El próximo 25 de mayo entrará en vigor la General Data Protection Regulation (GDPR), el reglamento mediante el cual las autoridades europeas pretenden armonizar, unificar y reforzar la protección de los datos de los ciudadanos de los estados miembros. Para muchos, una normativa con el potencial de cambiar la web tal y como la conocemos, dado que sus efectos no se limitan en absoluto a Europa, sino que afectan a toda compañía que pretenda comercializar productos o servicios a ciudadanos europeos o cuya actividad conlleve el procesamiento de sus datos. La normativa es completamente incompatible con la inmensa mayoría de las prácticas que hoy llevan a cabo la mayoría de las compañías implicadas en la publicidad online, y eso, dados los constantes abusos cometidos por esa industria que han logrado convertir la web en un inmenso estercolero de malas prácticas y desprecio por los usuarios, es sin ninguna duda una maravillosa noticia
Lo mejor de GDPR es que, al menos en su redacción, pretende equilibrar el actualmente desequilibrado balance entre los derechos de los usuarios y las acciones de las compañías que pretenden explotar sus datos. La definición de dato personal se hace más amplia y pasa a abarcar desde datos genéticos hasta mentales, culturales, económicos, de identidad social o de patrones de conducta. La obtención del consentimiento para recopilar esos datos deberá ser clara, unívoca y granular, con el derecho a ser eliminado de esos archivos en cualquier momento, con consentimiento parental explícito para menores de 16 años, y con la posibilidad de solicitar en cualquier momento una copia de esos datos en un formato adecuadamente exportable. Las compañías tendrán que, a partir de un volumen determinado de datos pero considerado como de buena práctica en todos los casos, nombrar a un responsable o Data Protection Officer (DPO), y responder a cualquier violación o acceso irregular a sus bases de datos dando aviso a sus clientes en menos de 72 horas, y las sanciones aplicables podrán llegar hasta los veinte millones de euros o el 4% del total de ingresos globales, escogiéndose siempre lo que suponga una cantidad más elevada.
Para los usuarios, en principio, GDPR es una buena noticia: su desarrollo proviene de una demanda social real, de una preocupación genuina, de una situación que las malas prácticas de toda una industria habían convertido en insostenible. Fenómenos como el ad blocking, a todos los efectos el mayor boicot de la historia de la humanidad que amenaza con llegar ya a ser utilizado por alrededor de un tercio de todos los usuarios del mundo, son una buena prueba de ello. Sin embargo, no debemos olvidar que los efectos de las leyes, en todos los casos, no se deben a la redacción de la ley como tal, sino a los detalles de su aplicación. Leyes que en principio podían tener sentido, como el control del uso de las cookies, se convirtieron en manos de las autoridades europeas en una soberana estupidez, completamente inútil, que únicamente sirvió para molestar tanto a los propietarios de páginas como a sus usuarios, sin ningún tipo de efecto tangible más allá de un absurdo e intrascendente mensaje.
¿De qué va a depender que la promesa de una web mejor y con derechos más equilibrados se materialice o se convierta, una vez más, en una molestia inútil que no sirve para nada? Básicamente, en los detalles de su aplicación. El compromiso no es sencillo: si los usuarios tenemos, página por página, que rellenar un complejo formulario con multitud de opciones en el que nos preguntan, paso por paso, todas nuestras preferencias de privacidad, todo lo que permitimos o no permitimos hacer a la página con nuestros datos, el trámite puede llegar a ser un infierno en términos de usabilidad.
Por otro lado, la privacidad es una variable multidimensional y compleja, que depende enormemente del contexto: circunstancias que consideramos inaceptables para algunos servicios pueden ser perfectamente aceptables y redundar en un claro beneficio para el usuario en otros, de manera que el uso de una plantilla común tampoco funciona. ¿Cómo vamos a ejercitar nuestros derechos en un entorno no solo infinito – ¿cuántas páginas visitas a lo largo de un día, de manera habitual o eventual? ¿Qué ocurre si tienes que rellenar tus preferencias de privacidad en todas ellas? – sino además completamente heterogéneo?
El reto de una regulación que de verdad sirva a los usuarios es sumamente complejo, una cuadratura del círculo difícil de llevar a cabo. Eso, lógicamente, no quiere decir que no deba intentarse. Pero como en tantas otras cosas, el diablo va a estar en los detalles, y va a haber que estar muy atento a todo, a cada compañía, a cada caso, a cada abuso: la ley no solo debe cumplirse, sea lo importante que sea el lobby que esté detrás de quien pretenda no hacerlo, sino que debe contribuir a generar una situación mejor que la original, y si no es así, seguir revisándose hasta que así sea. En muchos sentidos, la GDPR va a separar los modelos de negocio que tienen sentido de los que no lo tienen: recopilar datos y procesarlos no va a ser ilegal, lo que será ilegal será utilizarlos mal, para propósitos que los usuarios no aceptamos, sin la adecuada transparencia o de formas que generen situaciones insostenibles o desequilibradas, como ocurría en muchos casos hasta ahora. Que la GDPR sea una bendición o termina convertida en una estupidez inútil y molesta como ocurrió con las cookies va a depender de todos. Algunas agencias, soportes y anunciantes, los mismos que contribuyeron a destruir la web «normalizando» la situación actual de persecución y explotación abusiva de nuestros datos, ya están diciendo que una ley como esta va a destruir toda una industria: si es así, por favor, que la destruyan cuanto antes.
