Skip to content Skip to footer

Qué es la GDPR: guía para entender la nueva ley de protección de datos

Los datos, el registro de quiénes somos, dónde estamos, qué hacemos, qué pensamos… se han convertido en el fundamento de internet. Si no podemos concebir un día sin Google, Facebook o Whatsapp, tampoco podemos prescindir de los datos que generamos como usuarios y que aprovechamos también com usuarios. Todo gira alrededor de esta industria invisible y multimillonaria que nos hace creer que los servicios virtuales son gratis y de la que ya no nos podemos desenganchar.

El problema de esta adicción es que el volumen de datos que se registra crece de modo exponencial, igual que crece la dimensión de los robos y los abusos, que han escalado hasta alterar procesos democráticos. Eso sí, frente a la desregulación estadounidense, Europa ha dado el paso de crear el nuevo Reglamento General de Protección de Datos (GDPR), el marco regulatorio más estricto hasta el momento.

Nuevos derechos

Ya que pasamos nuestra vida conectados al teléfono móvil o al ordenador, ¿en qué nos cambia la vida la entrada en vigor de esta norma? Básicamente, en que los usuarios de cualquier tipo de servicio en la red que registre sus datos -es decir, prácticamente todos- tienen nuevos derechos en lo que se refiere al registro y el uso de la información que le concierne. Es más control a su favor, aunque como sucede con todos los derechos, tienen más valor cuando se conocen.

¿Qué derechos?

El derecho de portabilidad de nuestros datos, por ejemplo, que incluye reclamarlos y depositarlos en otras compañías. Le sigue el de la limitación al tratamiento que se hace de ellos en función de nuestros intereses, junto con los ya tradicionales derechos de acceso, rectificación, supresión y oposición. «La norma también dedica un apartado específico al derecho a oponerse a las decisiones individuales automatizadas, incluyendo la elaboración de perfiles», explica la Agencia Española de Protección de Datos.

«Supone un paso adicional en la protección de los ciudadanos», explica Mar España, directora de la Agencia. «Es un cambio de modelo en la gestión de los datos personales, puesto que se pasa de un modelo reactivo a otro de carácter preventivo, a través de algunas herramientas como puede ser la privacidad por defecto, la privacidad desde el diseño o las evaluaciones de impacto en la protección de datos».

Desde Adglow, una de las mayores empresas españolas de publicidad en redes sociales, el punto de vista es coincidente, aunque con matices. «Los usuarios quieren usar los servicios que las plataformas digitales de contenidos, e-commerce o sociales les ofrecen y están dispuestos a pasar por alto muchas cuestiones relativas a la seguridad y la privacidad», señala su consejero delegado, Juan Domínguez. «Todo esto no quita para que la ley efectivamente proteja más a los usuarios y obligue a las empresas que usan o intermedian datos a ser más cuidadosos y advertir previa y repetidamente al usuario, que de todas maneras hará lo que le parezca mejor».

Consentimiento

En opinión de este ejecutivo, el espíritu de la ley contrasta con la impulsividad de los usuarios al acceder a los servicios aceptando contratos que no se leen. «Los centros de gestión de privacidad de cualquier red social están disponibles y funcionan», dice. «Lo que ocurre es que visitarlos conscientemente y dedicar tiempo para afinar qué y cómo compartimos nuestra actividad, sean fotos, posteos, o la huella del GPS del móvil, resulta tedioso».

Así es. Nadie se lee los términos o los permisos que otorgamos cada vez que descargamos una app o nos dejamos seguir por una cookie. Ahora, entre los efectos más notables de la nueva ley está el de pedir permiso al usuario para la utilización de sus datos. Ése el motivo por el que en las últimas semanas los buzones electrónicos han recibido millones de mails que proponen renovar la relación con los destinatarios. A partir de ahora, se insistirá en el primer paso: preguntar.

Y no vale cualquier formato de pregunta. «Desaparece el denominado consentimiento tácito, de forma que aquellas entidades que basaban el tratamiento de datos personales en ese consentimiento tácito, no pueden seguir haciéndolo», advierte Mar España. El consentimiento según el reglamento debe ser «inequívoco», lo que exige registrar una manifestación del interesado o mediante una clara acción afirmativa. Ya no vale, por ejemplo, considerar como consentimiento la inacción o el uso de casillas ya marcadas. Y, por cierto: igual de fácil que obtener este consentimiento debe ser cancelarlo.

