LOPD (antigua) Vs RGPD

El día 25 de Mayo de 2018 será recordado, con bastante seguridad, por ser un antes y un después, porque han cambiado las reglas del juego, las reglas de un juego en el que el producto era el propio ciudadano, y el vendedor y el comprador empresas de medio mundo. Pero antes de entrar en detalles… ¿Que diablos es la RGPD?

En España llevamos años rigiéndonos por la Ley Orgánica de Protección de Datos (LOPD), supervisada por la agencia de protección de datos. Este organismo ha tenido un papel fundamental en los últimos años, sobre todo si tenemos en cuenta que cada año que pasa nos metemos más de lleno en una sociedad totalmente “tecnologizada”, en una sociedad donde cada vez vale más nuestra información, lo que hacemos, lo que nos gusta, todo. Y si tengo que ser justo, tengo que decir que al contrario de la opinión que tengo sobre como funcionan la mayoría de las cosas aquí en España, la agencia de protección de datos a cumplido con su cometido, ha sido tanto comprensible,  flexible, firme como implacable, en función de las irregularidades, y más importante, de la intencionalidad.

El Reglamento General de Protección de Datos (RGPD) no es una ley ni un reglamento Español, tiene un alcance Europeo, es el acuerdo de años de trabajo de la UE, y digamos que sienta las bases, unas nuevas bases, de como se deben de tratar, recolectar, vender… cualquier dato/información de carácter personal de sus ciudadanos. Esto no va (solo) del mundo digital, ojo, esto se aplica absolutamente a todo. En España, el RGPD sustituye/modificará por tanto la LOPD actual, para darle cabida. Y sí, es de obligado cumplimiento para todos. Nuestra ya vieja LOPD, si bien es cierto que en algunas cosas era más restrictiva, en muchas otras se quedaba corta. El RGPD unifica en territorio europeo las nuevas reglas del juego de los datos personales.

El que más o el que menos ya sabe lo que es la RGPD. Vale, puede que desconociesen lo que estaba detrás, pero lo lleva viviendo cuanto menos desde el 25 de Mayo de este año. Hay que tener bien claro que el RGPD se aprobó hace ya dos años, el 25 de Mayo de 2016, lo que sucede es que se dio un plazo de 2 años para que absolutamente todo el mundo pudiese adecuarse al nuevo reglamento, y la fecha del 25 de Mayo de 2018 sería la fecha límite para empezar a aplicarlo por obligación. Pero como pasa siempre, y pese a esos 2 años de plazo, ha cogido a una cantidad ingente de compañías, entidades, organismos… con un pie fuera, y con dos también. Mientras escribo esto es 6 de Junio, han pasado solo 12 días desde la fecha límite, y os puedo asegurar que la sacudida, la relevancia que está teniendo es épica.

¿Pero que tiene el nuevo RGPD tan “especial” como para afectar tanto? ¿Es tan diferente a la actual LOPD? La LOPD actual ha sido una ley muy positiva, que no siempre se ha cumplido sobre todo a un nivel más de calle, pero tuvo un impacto bastante bueno. El RGPD básicamente no solo devuelve el derecho sobre nuestros propios datos, sino que obliga a cualquiera que los recopile/use/venda/comparta… a:

1º. Especificar de un modo claro, entendible y sencillo que uso se van a hacer de ellos, a quienes se les va a vender/ceder/compartir, el uso a su vez que podrían hacer esas compañías… todo.

2º. Solicitar/requerir permiso explícito sobre todo ello y de un modo granular, nuestro consentimiento no puede ser tácito o sobreentendido, tiene que ser igualmente claro y sin “trampas”, sin denegarnos posibilidad de usar dichos servicios en caso de rechazar la explotación de nuestros datos, a menos que claro está que estos sean totalmente necesarios para el uso de dicho servicio/producto o lo que sea, pero en cualquier caso debe de existir un consentimiento expreso.

3º. Permitirnos acceder de un modo simple, legible, cómodo… a absolutamente todos nuestros datos que poseen, ya sea la finalidad que sea, incluyendo por supuesto la eliminación de todos ellos si así lo queremos, haciendo por ley por tanto el consabido derecho al olvido.

4º. El Reglamento no puede aplicarse de forma retroactiva, pero obliga también a que nos tengan que solicitar de forma expresa, en las mismas condiciones anteriormente citadas, nuestro consentimiento por los servicios y otros que en su día aceptamos al amparo de otras leyes.

