¿GDPR como futuro estándar mundial?

Facebook logo on European flagDentro de los cambios que Facebook está poniendo en marcha a raíz del escándalo de Cambridge Analytica, encuadrados dentro de un reconocimiento de Mark Zuckerberg de que la compañía no hizo lo suficiente para custodiar de una manera adecuada los datos de sus usuarios, el fundador ha lanzado una idea que me parece como mínimo provocativa e interesante: la posibilidad de que su compañía se plantee ofrecer las mismas reglas a las que Europa le va a obligar mediante el nuevo Reglamento General de Protección de Datos, GDPR, pero a nivel mundial.

Que Facebook se plantee una posibilidad así marcaría un hito importante en la evolución del concepto de privacidad a nivel mundial: la visión europea, históricamente, ha sido siempre mucho más restrictiva y garantista que la tradicionalmente adoptada en el entorno anglosajón, y no ha estado exenta de polémicas. No han faltado ni sanciones a empresas norteamericanas por supuestas violaciones de derechos a ciudadanos europeos, ni leyes artificiales o sin sentido que han servido para construir un entorno que, en ocasiones, dificulta tanto los negocios que se convierte en absurdo. Extremos como la tristemente famosa ley referente a las cookies, que además de no servir absolutamente para nada, se convierten en una molestia y prácticamente un mal chiste, o un “derecho al olvido” inexistente y artificial pero tristemente consagrado como una ley que acabará, sin ninguna duda, trayendo muchos más problemas que beneficios, acompañados de legislaciones fuertemente restrictivas, como la actual GDPR, pero que parecen responder a un consenso social expresado de manera amplia y generalizada.

En este momento, nos encontramos ante una cuestión curiosa: la GDPR aún no ha entrado en vigor, aún es pronto para saber si será una bendición o una estupidez, y va a obligar a todas las empresas que quieran desarrollar actividades en Europa a fuertes ajustes y a designar figuras responsables. Pero incluso antes de esa entrada en vigor, y a la luz de los recientes escándalos que han promovido una fuerte discusión en torno al concepto de privacidad, es elevada por Mark Zuckerberg al nivel de estándar mundial, de salvaguarda que le pone a cubierto de escándalos futuros, en modo “si a partir de aquí hay problemas, no serán culpa de mi compañía, que va a cumplir con los estándares GDPR”. ¿Y si la puesta en funcionamiento de GDPR termina siendo un sinsentido burocrático o un brindis al sol tan inútil como el de la ley de las cookies? ¿Y si las compañías encuentran formas de retorcer el texto de la ley para continuar con comportamientos que los usuarios consideremos abusivos? ¿O si, por el contrario, da lugar a un entorno tan profundamente restrictivo, que termina resultando un freno para la innovación en su conjunto? Todas estas consideraciones, con la directiva aún e un estado embrionario, son aún difíciles de hacer, pero a pesar de ello, Facebook se plantea su aplicación como un safe harbor, como una garantía, como una manera de asegurar que ya hace todo lo que puede para respetar la privacidad. En muchos sentidos, una victoria para Europa. Pero en otros, obviamente, un peligro si algo termina saliendo mal.

Por otro lado, la visión de Zuckerberg me sigue preocupando: no, el balance entre el negocio de Facebook y su comunidad de usuarios no es en absoluto sencillo, y me parece peligroso que lo piense así. El funcionamiento de la plataforma de Facebook no es tan simple como permitir o prohibir cosas: en el momento en que, por ejemplo, habilitó la posibilidad de buscar a un usuario por número de teléfono o por dirección de correo electrónico, eso se convirtió en una puerta de entrada para que no solo Cambridge Analytica, sino miles de compañías en todo el mundo, creasen aplicaciones para hacer scrapping y obtener los datos personales de millones de usuarios. Entendamos que, para un usuario, la posibilidad de buscar a alguien de sus contactos por cualquiera de esos dos campos es, en esencia, algo deseable e interesante… pero una vez creada la función, puede ser fácilmente abusada. Controlar algo así no es en absoluto sencillo: implica poner bajo sospecha prácticamente cualquier cosa que las compañías puedan hacer, regular de una manera mucho más restrictiva todo lo que puedan intentar hacer con los datos de los usuarios, asumir que con total probabilidad, intentarán cometer abusos. Esa actitud de prevención es exactamente lo contrario de como Facebook ha actuado históricamente, dado que hasta el momento, ha pecado mucho más de ingenuidad – o incluso de estupidez – que como fiscalizador o limitante. Por otro lado, aún es pronto para saber si las palabras de Zuckerberg y sus intenciones con respecto a la GDPR se refieren a una adopción incondicional, o simplemente a una serie de criterios inspiradores que podrían resultar amplios, vagos o poco limitantes.

