“He leído y acepto”; un año de protección de datos en internet

f9c0d_11google.jpg

Madrid (EuroEFE).- “He leído y acepto”; “acepto las condiciones del servicio y la política de privacidad”, “tu privacidad es importante para nosotros”; los mensajes proliferan en internet desde que hace un año entró en vigor las nuevas normas de protección de datos en la Unión Europea (UE).

Según datos divulgados este miércoles por la UE, las autoridades de los países de la UE recibieron en un año 144.376 consultas y quejas relacionadas con la protección de datos.

Más de 140.000 consultas y quejas en un año

Un Eurobarómetro publicado también con esa ocasión pone de relieve que el 67 % de los europeos ha oído hablar del nuevo Reglamento General de Protección de Datos (conocido por sus siglas en inglés GDPR), que da al usuario una participación más activa sobre quién tiene o qué hace con sus datos.

Los más enterados de esa legislación son los suecos (el 90 % la conoce), seguidos de los holandeses (87 %) y los polacos (86 %), mientras en el extremo opuesto se sitúan los franceses (44 %), los italianos (49 %) y los belgas (53 %).

En el caso de los españoles el porcentaje es del 67 %.

Según Bruselas, los europeos contactan cada vez más con las autoridades de protección de datos para plantear cuestiones sobre la legislación o poner denuncias en defensa de sus derechos.

Sin embargo, el Eurobarómetro pone de relieve que persiste el desconocimiento entre los ciudadanos de muchos países sobre la existencia de autoridades públicas encargadas de velar por la protección de los derechos sobre los datos personales.

De hecho los españoles son los que menos conocen que hay autoridades públicas nacionales a las que se pueden dirigir para resolver ese tipo de cuestiones (solo un 40 % dice estar al tanto), seguidos de los rumanos (46 %) y los húngaros (47 %).

En el extremo opuesto se sitúan los holandeses (82 %), los letones (76 %) y los suecos (74 %).

Las autoridades públicas han recibido desde mayo del año pasado 89.271 notificaciones de infracción de las normas de protección de datos personales.

Las normas establecen que cuando una empresa es responsable de la revelación de esos datos de manera accidental, está obligada a informar de la situación a su autoridad pública correspondiente en las 72 horas desde que tiene conocimiento de esa infracción.

La UE, referente a nivel mundial

El reglamento que cumple un año pone al día la anterior directiva de 1995 y ha introducido conceptos como el llamado “derecho al olvido”, es decir, que una plataforma esté obligada a eliminar todos los datos que guarda de un usuario si este lo solicita.

Las normas buscan devolver a los usuarios el control sobre el uso que las compañías hacen de sus datos y estas tendrán que proporcionar información sobre los fines para los que se van a utilizar, el tiempo durante el cuál se conservarán, con quién se compartirán o si serán transferidos fuera de la UE.

Las empresas están obligadas a informar al usuario de cómo puede retirar su consentimiento sobre sus datos y sobre su derecho a presentar una reclamación al respecto.

Si bien la normativa solo cubre a los ciudadanos europeos, empresas radicadas fuera de los Veintiocho pero que tratan datos de usuarios comunitarios, como Google o Facebook, han tenido que perfilar sus servicios y estrategias de trabajo para los nuevos estándares europeos.

La cuantía de las multas en caso de incumplimiento son de un máximo de 20 millones de euros o hasta un 4 % de la facturación global de la compañía el ejercicio anterior.

En el último año la mayor multa impuesta fue para Google, que en Francia fue condenada a pagar 50 millones de euros por falta de transparencia, la información insatisfactoria proporcionada y la falta de consentimiento válido para la personalización de publicidad.

La comisaria europea de Consumo, Vera Jourová, dijo que la nueva normativa “no solo ha hecho que Europa sea apta para la era digital, sino que también se ha convertido en un referente a nivel mundial”.

¿Cuál es el el reverso del “He leído y acepto”?

El reverso sería determinar si una persona es completamente libre al clicar “sí” o “acepto” cuando, de no hacerlo, no tendría acceso a los contenidos que ofrece una página web o una aplicación para el móvil.

El 25 de mayo se cumple un año de la entrada en vigor del Reglamento General de Protección de Datos, del que se dotó la UE para reforzar el control sobre quién dispone de la información personal y armonizar las legislaciones de todos los países.

El armazón legal comunitario se completó en España con una nueva Ley de Protección de Datos que, además de actualizar las normas, incluye una “carta” con los nuevos derechos digitales, como la desconexión laboral, el olvido en internet o el testamento virtual.