5º. Transparencia y tomar las medida de seguridad y control que sea necesarias para salvaguardar los datos que se tengan. Eso quiere decir que ante cualquier fuga de datos, fallo del sistema.. tendrán que demostrar que cumplían con normas básicas de seguridad y que la privacidad era parte importante desde el principio, e igualmente informar tanto a las autoridades como a los afectados sobre dicho problema.

Obviamente el reglamento es mucho más complejo, pero de cara al ciudadano, lo más importante es eso.

Las multas serán ejemplares por otro lado para los menos cumplidores. Hablamos de un 2% a un 4% de la facturación o de 10 a 20 millones de euros, no es calderilla desde luego.

 

No parece tan malo el nuevo reglamento, ¿Por qué tanto revuelo y quejas?

A priori, para la inmensa mayoría todo suena muy bueno, somos felices con todo ello. El problema es que llevamos muchos años en una sociedad donde somos el producto, donde somos los que nutrimos y alimentamos a cientos y miles de empresas con nuestros datos. Esto es complicado de ver a veces, muchos se preguntan que valor puede tener para una empresa cosas en principio con tan poca importancia como saber nuestra edad, o nuestro nombre, o nuestro sexo… si hablamos del teléfono o el correo electrónico muchos podrán entenderlo mejor, porque el uso publicitario de ello es más inmediato, pero el resto de datos tienen el mismo valor. Servicios como Facebook, Instagram, Twitter, Google, Apple… recopilan ingentes cantidad de datos nuestros a cambio de usar sus productos/servicios. Esas empresas generan miles de millones de uros gracias a nuestros datos. Publicidad dirigida, big data, estudios…

La repercusión es inmensa, porque si bien es cierto que para muchas grandes empresas el negocio del bigdata es secundario, para muchas otras es de primer nivel, y el nuevo reglamento va a disminuir enormemente tanto la cantidad como la calidad de los datos, a fin de cuenta ahora el control va a tenerlo de un modo más férreo cada persona. Pensemos en cosas simples, no hace falta ejemplos sofisticados. Si entramos en una web que usa Google Analytics sencillamente para tener una idea de visitas y otros, aunque sea sin animo lucrativo siquiera, requiere confirmación expresa, denegarlo o simplemente no interactuar, implica que no puede usarse con nosotros, con lo que para empezar, la totalidad de Webs que “monitorizan” del modo que sea sus visitas van a ver un descenso brusco de estas. Y fijaros que el ejemplo más sencillo no puede ser. Bien pues si eso pasa con una web de cualquier individuo, pensar que pasa con una web de una compañía/empresa. Pongamos de ejemplo la web del diario “El PAIS”, el cual no cumple rigurosamente por cierto con la nueva normativa, y vemos en su política de Cookies una lista de terceras empresas con las que se colabora y usan nuestros datos.

En lo personal, entiendo que mis datos son necesarios para las empresas y que contribuye a que pueda usar ciertos servicios de forma “gratuita”. Lo mismo pasa cuando usamos aplicaciones gratuitas muchas veces, asumimos que lo “gratis” es pagar con algo de nuestros datos. Me parece bien, lo asumo, pero siempre que ese uso y esa recolección de datos sea proporcionada. Antes era el gran coladero, en el mejor de los casos tenías una opción escondida para compartir datos, y páginas incontables de condiciones legales. Ahora todo va a ser más simple y sencillo, quienes no quieran arriesgarse tendrán que ser claros, permitir granularidad y ante la duda no recopilar ni usar nada.

Muchas empresas tendrán que cerrar directamente, lo que antes era el pan nuestro de cada día hoy no será viable, sobre todo si tenemos en cuenta que una vulneración de nuestros derechos conllevará sanciones importantes. Otras se verán muy afectadas al ver como el gran volumen que manejaban cae enormemente. Y otras, las que menos, sencillamente tendrán las herramientas necesarias para que simplemente el usuario pueda hacer lo que alguna vez a lo mejor quiere hacer: Saber que datos tienen de uno, y permitir o denegar su uso en las condiciones que dicen, sin ser abusivo.

