El nuevo Reglamento General de Protección de Datos está en boca de todos. En la calle, entre amigos y conocidos, no destaca por los cambios que vaya a acarrear en beneficio de los usuarios, sino por la abrumadora cantidad de avisos y correos electrónicos que estamos recibiendo sobre cambios en las políticas de privacidad.

Todos hemos notado como servicios como WhatsApp, Facebook o Twitter entre los más conocidos nos pedían nuestro consentimiento para aceptar las nuevas políticas y seguir utilizando el servicio. Hemos entrado en webs que incluyen nuevos avisos de cookies o que, simplemente habían dejado de funcionar en la Unión Europea.

Antes de entrar en materia sobre las consecuencias que empezamos a notar sobre el nuevo reglamento de protección de datos a nivel europeo, vamos a ver en qué consiste, cuáles son las penas y cómo es posible que a las empresas les esté costando tanto aplicar la nueva normativa.

La Unión Europea vuelve a ejercer su fuerza

Edificio en Bruselas
Sede de la Comisión Europea en Bruselas

Aunque en muchos momentos pueda dar la sensación de lo contrario, en materia tecnológica los países miembros de la Unión Europea suelen terminar poniéndose de acuerdo. Tenemos un ejemplo reciente de esto con la supresión del roaming y ahora podemos verlo con el RGPD. El objetivo de este reglamento es facilitar a las empresas y usuarios el control de los datos en todos los países del conjunto, evitando las políticas individuales de cada país.

De esta forma, las empresas podían manejar los datos de los usuarios de forma igualitaria, así como facilitar su transferencia entre cada nación de la Unión Europea. Por otro lado, los usuarios verán condiciones más transparentes y alejadas del lenguaje legal, además de obtener los derechos de acceso, rectificación, supresión, portabilidad y oposición con respecto a sus datos.

El tiempo pasa para todos

La propuesta para la creación del Reglamento General de Protección de Datos llegó en enero de 2012, hace ya más de seis años. Tras una serie de procesos y negociaciones, el reglamento entró en vigor el 24 de mayo de 2016. Sí, el RGPD lleva viviendo entre nosotros desde hace dos años y no nos habíamos enterado hasta ahora.

Se ve que no solo en España somos dados a hacer los cambios necesarios a última hora y aquí es donde vienen todos los problemas. Para no poner a las empresas contra las cuerdas, la Unión Europea dio un margen de dos años para su aplicación, periodo de tiempo que termina el 25 de mayo de 2018. Efectivamente, termina mañana y todavía hay empresas que no se han adaptado, y no hablamos precisamente de Fruterías Manolo.

“No he oído nada del RGPD en mi vida, Hulio”

Esas debieron ser las palabras de Brian Donohue, CEO de Instapaper, cuando le hablaron del RGPD. Y por lo que se ve tuvo que ser hace un periodo muy corto de tiempo, porque Instapaper cierra sus puertas a los usuarios de la Unión Europea al no cumplir con la normativa. Más vale prevenir que curar y más si cabe cuando ves que puede caerte una sanción de 20 millones de euros o el 4% de tu volumen de negocio anual.

CEO de Instapaper
CEO de Instapaper

El caso de Instapaper es especialmente llamativo porque, como decíamos antes, no es Fruterías Manolo. La empresa pertenece desde 2016 a Pinterest y, teniendo en cuenta que su objetivo es guardar marcadores y sincronizarlos entre dispositivos, no almacena precisamente pocos datos de sus usuarios. Por desgracia para Pinterest, pese a integrar algunas de sus funciones en la plataforma, mantuvieron la independencia de este servicio.

Pero es todavía más sonado el caso de ICANN, la entidad que, simplificando la explicación, se encarga de repartir los dominios web a nivel mundial. ICANN es, por lo tanto, la responsable de WHOIS, que hasta ahora nos permitía conocer los datos del responsable o dueño de un sitio web. El caso es que no han encontrado la manera de adaptarlo al RGPD y se les ha terminado el tiempo, ¿qué harán ahora?

