Pues hace aproximadamente dos meses que entró en vigor el Reglamento General de Protección de Datos. En la fecha estábamos en tres posiciones más o menos definidas. el RGPD nos salvará del Gran Hermano (los defensores de la normativa de la privacidad); los que consideran que es otra norma que en el mejor de los casos complicará la vida a los que la cumplan y al resto le dará igual, y luego la gran mayoría que no entiende, sabe o comprende de qué va y qué significa. Lo de este último grupo no es culpa suya, es una norma realmente difícil de entender para profesionales, así que no digamos para no iniciados. De hecho, esto entra en una tipología de normas que rozan la hermenéutica y el dogma de fe: crees en la utilidad por quién lo dice y por el nombre, no por entenderlo.
Pues bien, han pasado dos meses, muy poco para una ley, pero aquí dejo algunas impresiones sobre la evolución de esto que nos hemos encontrado.
El contexto general de aplicación del RGPD.
La aplicación reactiva del RGPD
Empecemos por lo primero, que es ¿Se puede aplicar el RGPD como podríamos aspirar a que se apliquen otras normas? Esta es una pregunta fundamental. La cantidad de datos que generamos a gran velocidad ante múltiples proveedores, muchos de los cuales desconocemos es la realidad actual de la privacidad. En este sentido, la aplicación dependerá enormemente de la capacidad de las instituciones de hacer un control proactivo. ¿Por qué? Porque realmente, a título individual, me resulta casi imposible saber si hay fundamento para denunciar a alguien de algo. Y sin embargo, al menos en España, el papel de la AEPD es básicamente reactivo. Es decir, la ley depende de que la gente, con difíciles elementos de juicio, denuncie una amplia variedad de casos.
Este, para mí, es el gran condicionante de este funcionamiento y mide, en realidad, la longitud de las piernas de la ley.
El endiablado ritmo de la tecnología
Por otro lado, en el plano tecnológico, no podemos olvidar que hay un mercado altamente dinámico y cambiante en el que una ley prescriptiva no siempre va a responder todo lo rápido posible. Por ejemplo, el RGPD no entra directamente en el tratamiento de la identificación facial o de voz (porque no estaba tan en alza cuando se escribió). Es cierto que podría entrar en términos de biometría, pero creo que el uso generalizado de una tecnología es un factor que distorsiona su funcionamiento y que, por lo tanto, no puede tener el mismo tratamiento que una que apenas se usa.
Es decir, aunque conceptualmente es lo mismo que te identifiquen por la cara que por la huella del pie, que uses la cara para desaplicar varias decenas de Apps modifica la circulación y explotación de esos datos. Los juristas dirán que no (y posiblmente para ellos no sea así), pero desde el lado tecnológico os puedo asegurar que la magnitud incide mucho en la explotación.
Dicho esto, vamos a ver lo que sigue igual, lo que ha ido (en mi opinión) a mejor y lo que ha ido (también en mi opinión) a peor.
Lo que ha ido a mejor con el RGPD.
Cada uno en su casa
Empecemos por lo bueno. Lo primero que podemos decir es que hay una mayor claridad (al menos en términos profesionales) de lo que pasa con los datos. Donde antes tenía un par de correos, ahora tengo acuerdos de tratamiento de datos firmados con casi todos mis proveedores. Esto, en sí mismo, no deja de ser una clarificación de la responsabilidad de lo que pase con los datos. Eso es algo bastante positivo que debe evitar, a priori, conflictos sobre el cumplimiento de la norma.
Definir responsabilidades
En segundo lugar, también en el plano profesional, tengo una mayor claridad de lo que me compete en la gestión de datos tanto de mis usuarios como de los de mis clientes. En esto, yo que he sido siempre un poco cagueta, he tenido desde que abrí el negocio un seguro de responsabilidad civil. Sin embargo, creo que la mayoría de mis colegas no. Al menos tengo ahora claro cuáles son mis responsabilidades y las consecuencias de no cumplirlas.
En tercer lugar, que los datos personales estén protegidos es algo muy positivo. No es que antes no estuvieran, pero que la carga de la prueba tenga que ser explícita y la catalogación algo más formal de lo que son y no son esos datos, es un marco sobre el que se puede empezar a trabajar.