Se ha hablado mucho de que las sanciones son desproporcionadas, tal es así que muchas empresas no europeas, están denegando el acceso a sus servicios/webs/otros a ciudadanos Europeos por miedo de incumplimiento. Otras, no han optado por algo tan radical, pero si han creado versiones específicas (mismo contenido realmente) para los Europeos para poder cumplir con las normativas nuevas. Esto nos da una idea del tráfico actual que existe/existía de datos personales, de nuestros datos personales. Cuando una empresa prefiere denegar el tráfico a los Europeos a sus servicios por miedo a no cumplir con la RGPD, te da que pensar, a saber que barbaridades están haciendo. Pero lo mismo para aquellas empresas/servicios que crean versiones especiales ahora para poder cumplirla. Hace un rato, leía no recuerdo donde, que habían hecho experimentos en diferentes diarios extranjeros para ver cuan diferente podían ser estas “versiones” de webs para europeos y para el resto… los resultados estremecedores, las webs que cumplen ahora con la normativa europea pesaban algunas incluso un 90% menos!!, con lo que cargaban mucho antes también. ¿Por qué? Pues porque el grueso de una web a día de hoy es el contenido audiovisual, scripts y otros, y todo ello muy de la mano siempre de la publicidad, estadísticas, analíticas y tantas otras cosas.

No estoy diciendo que el RGPD sea el mejor, es más, llega muy tarde, llevan con él años y años y años… pero eso no quita con que no sea positivo. Existen flecos, existen algunas dudas, pero la mayoría de quejas que se han levantado son quejas de aquellos precisamente que lo hacen con la boca pequeña y mirando hacia otro lado. Es de esas leyes/normativas que aunque te contravenga, ponerte en su contra es casi imposible debido al sentido común, ética, impacto y derechos propios…se ha intentado criticarla poniendo de facto que al final el perjudicado serán las PYMES o usuarios particulares como bloggers, “influencers” y otros..  El reglamento viene para cumplirse, y a medio largo plazo se va a cumplir seguro, pero aunque las sanciones pueden ser muy muy duras, eso no significa que porque un bloggero de moda no ponga o se le olvide poner una casilla de verificación, le va a llegar una multa estratosférica. En primer lugar siempre se alertará, se dará un toque de atención se…. se es realista, eso sin contar que se tendrá muy en cuenta también tanto el volumen de datos que se manejan como su importancia y otras cuestiones.

Bien, llegado a este punto, para quien ande perdido y vea que esto va en serio. Yo no me dedico a venta de datos ni a compartirlos ni a nada, pero por ejemplo este blog es mío. Bien, yo estoy obligado a cumplir con el nuevo RGPD. Pero parece absurdo si realmente… ¿qué datos de caracter personal puedo recoger yo? No recopilo información de nadie, no vendo nada, no publicito nada… aun así, hay 3-4 cosas que tengo por ley que dejar claras:

1º. Lugar siempre visible de política de privacidad y cookies
2º. En mi caso, el único contenido externo creo recordar que es Google Analytics para contar visitas, pues aun así tengo por defecto que no usarlo, y solo usarlo si se me da un consentimiento expreso que saldrá en pantalla.
3º. El formulario de contacto ahora tiene que incluir por narices una casilla de aceptación de la política de privacidad y cookies. En mi caso es muy simple porque los únicos datos que se recogen son lo mínimo imprescindible, pero da igual, tengo que decir bien claro que voy a hacer con esos datos, para qué… etc etc

Y todo eso en un blog que es, o intenta al menos, ser escrupuloso con la privacidad y el respeto a los usuarios, sin publicidad, sin tráfico de datos, sin absolutamente nada. Imaginad ahora que pasa cuando se trata de una empresa que se dedica a traficar con datos y un buen día de buenas a primeras tienen una filtración de datos, o se descubre que nos han engañado y han estado vendiendo nuestros datos sin nuestro consentimiento. Pues aun así, pese a los ya pequeños cambios que he realizado en mi propio blog, es posible que aun esté violando el RGPD en algún punto, no soy jurista a fin de cuentas, pero lo más importante que podemos ofrecer cualquiera que sea un comunicador, es ser transparente. Sin transparencia no hay confianza, y sin confianza…

Las empresas de cierto tamaño lo van a tener más complicado, pero también tienen infinitamente más medios. Desde designar delegados específicos, rediseñar la privacidad desde cero, auditorias.. pero señores, hablamos de cosas serias, no tengo nada que ocultar, pero no me gusta que se me use como moneda de cambio y sin yo saberlo.