Veremos cómo evoluciona la cuestión en el futuro. Pero de entrada, considerar a Europa y a su aún no testada GDPR como garante de la privacidad, francamente, no sé si es una buena o una mala idea.

 

10 comentarios

  • #001
    JJ - 5 abril 2018 - 20:11

    ‘Extremos como la tristemente famosa ley referente a las cookies, que además de no servir absolutamente para nada, se convierten en una molestia y prácticamente un mal chiste, o un “derecho al olvido” inexistente y artificial pero tristemente consagrado’

    Tener una ley de cookies no es una mala idea. El problema es que una ley que afecte a nuevas tecnologias no puede hacerse por burócratas que no entienden las nuevas tecnologías, porque harán una ley como la que tenemos y que es absurda porque va contra el usuario.

    Cuando entro a este blog se me pregunta, una y otra vez si acepto las cookies. No tiene sentido esta molestia permanente, constante.

    Los que conocen la tecnología sabian desde el principio que esta ley estaba muy mal pensada. Y es una ley que favorece, paradójicamente (o tal vez no haya paradoja) a las tecnológicas y a quienes quieren meternos cookies por todas partes…

    Cuando entro a este blog por primera vez me deberian preguntar:

    1) ¿Aceptas las cookies siempre en este sitio?
    2) ¿No quieres cookies nunca en este sitio?

    Y se acabó el problema. Yo respondería con la opción 2 sabiendo que ya nunca mas me volverán a molestar con eso.

    Si se quiere, se puede hasta agregar una opción 3 y una opcion 4. La posibilidad de aceptar las cookies por única vez o de rechazarlas por única vez. Y no hay mas opciones posibles. ¿Resulta tan complicado entender algo así e implementarlo?

    Pero la ley esta mal hecha. Y, por tanto, lo que no hay que hacer es descalificarla de raíz sino corregirla.

    Se puede suponer que la ley de cookies esta mal diseñada porque la han hecho unos burócratas. Es posible. Pero también puede que haya existido algún tipo de corrupción en el diseño de esa ley.

    El martes pasado leí una entrevista en La Vanguardia a la escritora, profesora, economista e historiadora de la economía Deirdre McCloskey que cito:

    ‘Pregunta: Facebook, Amazon, Google, Netflix, Uber, AirBnb… ¿son progreso o atraso?

    Respuesta: Son hegemónicos, pero sólo de momento, ya que están surgiendo competidores que desafían su hegemonía. Sólo hay que dejarles.

    Pregunta: ¿No es mejor aplicarles la legislación antimonopolio y hacer que paguen impuestos?

    Respuesta: Lo malo de aplicar regulación antimonopolio a esas empresas es que ya son tan ricas que comprarán al regulador –a los políticos– y convertirán esa protección en una dura barrera de entrada para que nadie les quite el monopolio.

    Podemos pensar que se trata de alguna teoría conspiratoria. O, por el contrario, que la entrevistada sabe de lo que habla. Y esto último sería triste pues nos está hablando de una corrupción, aparentemente imparable, generada por el gran dinero de las tecnológicas.

    En relación con el tema del “derecho al olvido” parece que se ha convertido en un negocio, se ha privatizado. Quien puede pagar las tarifas de las empresas especializadas en borrar los rastros en Internet tiene derecho al olvido, a ocultar su pasado, y quien no puede pagar lo tiene mucho mas difícil.