Un año después de entrar en vigor el reglamento europeo, los expertos consultados por EFE coinciden en que sí: los datos personales están más protegidos; pero también en que queda mucho camino por recorrer, en que no existe un blindaje perfecto, o en las carencias de la norma, y entre éstas la necesidad de poner límite a la “voracidad” de algunas empresas y partidos políticos para acceder a los datos personales e incluso rastrear ideologías.

Información confusa y poco accesible 

Jesús Rubí, coordinador de la Unidad de Apoyo y Relaciones Institucionales de la Agencia Europea de Protección de Datos, ha destacado que el Reglamento europeo amplió el ámbito de aplicación territorial y ahora las normas son aplicables a empresas que prestan servicios de internet desde terceros países y no tienen tratamiento de datos en la UE.

En declaraciones a EFE, Rubí ha observado que muchas empresas, sobre todo grandes corporaciones, ofrecen información sobre el tratamiento de los datos personales y las políticas de privacidad que son “confusas y poco accesibles” para los ciudadanos.

Pero además de las empresas, Rubí ha insistido en que los ciudadanos deben ser también “proactivos” a la hora de ejercer sus derechos y conscientes de los riesgos que genera el tratamiento de los datos, “en particular cuando se realizan perfiles cada vez más precisos de las costumbres y los hábitos de navegación de los usuarios”.

“Tu privacidad es importante para nosotros”, alertan reiteradamente los avisos en internet, pero el abogado Borja Adsuara ha subrayado que les falta añadir: “porque vivimos de ella”.

Adsuara, especializado en protección de datos, ha señalado que la legislación no protege directamente los datos personales “sino la libertad de hacer lo que queramos con ellos”, y, a su juicio, “somos laxos” a la hora de facilitar consentimientos.

De hecho, la mayor parte de las páginas web avisa de que va a utilizar “cookies” para personalizar contenidos y publicidad, y cualquier aplicación de móvil pide permiso para acceder a la ubicación, a las fotos e, incluso, a los contactos del dispositivo.

“La protección y seguridad al cien por cien es imposible, pero hay que dejar muy claro qué usos son legales y cuáles no y sancionar al que haga un mal uso de los datos; no solo con multas previstas en el Reglamento europeo, también con el Código Civil y, si es grave, con el Código Penal”, ha manifestado a EFE Adsuara.

¿Ponemos en riesgo a terceras personas?

El presidente de la Asociación de Usuarios de Internet, Miguel Pérez Subías, ha observado que cada vez que damos permiso a una aplicación para que acceda a nuestra libreta de direcciones o a nuestra galería “estamos comprometiendo datos de terceras personas sin que ellos sean conscientes de ello, sin su consentimiento y sin responsabilidad para el usuario que lo permite”.

Pérez Subías va un paso más allá: “cada vez que reconocemos a alguien en una aplicación o red social estamos dando la identidad de esa persona, es decir, la huella digital por la que podrá ser reconocida en todas las fotos y vídeos donde aparezca, aunque esa persona no sea usuaria de ese servicio”.

El presidente de la AUI cree que las administraciones deben ser “proactivas” y estudiar de forma intensa las aplicaciones que usan los ciudadanos y que esa vigilancia sea proporcional al número de descargas de esas aplicaciones o servicios; “se trata de crear un ecosistema seguro en el que no nos tengamos que cuestionar cada servicio que utilizamos”.

“Los datos cada vez tienen más valor ya que son el combustible necesario para dotar de inteligencia muchos procesos y aplicaciones; por esa razón cada vez hay más interés por recabar cuantos más datos mejor y se ponen en marcha prácticas y procesos muchas veces en el límite de la legalidad y en muchos casos al margen de ella sin que el usuario tenga conciencia de ello”.

No es sencillo, pero es posible

Los expertos coinciden en que la legislación no blinda contra las actividades ilícitas, como el Código Penal no evita que se cometan miles de delitos.

Pero Jesús Rubí ha valorado que el Reglamento europeo otorga a todas las autoridades de los estados miembros de la UE las mismas funciones de inspección y de investigación y el mismo régimen sancionador.

“Las posibilidades de reaccionar ahora frente a los tratamientos ilícitos de nuestros datos han mejorado”, ha concluido Rubí, quien se ha mostrado convencido de que garantizar una adecuada protección y tratamiento de los datos personales no es una utopía; “no es sencillo, pero es posible”.

Por Raúl Casado y Marta Borrás (edición: Catalina Guerrero)

Para saber más:

► El GDPR, una nueva era para la privacidad en la UE

 Eurobarómetro: Resultados parciales del Eurobarómetro especial sobre protección de datos, incluida la ficha informativa sobre el RGPD

►  Infografía: El RGPD en cifras

► Portal del RGPD: Reforma de 2018 de las normas de protección de datos de la UE

► Infografía: ¿Qué debe hacer su empresa?