 

Futuro Inmediato

El efecto ya lo estamos viviendo, y vendrá además por fases.

La primera fase la llevamos viviendo algunas semanas y meses, ¿cuantos correos electrónicos hemos recibido de diferentes sitios, muchos de ellos sin siquiera saber quienes eran, sobre actualizaciones de políticas de privacidad y para pedir nuestros consentimientos? Muchos, yo he perdido ya la cuenta…

La segunda fase ha empezado hace poco, y cada vez más vemos en todas las webs avisos mucho más concretos, posibilidades de denegar el rastreo o incluso la publicidad. En algunas nos dejan seleccionar cookie a cookie, empresa por empresa, que permitimos y que no. Y esto va a continuar, se acabaron carteles ambiguos o el aceptar de forma pasiva las cosas. Muchos que se están adecuando van a tener que volver a cambiarlas, lo estoy viendo a diario… sí, han cambiado 2 cosas pero siguen violando el RGPD. Como todo habrá que esperar a que pase un tiempo a que se asiente todo. Esto se aplica no solo a páginas webs, lo vemos también en aplicaciones, software, todo.

La tercera será más dramática, y serán cortes y cierres. Muchas muchas aplicaciones a día de hoy de App Store o Play Store se nutren de publicidad, de venta de datos de… serán ilegales si no cumplen con el RGPD, y eso implica consentimiento expreso, granularidad, explicación… aquellas, las más “dañinas” para nuestros datos se verán obligadas a cerrar porque no será rentable, ni los ciudadanos estarán dispuestos a dar los datos que exigen. Muchas otras podrían ver un decremento muy importante de sus ingresos indirectos/directos a los datos privados y hacer que dejen de ser rentables. Y repito, esto mismo se extrapola a Webs y otros negocios, ya se han visto muchos casos.

La cuarta fase, serán tribunales. Un negocio tan lucrativo no se va a abandonar así como así, y las trampas siempre han existido, desde moverse siempre en la fina línea de lo legal y lo ilegal, hasta simplemente las cazicadas de mentir/engañar y robar datos sin que se sepa. Pensar que no han pasado ni 12 días y las grandes compañías ya estan TODAS denunciadas. Sí, Facebook, Google, Apple… No creo que en ese punto haya a corto plazo sanciones importantes y poco a poco se adecuarán seguro, pero, y espero equivocarme, asistiremos a algun que otro escándalo multimillonario de alguna gran empresa por pasarse por el arco del triunfo la nueva normativa e ir con “maldad”.

 

Hay que ser realistas, y entiendo que muchos productos y servicios son posibles a que nosotros mismos nutrimos sus bases de datos, y lo acepto, y lo asumo. Pero quiero saberlo, quiero saber que se hacen con mis datos, quien los tiene y que uso le dan. Para mi la importancia no radica tanto en multas o en que no tengan mis datos. Siempre lo he dicho, cuando instalo una app interesante y se me solicita de forma adecuada si quiero compartir con los desarrolladores o incluso terceros datos anónimos de uso o alguna otra cosilla, casi siempre les digo que sí, entiendo el valor y la importancia que tienen para ellos y yo me estoy beneficiando. Pero siempre que entienda que es razonable lo que se pida. Tengo Facebook, pero en el equipo, no uso Facebook en el móvil. Lo desinstalé hace años cuando vi que, sin preguntar, sin necesitar y sin nada, Facebook estaba constantemente intentando recopilar datos de geolocalización propios, o mi agenda de contactos o… Repito, hay usos directos y necesarios, usos entendibles, usos “razonables”, y hay mucho mucho abuso. Y contra el abuso si me posiciono y lo denunciaré siempre que pueda públicamente… (estoy preparando un artículo sobre Movistar al respecto, no creo que les haga mucha gracia, y menos con el nuevo RGPD)

No hay que ser alarmistas, para los que podemos vernos afectados desde un punto de vista de “adaptar” webs o empresas o… es muy simple: Buen hacer, buena voluntad, transparencia, y pensar que nos beneficiamos todos. Si se va con buena fe y voluntad, en realidad es sencillo cumplir la nueva normativa, y como usuario que soy, también, me siento más seguro y más tranquilo.