Unión Europea

El 'escándalo Facebook' reaviva el debate sobre la protección de datos a mes y medio de la puesta en marcha del nuevo reglamento europeo

La red social Facebook.

Tras más de un año intentando acabar con las famosas noticias falsas, Facebook ha vuelto a situarse en el punto de mira. La empresa que dirige Mark Zuckerberg se encuentra sumida en el mayor escándalo de su historia después de que una investigación conjunta de los diarios The New York Times y The Observer revelara que la consultora británica Cambridge Analytica se hizo con una base de datos de usuarios de la red social que utilizó posteriormente para elaborar estrategias electorales que pusieron al servicio de la candidatura de Donald Trump durante las presidenciales estadounidenses y en manos de la campaña a favor del Brexit. No es la primera vez que Facebook se ve sumida en una polémica por el uso que da a los datos personales de sus usuarios. Sin embargo, este escándalo parece mucho más serio. Varios países –Reino Unido, EEUU, Israel o Argentina, por ejemplo– han anunciado la apertura de investigaciones sobre el caso.

Cambridge Analytica consiguió la información en 2014 a través del psicólogo rusoamericano de la Universidad de Cambridge Aleksandr Kogan. En 2013, el profesor recibió el visto bueno de la red social para pedir información de sus usuarios a través de un test que había desarrollado para usos académicos. Respondieron al cuestionario unas 270.000 personas, permitiendo al psicólogo recopilar sus identidades, localizaciones o gustos. Sin embargo, con esta aplicación, de manera secundaria, también tuvo acceso a los datos de todos los amigos de los que contestaron el test. En total, Kogan, que se considera un “chivo expiatorio” en todo este caso,  almacenó información de hasta 87 millones de usuarios de la red social. Esa base de datos, fue compartida con la consultora británica y utilizada por Cambridge Analytica para diseñar perfiles que permitiesen optimizar al máximo el diseño de estrategias electorales.

El conocido como Facebookleaks ha vuelto a reavivar el eterno debate de la privacidad y la protección de datos, con sus luces y sus sombras. Sobre todo en Europa. A finales de marzo, los líderes de los 28 Estados miembro fueron contundentes al respecto en una declaración conjunta tras la primera jornada de la cumbre del Consejo Europeo: “Las redes sociales y las plataformas digitales deben garantizar prácticas transparentes y una protección total de la vida privada y de los datos personales de los ciudadanos”. Muy dura fue, también, la comisaria europea de Justicia, Vera Jourova, que afirmó que el uso abusivo de estos datos personales supone “una amenaza contra la democracia” pues “pone en duda la libertad de las decisiones electorales".

Un día antes de aquellas declaraciones, la comisaria Jourova advirtió que un escándalo similar al protagonizado por Facebook podría costar “muy caro” en sólo un mes y medio. El próximo 25 de mayo comienza a ser de obligatorio cumplimiento en el Viejo Continente el nuevo Reglamento de la UE de Protección de Datos (GDRP). Aprobado en 2016, el texto deroga la antigua directiva europea en esta materia y busca “garantizar un nivel uniforme y elevado” de protección de los datos en suelo comunitario. Sobre todo para poder adaptar el marco jurídico a los nuevos retos derivados de la “rápida evolución tecnológica y la globalización”. “La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa”, señala en sus considerandos.

Cristóbal Herrera, director de Asuntos Públicos del bufete de abogados Llorente & Cuenca, explica en conversación con infoLibre que el nuevo marco jurídico comunitario “aumenta la protección de los ciudadanos”, reforzando los “controles sobre el uso que se hace de los datos personales”. Pero, añade, también “libera el negocio del dato”: “El nuevo reglamento no excluye la reutilización de toda esa información. Cualquier empresa podrá dedicarse a la compra-venta de datos”. El mercado alrededor de la información personal de los ciudadanos del Viejo Continente apunta alto. Según los las cifras que manejan las instituciones europeas, en 2020 este negocio podría mover hasta 739.000 millones de euros en el escenario más favorable, un 4% del PIB comunitario, y dar trabajo a más de 10 millones de personas.

Ámbito de aplicación y nuevos derechos

Una de las principales novedades que trae el reglamento tiene que ver con el ámbito de aplicación territorial. El nuevo texto no sólo cubre el tratamiento de datos personales de ciudadanos europeos que realice  “un responsable o encargado” establecido en la UE, sino que se amplía también a todos aquellos de fuera de Europa cuando sus actividades de tratamiento estén relacionadas con “la oferta de bienes o servicios (…)” –independientemente de si los clientes tienen que pagar por ellos o no– o con el control del comportamiento en suelo europeo. Es decir, que gigantes del mercado de Internet, como Facebook, Twitter, Google o Amazon, por ejemplo, estarán obligados a ajustarse al nuevo marco.

