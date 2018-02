El próximo 25 de mayo entrará en vigor la General Data Protection Regulation (GDPR), la normativa mediante la cual las autoridades europeas pretenden armonizar, unificar y reforzar la protección de los datos de los ciudadanos de los estados miembros. Para muchos, una normativa con el potencial de cambiar la web tal y como la conocemos, dado que sus efectos no se limitan en absoluto a Europa, sino que afectan a toda compañía que pretenda comercializar productos o servicios a ciudadanos europeos o cuya actividad conlleve el procesamiento de sus datos. La normativa es completamente incompatible con la inmensa mayoría de las prácticas que hoy llevan a cabo la mayoría de las compañías implicadas en la publicidad online, y eso, dados los constantes abusos cometidos por esa industria que han logrado convertir la web en un inmenso estercolero de malas prácticas y desprecio por los usuarios, es sin ninguna duda una maravillosa noticia

Lo mejor de GDPR es que, al menos en su redacción, pretende equilibrar el actualmente desequilibrado balance entre los derechos de los usuarios y las acciones de las compañías que pretenden explotar sus datos. La definición de dato personal se hace más amplia y pasa a abarcar desde datos genéticos hasta mentales, culturales, económicos, de identidad social o de patrones de conducta. La obtención del consentimiento para recopilar esos datos deberá ser clara, unívoca y granular, con el derecho a ser eliminado de esos archivos en cualquier momento, con consentimiento parental explícito para menores de 16 años, y con la posibilidad de solicitar en cualquier momento una copia de esos datos en un formato adecuadamente exportable. Las compañías tendrán que, a partir de un volumen determinado de datos pero considerado como de buena práctica en todos los casos, nombrar a un responsable o Data Protection Officer (DPO), y responder a cualquier violación o acceso irregular a sus bases de datos dando aviso a sus clientes en menos de 72 horas, y las sanciones aplicables podrán llegar hasta los veinte millones de euros o el 4% del total de ingresos globales, escogiéndose siempre lo que suponga una cantidad más elevada.

Para los usuarios, en principio, GDPR es una buena noticia: su desarrollo proviene de una demanda social real, de una preocupación genuina, de una situación que las malas prácticas de toda una industria habían convertido en insostenible. Fenómenos como el ad blocking, a todos los efectos el mayor boicot de la historia de la humanidad que amenaza con llegar ya a ser utilizado por alrededor de un tercio de todos los usuarios del mundo, son una buena prueba de ello. Sin embargo, no debemos olvidar que los efectos de las leyes, en todos los casos, no se deben a la redacción de la ley como tal, sino a los detalles de su aplicación. Leyes que en principio podían tener sentido, como el control del uso de las cookies, se convirtieron en manos de las autoridades europeas en una soberana estupidez, completamente inútil, que únicamente sirvió para molestar tanto a los propietarios de páginas como a sus usuarios, sin ningún tipo de efecto tangible más allá de un absurdo e intrascendente mensaje.

¿De qué va a depender que la promesa de una web mejor y con derechos más equilibrados se materialice o se convierta, una vez más, en una molestia inútil que no sirve para nada? Básicamente, en los detalles de su aplicación. El compromiso no es sencillo: si los usuarios tenemos, página por página, que rellenar un complejo formulario con multitud de opciones en el que nos preguntan, paso por paso, todas nuestras preferencias de privacidad, todo lo que permitimos o no permitimos hacer a la página con nuestros datos, el trámite puede llegar a ser un infierno en términos de usabilidad.

Por otro lado, la privacidad es una variable multidimensional y compleja, que depende enormemente del contexto: circunstancias que consideramos inaceptables para algunos servicios pueden ser perfectamente aceptables y redundar en un claro beneficio para el usuario en otros, de manera que el uso de una plantilla común tampoco funciona. ¿Cómo vamos a ejercitar nuestros derechos en un entorno no solo infinito – ¿cuántas páginas visitas a lo largo de un día, de manera habitual o eventual? ¿Qué ocurre si tienes que rellenar tus preferencias de privacidad en todas ellas? – sino además completamente heterogéneo?

El reto de una regulación que de verdad sirva a los usuarios es sumamente complejo, una cuadratura del círculo difícil de llevar a cabo. Eso, lógicamente, no quiere decir que no deba intentarse. Pero como en tantas otras cosas, el diablo va a estar en los detalles, y va a haber que estar muy atento a todo, a cada compañía, a cada caso, a cada abuso: la ley no solo debe cumplirse, sea lo importante que sea el lobby que esté detrás de quien pretenda no hacerlo, sino que debe contribuir a generar una situación mejor que la original, y si no es así, seguir revisándose hasta que así sea. En muchos sentidos, la GDPR va a separar los modelos de negocio que tienen sentido de los que no lo tienen: recopilar datos y procesarlos no va a ser ilegal, lo que será ilegal será utilizarlos mal, para propósitos que los usuarios no aceptamos, sin la adecuada transparencia o de formas que generen situaciones insostenibles o desequilibradas, como ocurría en muchos casos hasta ahora. Que la GDPR sea una bendición o termina convertida en una estupidez inútil y molesta como ocurrió con las cookies va a depender de todos. Algunas agencias, soportes y anunciantes, los mismos que contribuyeron a destruir la web “normalizando” la situación actual de persecución y explotación abusiva de nuestros datos, ya están diciendo que una ley como esta va a destruir toda una industria: si es así, por favor, que la destruyan cuanto antes.

This post is also available in English in my Medium page, “GDPR: a blessing or a waste of time?”