Iguales ante la ley

No todos los datos son iguales ante la ley. La nueva norma establece dos niveles básicos de datos. Hay datos que nos identifican específicamente como individuos, de manera que tienen protección extra, como pueden ser el DNI, la dirección de correo electrónico, el número de cuenta o cualquier dato asociado a una identidad. La información médica, la orientación sexual o creencias religiosas también entran en este capítulo. Ésta es la razón por la que, más allá de los términos y condiciones de aceptación obligatoria, Facebook pide explícitamente a sus usuarios consentimiento para registrar sus opiniones religiosas o, en su proyecto de servicio de citas, su orientación sexual.

Hay categorías de datos menos relevantes. «El dato ‘Madrid’ como lugar de nacimiento o de residencia no es de nadie», explica el abogado especializado Borja Adsuara. «Lo que es ‘tuyo’ es tu intimidad. Lo que hay que proteger es la ‘asociación’ entre un sujeto y un dato, porque ese vínculo es lo que da información o dice cosas de ti. Cuando empaquetan ‘tus’ datos y te los llevas, lo que realmente te llevas son esos vínculos entre los datos y tú. No te llevas el dato ‘Madrid’ o tu edad, porque la edad es un número y no es propiedad de nadie y cambia todos los años».

El hecho es que para el resto de datos que no son únicos, también hay condiciones. Una capacidad cada vez mayor de registrar cada uno de los pasos de los miles de millones de usuarios y de combinarlos en datos para construir perfiles segmentados crece de modo exponencial, de modo que lo que hoy puede considerarse un dato poco relevante -como el código postal o geolocalización a través del móvil- mañana puede entrar en una categoría más protegida.

Menos abusos

«Nadie sabe lo que tiene hasta que lo pierde». Esta vieja sentencia conserva todo su valor en una industria digital que ha dado sus primeros pasos basándose en la explotación de datos personales de los usuarios para crecer hasta escalas nunca vistas. Las empresas deben ahora ser transparentes en su recogida de datos, en el uso que hacen de ellos y en el registro de lo que conservan y han utilizado.

También serán auditables y denunciables por los usuarios. «No hay más abuso que un mal uso», opina Domínguez, cuya empresa basa su negocio en intermediar entre anunciantes y grandes plataformas. «Y esto es recíproco. Las grandes empresas tienen la capacidad de relacionar silos de información aparentemente independientes, para sorpresa a posteriori del usuario. Y de nuevo, la forma de evitar el abuso como usuario es la de ser consciente del papel que cada uno representamos dentro de cualquier ecosistema digital. El sentido común se nos olvida en lo digital: ¿Es tal o cuál servicio gratuito? En caso afirmativo, probablemente estemos cediendo información en forma de localización, fotos, aspecto de una presentación o agenda de contactos».

Desde la AEPD dicen que al 80% de los españoles le preocupa su privacidad en internet. «Además, se ha producido una evolución en relación a las reclamaciones», indica España. «Cada vez son más los usuarios que reclaman a la Agencia por cuestiones como, por ejemplo, la publicación de fotos en internet, que quieren eliminar un vídeo de una determinada red social o incluso la difusión de datos personales sin consentimiento a través de aplicaciones de mensajería instantánea», añade la directora, que recomienda a los usuarios la lectura de las fichas de privacidad y seguridad en internet de la AEPD.

Y más multas

La filosofía del nuevo GDPR es poner cierto control a una industria que se ha vuelto gigantesca no sólo en Silicon Valley sino en la propia Europa, donde los 60.000 millones de euros que genera esta actividad son motivo suficiente para protegerlo como un sector que en el plazo de apenas cinco años podría emplear a tantas personas como la industria del automóvil, con 12 millones de trabajadores. Las multas pueden ser también a escala: un 4% de la facturación global de una empresa. Así, en el peor de los casos, un gigante como Apple podría pagar hasta 8.000 millones de euros.