La privacidad también es una cosa pública
Por último, y ya en clave de este blog, tenemos la privacidad o claridad de las webs públicas en lo que se refiere al tratamiento de datos. Como bien sabéis, hasta el RGPD las webs públicas no tenían ni que poner el aviso de Cookies. Ahora al menos lo tienen que hacer y tener una política de privacidad. (Recuerdo que aquí podéis pedir la guía para adaptar Google Analytics al RGPD). De hecho, hay muchas webs que ahora sí que lo tienen.
Sin embargo, en un primer vistazo, sin querer hacer un estudio detallado, puedo observar que muchas tienen implementaciones que no cumplen con la norma (consentimiento explícito voluntario) y la gran mayoría tienen seguimientos que no son estadísticos y que diría que no tienen un tratamiento granular como el que exige la ley. El día que alguien empiece a denunciar, si lo hace de manera más o menos serializada, puede generar un problema importante a las arcas públicas en concepto de multas.
Lo que sigue igual con el RGPD.
El spam
¿Qué es lo que no ha cambiado? Como diría Julio Iglesias, siempre habrá quien te spamee y quien haga circular tus datos. En este caso puedo asegurar que hay cuentas de correo mías que no habían recibido apenas Spam hasta el 1 de junio. De hecho, muchos de estos casos estoy seguro que no son fruto de mi consentimiento explícito. También dudo que “la solución definitiva para los hongos” corresponda al interés legítimo de nadie que no fuera el propietario de esos hongos. Y sin embargo, ahí está.
¿Os acordáis de todos los correos de “si desea seguir recibiendo…” que se mandaron tanto (incluido yo mismo), con algunas variaciones que no cumplían la norma? Pues han servido para dos cosas:
- Para que quien los mandó (incluido yo) pierdan bases de datos generadas en mucho tiempo. A mi me da igual, pero se de gente que ha sufrido un palo emocional y veremos si en resultados
- Para llenarnos el buzón de correo.
Porque desde luego, menos Spam no se está generando, y mucho de este viene de cesión de datos a terceros. Podría denunciar, pero con el filtro de correo me vale.
Los avisos de las cookies
En segundo lugar, están los avisos de cookies. Vale esto sí ha cambiado en tres cosas.
- Los banners ya no desaparecen solos y se quedan hasta que les das al botón.
- Donde antes ponía “Aceptar” ahora pone “aceptar y continuar”
- Hay un botón de “política de privacidad” y/u otro de “preferencias de marketing”. No sé si hay mucha gente que le dé. Diría que no.
El interés legítimo
El taco del interés legítimo es el tercer elemento. Es decir, esto si es nuevo, antes no existía como tal, pero se entiende que hay cuestiones que se pueden procesar porque forman parte del interés del negocio. Este término, brumoso que da tardes de gloria en debates tuiteros no ha cambiado en el sentido de que, hasta nueva orden, la gente está cogiendo datos que le son útiles como se hacía hasta hace tiempo. Supongo que el primero al que le caiga la multa lo lamentará, pero esto es un poco como jugar a la ruleta rusa con una pistola una bala en varios millones de posibles tiros. ¿Cómo no arriesgarse?
Lo que me parece que ha ido a peor con el RGPD.
Sin embargo, hay cosas que creo que han ido a peor. No quizá porque las cosas sean peores, sino porque hemos llegado a casi el mismo punto en un esquema más complicado. ¿Qué tenemos en esta categoría?
La indefensión por saturación.
Yo se que alguien por Bruselas se cree que nos ha resuelto la vida exigiendo a Facebook que yo tenga que dar consentimiento con un amplio grado de detalle y granularidad. Sin embargo, por muchos iconos bonitos, explicaciones y subrayados, hacer recaer en el usuario decisiones sobre qué datos ceder y cómo con un nivel tan detallado genera confusión y zozobra. Esto ha sido tratado en Engañados por Defecto,informe de la oficina de consumo de Noruega. Si no lo creeis, haced una revisión de cuántas políticas y términos habéis personalizado de todos los servicios digitales que tenéis ¿No hemos hecho exactamente lo mismo, pero con un proceso más complejo que nos responsabiliza de algo que la mayoría no llegamos a entender?
Los grandes ponen sus términos y condiciones encima de la mesa.
La mañana del 25 de mayo al intentar entrar en twitter había una pantalla que, en resumidas cuentas, decía “son lentejas, o aceptas o te largas”. Estoy bastante convencido de que la red del pajarito no ha sufrido una importante pérdida de usuarios ante tal movimiento. Los grandes proveedores han dicho que o aceptamos o perdemos sus servicios que generan de un tipo u otro valor a los usuarios. Y los usuarios en su mayoría aceptan. En muchos medios el aviso de cookies te bloquea la pantalla hasta que aceptas… Hemos vuelto a un nivel similar de cesión de datos, pero encima asumiendo la responsabilidad de lo que no llegamos a entender.
