La nueva ley que entra hoy en vigor y que afecta a tu WhatsApp, Facebook y todas las redes La nueva normativa europea de protección de la privacidad comienza a aplicarse mañana. Era una ley «necesaria» que amplía las defensas, aunque nuestra intimidad seguirá en riesgo JOSEBA VÁZQUEZ Viernes, 25 mayo 2018, 00:56

Si en las últimas semanas no has recibido una amplia lista de avisos de cambio en la política de privacidad del banco, el fabricante del coche que conduces, la asesoría que lleva la administración del portal, las ONGs con las que has colaborado, variopintos portales de venta por internet, o de la propia Google, probablemente sea porque no existes. Es solo una alegoría, porque a estas alturas tú tampoco estás libre de tener datos personales cautivos en las celdas de los archivos digitales, lo que garantiza que te habrán llegado mensajes de este tipo. Algunos provocan una sonrisa. «Hemos tomado medidas para mejorar los controles que te proporcionamos para salvaguardar tus datos y proteger tu privacidad», dice generosamente el emitido por una empresa tecnológica. En otro caso, una organización de ámbito social encabeza su aviso enmarcándolo en «nuestro compromiso e implicación con el nuevo reglamento europeo de protección de datos».

Se trata de un eufemismo. Para ser exactos, ese «compromiso» no es elegido; viene impuesto legalmente por una norma aprobada hace dos años por el Parlamento Europeo y que será de obligado cumplimiento a partir de mañana en los 28 estados miembros de la UE. Se trata del Reglamento General de Protección de Datos (RGPD), un instrumento que amplía las obligaciones que deben cumplir las empresas, organizaciones y administraciones públicas en materia de defensa de la privacidad de sus clientes y usuarios. No está exenta de cierto simbolismo la coincidencia entre esta fecha con la semana en la que el fundador de Facebook, Mark Zuckerberg, ha pedido disculpas a la Eurocámara por la filtración de los datos de 87 millones de personas en beneficio de Cambridge Analytica.

La inminente entrada en vigor de la norma otorgará a los ciudadanos «una mayor protección», según la web de la Agencia Española de Protección de Datos (AEPD), que añade que la ley «complementa los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)». Se nos promete así un control superior sobre nuestros datos personales en redes sociales y en todo tipo de operaciones y actividades a través de internet. Conviene recordar que el grado de sensibilidad de algunas de esas informaciones es menor o de bajo riesgo (gustos, aficiones...), pero que el de otras es muy elevado (dirección, teléfono, detalles bancarios, información médica, tendencias políticas, sexuales o religiosas...).

Consentimiento explícito

En resumen, con el RGPD a partir de ahora podremos saber con exactitud quién recoge nuestros datos, para qué los va a utilizar, durante cuánto tiempo, si los va a ceder a terceros o si con ellos se van a tomar decisiones automatizadas o elaborar perfiles, así como sus consecuencias. De igual forma, para cualquier tratamiento y archivo de datos el afectado deberá dar su consentimiento informado, específico e inequívoco, excluyendo el permiso tácito que a menudo concedemos sin ser conscientes de ello por el simple hecho de navegar por una página web o utilizar una aplicación. O por no revisar las advertencias y hacer clic sin prevención en la casilla de 'he leído y acepto la política de privacidad', una frase convertida en «una de las mentiras más extendidas del mundo digital», en opinión de Alexandra Juanas, experta en derecho de las telecomunicaciones en el despacho de abogados Audens.

Juanas matiza, de hecho, que algunos de los problemas que en ocasiones se dan en materia de privacidad son originados por «un desconocimiento por nuestra parte y nuestra inocencia al pensar que todos los servicios que se ofrecen en internet son gratis, cuando realmente estamos pagando con nuestros datos y consentimos su tratamiento a ciegas». La letrada no duda de que el RGPD «ofrece mayores y mejores garantías que la legislación anterior porque está más preparada que su predecesora a un entorno digital». A su parecer, la ley comunitaria aporta dos cambios sustanciales: el principio de responsabilidad proactiva y el análisis de riesgos. «Por el primero -explica- un responsable del tratamiento de datos no solo será responsable de cumplir, sino que además tendrá que ser capaz de demostrarlo. Y en base al segundo, las políticas de protección deben aplicarse en función del riesgo que entrañe cada tratamiento». Las entidades que manejan riesgos altos deben tomar medidas complejas, mientras que las que manipulan riesgos bajos podrán tomar disposiciones más sencillas. Pero «todas tienen que cumplir en la medida de sus características», advierte Jesús Rubí, adjunto a la dirección de la AEPD.