    Sobre lo que está ocurriendo en Facebook después de lo de Cambridge Analytica hoy he leído lo siguiente:

    ‘La capitalización bursátil de Facebook ha caído unos 70.000 millones de dólares (56.940 millones de euros) desde que a mediados de marzo estallara el escándalo por la filtración de datos de los usuarios de la red social a la firma Cambridge Analytica, que según se supo ayer accedió a la información de 87 millones de personas, 37 millones más que las calculadas en las versiones iniciales. Ayer Zuckerberg anunció la supresión de 270 páginas de Facebook e Instagram gestionadas por la sociedad rusa Internet Research Agency, envuelta en una investigación sobre la posible desestabilización de las elecciones presidenciales del 2016 en EE.UU. “Hemos determinado que esta agencia usaba una red compleja de falsas cuentas para engañar a la gente”, afirmó Zuckerberg. Las medidas podrían no ser suficientes. Scott Stringer, inversor con intereses en fondos de pensiones de Nueva York y con una participación valorada en 1.000 millones de dólares en Facebook, pidió el pasado martes la dimisión del presidente de la compañía para recuperar la confianza en el negocio. El fundador de Facebook ha sido también invitado al Senado estadounidense por la Comisión de Asuntos Jurídicos, junto a los ejecutivos de Google, Sundar Pichai y de Twitter, Jack Dorsey. También han solicitado la presencia de Zuckerberg el Parlamento británico y el Parlamento Europeo.’

    el link

  • #002
    Antonio Matarranz - 5 abril 2018 - 21:52

    Creo que la situación actual es que GDPR está en vigor desde hace casi dos años pero sólo a partir del próximo 25 de mayo será obligatorio… y empezarán las multas.

  • #003
    Ignacio - 6 abril 2018 - 07:12

    Buenos días Enrique,

    Creo que lo que han publicado es un reglamento, la diferencia es que la Directiva requiere transposición mediante una ley a nivel local y el Reglamento es de aplicación directa en todos los estados miembros.

    http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/reglamentos/common/pdfs/Reglamento_UE_2016-679_Proteccion_datos_DOUE.pdf

    Aquí puedes ver que el acrónimo en inglés coincide

    https://en.m.wikipedia.org/wiki/General_Data_Protection_Regulation

    Esto es una chorradita de terminología legal, pero bueno, te lo comento por sinquieres cambiarlo. Gracias por tu contenido, te sigo a diario y me ayuda muchísimo a estar al día,.

    Recibe un cordial saludo.

  • #004
    Gorki - 6 abril 2018 - 12:12

    De momento solo me he encontrado el GPDR en mi óptica habitual,

    Tenían y tienen mis datos personales desde hace años, pues habitualmente me hago las gafas ahí. Son datos que obligatoriamente tienes que entregar, si quieres factura, DNI, Nombre y Domicilio fiscal , y si pagas con tarjeta de crédito Numero de tarjeta, y fecha de caducidad,. también tiene mi teléfono, pues como las gafas no se hacen en el establecimiento, te avisan cuando las reciben de donde se fabriquen,

    Pues bien ahora, además de tener esos datos, guardan mi derecho a utilizarlos, pues quiero factura, quiero pagar con tarjeta y quiero que me avisen a mi casa para ir a recojerlas,

    No se que harán con mis datos, si los venden o no, antesse por mi cumpleaños me felicitaban, lo cual es absurdo, pero eso era lo único que me enteraban que hacían con ellos, si hacian mas cosas lo desconozco.

    Hoy podrán hacer las mismas cosas, pues tiene mi autorización, pero me han tenido que dar la tabarra para que les de mi autorización expresa porque se lo pide la GPDR,

    Así que estamos en las mismas de siempre, pero con mas molestias por mi parte y supongo que por la suya, (ficheros encriptados y cosas por el estilo) , pero sustancialmente nada ha cambiado, iremos como con las cookies autorizando al supermercado, al banco, a la gasolinera, a la farmacia …. a hacer con nuestros datos lo que tengan a bien, con mas molestias para todos y sin ninguna ventaja.