Incluso algunos (como Movistar) han sacado su asistente Aura muy basado en la integración de datos de diferentes usos de servicios suyos (desde el teléfono a la tele, pasando por las Apps) para ofrecer servicios personalizados. Yo no estoy especialmente en contra, pero la verdad es que si esto es proteger más mis datos y el interés legítimo, mis expectativas con el término y la realidad empresarial no están ni siquiera en la misma dimensión.
Las brechas de seguridad.
Una de las cosas del RGPD es que ahora cuando hay una brecha hay que informar al público y a los órganos reguladores. Hace poco Movistar tuvo una brecha de la que nos enteramos por Facua, igual que en el mundo pre-RGPD, al final acabamos dependiendo de alguien que se de cuenta, que generalmente es alguien de fuera (me cuesta pensar que se pueda demostrar que una empresa sea consciente de una brecha no documentada aunque la conozca si no está documentada). Pero estoy seguro que los juristas tienen una explicación del matiz y simplemente yo (y Movistar) no lo hemos pillado.
La locura de los datos.
Por último, quiero hacer referencia a un artículo de El País hablando de la importancia de los datos en las políticas públicas y la investigación. En términos generales hoy en día no podemos concebir una política sin el uso de datos. Sin embargo, esto es muy difícil si entendemos que el uso de los datos para las políticas incluye datos personales para los que hay que dar consentimiento. Esto no quiere decir ni mucho menos que los datos personales sean una materia expropiable en nombre del bien común.
La cuestión es que no podemos estar el lunes a favor de la privacidad de los datos y el martes a favor del uso de los datos (incluidos personales) para realizar estudios de políticas. ¿Por qué? Porque asumiendo que la política con datos se hará con los datos que se tengan, tendremos una política por definición sesgada. Y esto lo puedo asegurar profesionalmente: la gente que trabaja(mos) con datos, dedicamos mucho más tiempo a asegurar su calidad que a procesarlos. Si por definición determinados segmentos no entran en esos datos, esas políticas estarán sesgadas.
La cuestión no es tanto tomar posiciones, sino tener un debate más allá de términos grandilocuentes más bien vacíos de contenido. De cara a lo público, debemos considerar que tenemos que fijar la línea entre la privacidad de las personas y la generación de políticas de interés común y es un debate que no será fácil, porque será algo que tendremos que ir aprendiendo caso por caso, y error tras error. No nos hacemos ningún favor encerrándonos en términos concretos, no porque no tengamos razón, sino porque la realidad nos va a alcanzar y demorarlo simplemente hará que nos llegue cuándo y cómo no los esperamos y sin capacidad de responder.
En resumen. El RGPD dos meses después.
Diría que en términos profesionales el RGPD ha aclarado algunas cosas en términos de responsabilidad pero muy pocas a nivel de práctica. Eso si, al menos hasta la fecha, el cumplimiento de esas obligaciones recae más en la profesionalidad y buen hacer que en la efectividad de la norma.
A las personas les ha cargado con una serie de responsabilidades y obligaciones que, sinceramente, no me parece que estén (o estemos) en condiciones de ejercer. Hay miles de detalles y conceptos difíciles de apreciar y mitos, bulos y confusiones que lo hacen más difícil. Puedo asegurar que he leído en medios profesionales y serios que si entras en youtube con el buscador Firefox, google no se queda con tus datos para venderlos. Con estos mimbres, que fallan en lo más básico, ¿cómo puedo yo valorar lo que significa que autorice a whatsapp a tener acceso a mi carpeta de descargas del móvil?
Finalmente, las Administraciones están haciendo un esfuerzo para cumplir normas y condiciones que no le aplicaban hasta hace poco. Desde el sector privado no les anticipo un camino fácil porque no lo es. Saber qué puedes hacer y qué no, es difícil, adivinar qué puede suponer lo que estás haciendo es aún más difícil. Estoy seguro de que habrá una adaptación (irregular, pero real) a lo largo del tiempo. Sin embargo, en un primer vistazo, la falta de disponibilidad de la AEPD justo cuando entró en vigor el RGPD es quizá una analogía precisa de lo que pasa con la normativa. Hemos abordado un cambio que, al menos en el corto plazo, no es abordable con las condiciones actuales.