ICANN pidió una moratoria de un año a la Unión Europea, pero el consejo europeo no parece muy por la labor de permitir una excepción que podría suponer un precedente y agravio comparativo. Además, recordemos que todas las empresas han tenido dos años para adaptarse al nuevo reglamento. Veremos cómo termina el asunto, pero Godaddy ya ha empezado a ocultar la información de webs de estados miembros.

Sede de la institución
Sede de ICANN en Los Ángeles

¿Por qué no puedo comentar en Tecnoversia? Porque Disqus, uno de los servicios de comentarios más utilizados del mundo, no se ha adaptado a la normativa. De hecho, se encuentra en el 75% de las webs que utilizan un sistema de comentarios de terceros. Para que os hagáis una idea de su relevancia, IGN es una de las webs que cuenta con Disqus.

Para la Unión Europea, todos somos Facebook

El Reglamento General de Protección de Datos se creó para adaptar las medidas existentes a los nuevos tiempos, mientras unificaba las políticas de todos los estados miembros. Pensando en cómo Internet había cambiado la forma de intercambiar información, pero a alguien se le olvidó que no todas las empresas recogen la misma cantidad de datos.

Si tienes un blog de WordPress, aunque sea para hablar de lo que desayunas todas las mañanas, debes cumplir la nueva legislación. No importa que tengas 10 visitantes mensuales o que lo actualices una vez al año, estás obligado a cumplir estas normas. Si tienes una red social con más de mil millones de usuarios, también debes cumplir todos los puntos del RGPD.

Esto es un gran problema para los usuarios individuales o pequeñas empresas que quieren hacerse un hueco en Internet, ya que la aplicación del RGPD implica la creación de ciertos documentos legales: política de privacidad, política de cookies y política de uso; además de la aplicación de ciertas técnicas que controlan la recolección de datos, que ocurre de forma involuntaria en muchos casos.

No todo es tan malo como parece

Desde el punto de vista del usuario de un servicio, el RGPD supone una mayor transparencia a la hora de conocer qué ocurre con nuestros datos personales en todo momento. Además, nos proporciona mucha más seguridad al saber que no podrían volver a suceder casos como el de Cambridge Analytica, que supuso la filtración de millones de datos de usuarios de Facebook.

Zuckerberg en el Parlamento Europeo
Mark Zuckerberg con Antonio Tajani, presidente del Parlamento Europeo

De hecho, Guy Verhofstadt, eurodiputado belga, puso en esta tesitura a Mark Zuckerberg. ¿Cómo hubiese terminado todo ese escándalo con el GDPR en vigor? Teniendo en cuenta la magnitud de la fuga de datos, la Unión Europea hubiese podido utilizar una de las mayores sanciones previstas en la normativa, pero Facebook también tendría que indemnizar a cada usuario. Así lo explicaba el señor Verhofstadt:

Dijo que aplicaría el nuevo RGPD, ¿pero está diciendo la verdad? Con el estallido del escándalo de Cambridge Analytica, usted transfirió datos de ciudadanos europeos a servidores fuera de Europa, lo cual está prohibido.

El artículo 82 del GDPR establece que toda persona que haya sufrido daños tendrá derecho a una indemnización. ¿Cuándo compensará a los usuarios de Facebook cuyos datos se han utilizado de forma indebida? Dado que los datos de un perfil de Facebook pueden valer hasta 150 dólares, ¿cuánto van a recibir?

Además de proteger los datos de los ciudadanos europeos, también nos proporciona los nuevos derechos de acceso, rectificación, supresión, portabilidad y oposición. Esto nos garantiza la posibilidad de manejar el uso que se hace de nuestros datos en cualquier sitio, además de facilitar las migraciones entre servicios y la supresión de nuestras cuentas. Esto último se presentaba realmente complicado en algunas webs.

Mañana, día 25 de mayo, comienza la aplicación obligatoria del RGPD. Se abre una nueva era en Internet para los ciudadanos europeos. Ahora falta ver si las empresas conseguirán cumplir al 100% la nueva normativa y si servicios como Disqus o Instapaper son capaces de llegar a tiempo.