la Unión. En caso de no observar este reglamento, las compañías tendrán que afrontar multas administrativas de hasta veinte millones de euros o el 4% del valor de su negocio, dependiendo de la gravedad de los hechos.
Esto quiere decir, a modo de resumen, que somos los primeros ciudadanos de la historia digital en ostentar la titularidad de nuestro bien más valioso: los datos personales. Las compañías solo podrán usarlos y almacenarlos con nuestro consentimiento activo y documentado, podremos acceder a nuestra información personal cuando queramos, tanto para consultarla como para corregirla, hacer uso de ella o borrarla.
A partir de este momento, dejemos de mirar a las empresas de internet como centros de acogida gratuitos y tengamos presente que, cada vez que volvamos a pulsar «Aceptar» sin haber leído, estamos cediendo un control que tenemos reconocido legalmente.
No valdrá quejarse luego.
La próxima vez que, como hacía el Frente Popular de Judea con los romanos, alguien pregunte: «¿Qué ha hecho Europa por nosotros?», además de la moneda única, de la libre circulación y residencia en los países de la UE, del Tribunal de Derechos Humanos de Estrasburgo, de haber suprimido el roaming y de habernos dado la paz, no olvidéis añadir que ha obligado a los monstruos de internet a entregarnos a los ciudadanos europeos el título de propiedad y los derechos sobre nuestros datos personales.
Puedes consultar la GDPR íntegra en español aquí.
Para lo único que he visto que ha servido la nueva ley de GDPR, es para seguir con mi buzón de entrada lleno de SPAM. Todos han actualizado sus políticas, pero unos pidiendo permiso para seguir enviando, otros avisan de que lo hacen y listo, y por último los no dicen nada. A los primeros es para darles de comer a parte. Tengo como 5 o 6 webs a las que no les acepté de nuevo el spam… Pues esos mismos me llenan la bandeja de entrada de manera espectacular jajajaja.
Ahora la policía de Internet perseguirá a las páginas que vulneran la ley esa nueva. No como la Guardia Civil, que cuando llamé para que vinieran por una pelea que hubo en mi lugar de trabajo y porque me habían amenazado de muerte verbalmente y con una piedra en la mano no verbalmente pasaron de mi culo.
Pero la policía de Internet seguro que hace cumplir la ley de Internet. Igual que la inspección de trabajo defiende la aplicación de la ley del Trabajo.
No hay leyes, porque eso implicaría que hay igualdad de trato y de derechos y obligaciones. Lo que hay es privilegios, porque las leyes, los derechos y las obligaciones son diferentes dependiendo de tu clase.