    • MANUEL - 6 abril 2018 - 21:50

      Tu establecimiento de óptica es muy bien intencionado por hacerte firmar el consentimiento, pero obviamente no se han leido el Reglamento.
      Te deberían haber pedido consentimiento ‘para cada tratamiento que quieran hacer con tus datos personales y que se salgan de sus actividades intrínsecas’. Por ejemplo, para felicitarte el cumpleaños.
      No te deben pedir consentimiento para usar tu NIF para hacerte factura, puesto que la AEAT no les va a permitir una factura sin NIF. Tampoco te tienen que pedir permiso para usar tu teléfono para llamarte para que vayas a recoger las gafas, puesto que si tu no quisieras no se lo darías e irías a recogerlas cuando lo consideraras oportuno.

  • #006
    AITOR MENTA - 6 abril 2018 - 15:33

    El GDPR ¿Pero esto que és?.
    Me mosquea el artículo, en el sentido: le parece bien a FB, aqui hay gato encerrado…

    Voy a la web de la UE, y veo de que va, y me formo una opinión, no sesgada pero rápida: los procesos están para salvar el culo a los rectores, perdón, a los de siempre, que estaría pensando…sigo el proceso, si alguien vende datos, solo van a ir por el Falciani de turno…. otro más, hago que lo sigo y con eso todos contentos.. luego con decir que los logs se autodestruyen a los x años… no me consta y en pax vobiscum, mientras Felix poniéndose las gafas para ver las nuevas amigas rusas en FB, que por donde han entrado.. si está todo regulado…

  • #007
    MANUEL - 6 abril 2018 - 21:56

    Antes de criticar RGPD (GDPR) os recomiendo leerlo, suele ser una buena costumbre. A mí, tras haberlo leído, me parece un reglamento muy interesante. Me parece que establece requisitos que tienen muchísimo sentido, me parece que si cumples LOPD no requiere un gran esfuerzo de adopción. Y menciona algo que me parece indispensable, los datos personales deben estar cifrados, ¿a alguien le parece bien que un DBA pueda ver sus enfermedades, parámetros de salud, …? no tiene sentido en el siglo XXI.

    • Enrique Dans - 7 abril 2018 - 00:25

      A mí la GDPR me parece una muy buena idea, y lo he comentado ya anteriormente: es una normativa que proviene de una demanda social. Lo que no tiene sentido es inventarse un “derecho al olvido”, porque eso, sencillamente, ni existe, ni es aplicable. El olvido no es un derecho, es un proceso fisiológico.

      • MANUEL - 7 abril 2018 - 10:23

        Creo que tenemos un entendimiento diferente de lo que es el ‘derecho al olvido’. Para mí, en el contexto de GDPR, el derecho al olvido significa lo siguiente:
        – un ciudadano de la UE tiene derecho a que sus datos personales se supriman de las bases de datos (de su telco, banco, aseguradora, …) y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos
        – o si el ciudadano ha retirado el consentimiento para su tratamiento (antes quería recibir ofertas y ya no quiere)
        – o se opone al tratamiento de datos personales que le conciernen (antes aceptaba que se utilizaran y cambia de parecer)
        – o si el tratamiento incumple el Reglamento
        GDPR contempla la retención de los datos para el ejercicio de la libertad de expresión e información, para el cumplimiento de obligaciones legales, para el cumplimiento de una misión de interés público, por razones de salud pública, con fines de archivo, con fines de investigación.
        Resumiendo, visto en profundidad, el derecho al olvido de GDPR, tiene mucho sentido.

  • #010
    ALAN TURING - 7 abril 2018 - 02:23

    ¿Y no sería genial que hubiese una web oficial donde poder consultar todas las bases de datos en las que estamos? ¿Y no sería aún más genial que en esa web pudiésemos solicitar la cancelación de nuestros datos de una manera cómoda sin necesidad de tener que enviar una carta como ocurre ahora?

    responder

Dejar un Comentario

Los comentarios están cerrados