Además, el Reglamento de la UE de Protección de Datos amplía los derechos de los 500 millones de ciudadanos europeos. Entre las nuevas incorporaciones, se puede destacar el derecho de portabilidad de los datos o el denominado derecho al olvido. El primero de ellos, recogido en el artículo 20, establece que el ciudadano tendrá derecho a recibir los datos personales que le incumban “en un formato estructurado, de uso común y lectura mecánica” y a transmitirlos de un responsable a otro sin que haya ningún tipo de impedimentos. Esto permitiría, por ejemplo, que se hiciera una portabilidad de una compañía telefónica a otra sin obstáculos, de forma ágil y sencilla.

El segundo, que queda regulado en el artículo 17, permite al ciudadano solicitar la supresión “sin dilación indebida” de sus datos personales cuando, por ejemplo, “ya no sean necesarios en relación con los fines para los que fueron recogidos” o hayan sido “tratados ilícitamente”. No obstante, el reglamento establece algunas excepciones. Entre ellas, apunta que en ningún caso prevalecerá el derecho al olvido sobre el derecho a la libertad de expresión e informaciónderecho al olvido. En mayo de 2016, el Tribunal de Justicia de la UE avaló el derecho de los ciudadanos a ser “olvidados” en Internet, una decisión que obligó a Google a poner en marcha un formulario online para que los usuarios pudieran solicitar la retirada de datos personales del motor de búsqueda.

Adiós al consentimiento tácito

Otro de los cambios fundamentales que aumentarán la protección de los ciudadanos en esta materia tiene que ver con el consentimiento. En este sentido, el nuevo reglamento establece que debe darse “mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal”. Para poder considerar que se ajusta al nuevo marco jurídico, el reglamento requiere que haya una declaración de los interesados o una acción positiva que manifieste su conformidad. Es decir, es necesario un consentimiento explícito. “Tienes que autorizar claramente el uso de tus datos para un determinado fin”, apunta Herrera.

Por tanto, todas aquellas prácticas que se encuadran en el denominado consentimiento tácito, aceptadas bajo la actual normativa, dejarán de estarlo a partir del próximo mes de mayo. En la práctica, ¿qué quiere decir esto? Pues que “el silencio, las casillas ya marcadas o la inacción” no constituirán una prueba de consentimiento. Hasta la fecha, era habitual que algunas empresas te concedieran un plazo de tiempo para manifestar tu negativa al tratamiento de tus datos y, si en ese periodo no te pronunciabas, se entendía que dabas el consentimiento para ello. El nuevo reglamento pone fin a prácticas de este tipo. En definitiva, la compañía tiene que poder demostrar sin ningún género de dudas que el usuario les dio su autorización.

Otra novedad importante afecta a los menores de edad. “El tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años”, establece el artículo 8 del reglamento, que añade que en el caso de los menores de esa edad el tratamiento “únicamente se considerará lícito” si el consentimiento lo dio “el titular de la patria potestad o tutela sobre el niño” y “solo en la medida en que se dio o autorizó”. Y el responsable del tratamiento, completa la UE, “hará esfuerzos razonables”, teniendo en cuenta la tecnología disponible, para verificar dicho consentimiento. No obstante, los Estados miembro pueden establecer una edad inferior siempre que no esté por debajo de los 13 años.

Además, añade Herrera, se amplía el deber de información. Hasta ahora, la empresa que iba a utilizar tus datos simplemente te tenía que informar de la identidad del responsable del tratamiento, de la finalidad de esa recogida de información o de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. Sin embargo, a partir de mayo, tendrá que explicarte también la base legal para el tratamiento de esos datos, informarte sobre los periodos de retención de toda esa información, añadir a los viejos derechos los nuevos que se han incluido y recordarte que si no estás de acuerdo con el uso que se está haciendo de tus datos puedes presentar una reclamación ante la autoridad competente.

Toda esa información, apunta el reglamento europeo, tiene que ser fácil de entender y presentarse en un lenguaje “claro y sencillo” cuando se solicite el consentimiento. Estos cambios, por tanto, obligarán a las compañías a revisar por completo sus cláusulas informativas en los diferentes procesos de recopilación de datos personales.