El directivo de la Agencia Española de Protección de Datos entiende que el reglamento comunitario «era necesario, ya que la ley española es de 1999 y la directiva europea, de 2005. Se necesitaba una actualización urgente y global y este texto actualiza la normativa anterior y la adapta al mundo de internet». Rubí valora como especialmente relevante la inclusión de dos nuevos derechos: el de la supresión de datos hasta en cuatro supuestos y el de portabilidad, es decir, el que nos habilita a recuperar nuestra información personal y trasladarla de un proveedor de servicios a otra plataforma, siempre que sea técnicamente posible.

Jesús Rubí destaca también como muy trascendente el hecho de que el RGPD sea aplicable a empresas europeas, así como a las extracomunitarias que dirijan su oferta a residentes en la UE. «Afecta a multinacionales que prestan servicios en internet, especialmente firmas norteamericanas que tienen que cumplir también las nuevas previsiones en Europa». Esta circunstancia ha provocado que «ciertas empresas de EE UU hayan decidido bloquear a usuarios europeos ante el esfuerzo de adaptarse a la norma», comenta Alexandra Juanas.

Las pymes piden moratoria

La Agencia Española de Protección de Datos recibe un promedio de 2.500 reclamaciones al año relacionadas con la privacidad. Aproximadamente la mitad de ellas son estimadas. Como sucede hasta ahora, a partir de mañana, los ciudadanos podremos denunciar los supuestos abusos también a través de la AEPD, ante la propia empresa o administración que haya podido cometer la irregularidad y, como novedad, ante el delegado de protección de datos. Se trata de una figura recogida en el reglamento europeo con la que deben contar, de forma obligatoria, todas las administraciones públicas y las empresas que manejan datos de alto riesgo a gran escala. Su misión consistirá en informar, asesorar y supervisar el cumplimiento del RGPD por parte de una entidad y su puesto puede ser externo o interno. En el segundo caso «debe gozar de la suficiente autonomía y no puede recibir instrucciones de la empresa», explica Jesús Rubí. José Alberto González-Ruiz, secretario general de la Confederación Española de la Pequeña y Mediana Empresa (CEPYME), calcula que «el 75% de las pymes no necesitarán en principio acudir a la figura del delegado». Como no es lo mismo una zapatería que una gran corporación, la patronal que agrupa a los pequeños negocios ha solicitado para sus asociados «una moratoria de un año; no en la obligación del cumplimiento de la normativa, sino que, en caso de infracción, la autoridad nacional solo advirtiera a la pyme y esta no fuera sancionada».

Los castigos previstos para las compañías que incumplan la ley comunitaria alcanzan hasta un máximo de 20 millones de euros o el 4% de su volumen anual de negocio. Y, entonces, a partir de mañana, ¿nuestra privacidad va a estar cien por cien a salvo? «Eso no depende solo de la norma; también del conocimiento que tengan los usuarios y la medida en que quieran ejercitar sus derechos», considera Rubí. «En ningún caso -responde tajante Miguel Ángel Serrano, del gabinete jurídico de Facua-. Estamos en un mercado que evoluciona hacia una mayor desprotección de los datos personales de los usuarios. El tráfico y comercialización de estos va a ir aumentando previsiblemente con el paso del tiempo». Por tanto, el abogado de Consumidores en Acción aconseja «hacer el esfuerzo de leer con detenimiento las condiciones de las políticas de privacidad y, si tenemos dudas, presentar denuncia ante la Agencia Española de Protección de Datos».