El papel activo de las empresas

Aunque el nuevo reglamento recibió luz verde en mayo de 2016, la Unión Europea decidió fijar un plazo de dos años hasta que comenzara a ser de cumplimiento obligatorio. Lo hizo fundamentalmente para que las compañías tuvieran tiempo suficiente para adaptarse a la nueva normativa. Sin embargo, algunas encuestas realizadas sobre el Reglamento de la Unión Europea de Protección de Datos ponen en duda que las empresas puedan estar listas para cumplir con los nuevos requisitos a partir del próximo mes de mayo. De hecho, el pasado diciembre, sólo el 25% de las compañías españolas aseguraban tener planes sólidos para asegurar en tiempo y forma el cumplimiento del GDRP, según una encuesta de la consultora IDC Research España.

“Tienen que hacer una transformación bastante fuerte”, explica el director de Asuntos Públicos de Llorente & Cuenca. Principalmente porque el nuevo reglamento gira alrededor del principio de responsabilidad activa. ¿Qué quiere decir esto? Que las organizaciones que tratan datos no sólo están obligadas a actuar cuando ya se ha producido una infracción, sino que también tienen que tomar todas las medidas posibles para prevenir cualquier tratamiento ilícito. “Para una pequeña empresa, la adaptación no será complicada. Sin embargo, para grandes comercios, que recopilan datos de sus clientes por diferentes vías, el garantizar el cumplimiento de la nueva normativa es más laborioso”, completa el experto.

El Reglamento de la UE de Protección de Datos fija nuevas obligaciones para las empresas. En primer lugar, en aquellos casos en los que sea probable que las operaciones de tratamiento “entrañen un alto riesgo para los derechos y libertades de las personas físicas”, las compañías tendrán que llevar a cabo “una evaluación de impacto relativa a la protección de datos” en la que se evalúe “el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo”. Con el objetivo de facilitar esta labor, en 2014 la Agencia Española de Protección de Datos hizo pública una guía en la que se establecen varios aspectos a tener en cuenta a la hora de llevar a cabo dicho análisis.

Para la elaboración de esta evaluación de impacto, la compañía recabará el asesoramiento de su delegado de protección de datos (DPO, por sus siglas en inglés). El nuevo reglamento europeo obliga a algunas organizaciones a contar con esta nueva figura, que se encargará de controlar si se está cumpliendo con la normativa comunitaria, de coordinar las auditorías y de actuar como punto de contacto para la autoridad de control. La presencia de este asesor sólo es obligatoria en las empresas públicas, en las compañías que traten datos a gran escala o en aquellas que recopilen información especialmente sensible de los ciudadanos. “Es el responsable que está al cuidado de los datos”, resume Herrera.

Facebook abrirá un centro en Barcelona para luchar contra las noticias falsas

Facebook abrirá un centro en Barcelona para luchar contra las noticias falsas

Además, firmas y organizaciones estarán obligadas a llevar un registro de todas las actividades de tratamiento de datos que se hayan efectuado bajo su responsabilidad. En dicha base interna tiene que constar: el nombre y los datos del responsable del tratamiento y del Delegado de Protección de Datos; los fines del tratamiento; una descripción de las categorías de interesados y de las categorías de datos personales; o las transferencias internacionales que se hayan realizado de todos esos datos personales, entre otros. “Las compañías van a tener que elaborar un registro lo más estructurado posible”, asevera el experto del bufete de abogados en conversación telefónica con este diario.

Otras novedades, comenta Herrera, son la obligación de las empresas de comunicar a las autoridades de control cualquier “violación de la seguridad de los datos personales” a más tardar “72 horas después” de que hayan tenido conocimiento de ella y, por supuesto, el endurecimiento de las sanciones. Las infracciones del reglamento podrían acarrear multas de hasta 20 millones de euros o hasta el 4% del volumen de negocio de la compañía infractora. “Mediante el endurecimiento de las sanciones, Europa busca desincentivar el mal uso de los datos de sus ciudadanos”, completa el director de Agenda Pública de Llorente & Cuenca.

A partir de mayo, los ciudadanos de la UE estarán más protegidos frente a la utilización de su información personal. Pero, ¿estas nuevas medidas serán útiles? “Depende de cómo actúen los ciudadanos europeos. Hay mucha gente a la que no le importa que se estén utilizando sus datos de forma pasiva y sólo se molesta cuando una empresa hace un uso activo de ellos. Es decir, que si se emplean para crear perfiles publicitarios no le prestan atención pero sí que les desagrada que una compañía eléctrica de la que no es usuario consiga sus datos y los utilice para llamarle y ofrecerle un servicio”, sentencia Herrera.

Más sobre este tema
stats