This post is also available in English in my Medium page, “GDPR: a blessing or a waste of time?»
En este artículo no nos aclaras mucho el título del que partes, pero parece que no te gusta esta regulación!
Creo que el hecho de firmar miles de hojas y sin saber qué no es por el Reglamento que empezará a aplicarse a finales de Mayo, sino por las compañías que nos largan unos tostones que nadie quiere ni puede leer. No es pues cuestión del RGPD es de aquellos que engorronan los temas para que los demás opten por obviarlos.
¿Que no está claro? No lo puedo decir más claro: me encanta, me parece fantástico, pero su resultado final y el que sirva o no para algo dependerá de cómo se aplique. No sé qué parte no está clara, la verdad…
Hola Enrique (& co. en comentarios)
En principio no lo veo complicado si los navegadores se apuntan al carro. Si yo pudiera rellenar un megaformulario en Firefox/Edge/Chrome/Vivaldi y luego entrar en distintas webs con algunas opciones predefinidas, no lo veo imposible. Tal vez entrar en todas en modo semiprivado y «abrirme» en las que me interesen como Amazon o PcComponentes, por poner algunos ejemplos.
Si acaba siendo el infierno burocrático de las Cookies que hay que aceptar en cada web, entonces estamos seguramente condenados a que internet siga siendo un lugar complejo para navegar (en símiles marítimos es como acercarte a un puerto que tiene fuera muchos arrecifes). Al final puede empujar a la gente a leer los contenidos en plataformas tipo Facebook/Google News, excepto en España, para poder evitarte todas las molestias de navegar normal. Volviendo al símil: Ya no navegas, solo visitas los otros barcos que están en el mismo puerto que tú.
Como todo, predecir el futuro es harto complicado. A ver que tal en las próximas semanas y meses…
No lo veo tan fácil. Como comento en la entrada, las condiciones que como usuario establezco no tienen que ser – y de hecho, no serán – las mismas para según qué servicios. Que Google recopile información con el fin de que las búsquedas de los usuarios sean más adecuadas a sus intereses, por ejemplo, es algo que muchos usuarios pueden encontrar interesante. Que lo haga para así ponerme anuncios que me persiguen por toda la web, en cambio, no me interesa y no lo acepto. Y a Google posiblemente le permita cosas que no le permita a otros, de manera que un simple ajuste en mi navegador, en muchos casos, no va a servirme, o va a dar lugar a resultados subóptimos.
Un día miré quien era el plastazo que me fusilaba con cosas que no me interesaban del Cash Converters y que en AliExpress, por haberme salido en una búsqueda de tirantes unos para la cama y la práctica del BDSM, hacia que el correo de Yahoo no fuera apto para menores… Y, oh sorpresa, era Amazon. Su publicidad es de lejos demasiado invasiva, y es lo último que me esperaba… pena que en el curro no pueda usar el AdBlock.
Evidentemente existen enormes intereses para que este intento de legislar sobre el robo de información privada en Internet fracase.
Ya lo hemos podido comprobar hace cinco años con la cuestión de las cookies. Las cosas se hicieron de tal manera que fuera el usuario quien rogara para que le dejasen tranquilo con el tema de las cookies y las aceptará agradecido.
Posiblemente volverá a ocurrir lo mismo que con las cookies; una normativa diseñada específicamente para que fracase. Y para que los usuarios dejen ya de quejarse de una vez por el robo indiscriminado de todos sus datos.
Es que se trata de un gran negocio y que no solo proporciona dinero sino también poder.
Pero, si por una vez no triunfa la corrupción disfrazada de burocracia las cosas cambiarán y los usuarios de Internet habremos ganado mucho.
Para empezar, la solución, la implementación es fácil. Te registras o entras en un sitio y eres preguntado: Aceptas este contrato? en el que se explica que donas tus datos voluntariamente .Si te interesa te lees todo el contrato. Y si no te interesa, simplemente dices que no, que no quieres ceder tus datos. Y se acabó el problema ya que el que oferta el servicio no podrá impedirte acceder. Te registrarás habiendo dejado claro que no cedes tus datos y no podrán volver a molestarte. Simple y transparente. Asunto terminado.
Y se acabó el problema ya que el que oferta el servicio no podrá impedirte acceder.
Bueno, no estoy tan seguro de que eso pueda llegar a ser así. Si ceder tus datos forma parte del contrato y le aceptas, los cedes. No creo que puedas aceptar unas condiciones sí y otras no. Algo así como el derecho de admisión.
Me suena a bastante rídiculo (todo el asunto). ¿En una sociedad que hizo fortuna con el tocomocho de la «letra pequeña», ahora nos vienen que van a protegernos mejor? ¿Y después del invento de las galletikas de coña? ¡Y además en internet que lo quieren convertir en campo de concentracción virtual del personal «alterado»? En una sociedad donde la «industria abogacística» resulta una de las más rentables.
Lo malo del nazismo no fue tratar al pueblo alemán como infantil, lo malo del nazismo fue como supo apuntar perfectamente el meollo del problema (infantilismo popular en sentido kantiano)… otra cosa es que la sociedad capitalista no estaba en los años treinta preparada para jugar a 1984.
En la lucha por el poder global no siempre se pueden seguir caminos en línea recta.
Creo que limitar GDPR a la web creo que es una visión muy limitada y corta de su alcance.
La GDPR afecta al uso de datos personales, tanto por Internet, como en ordenadores, con lo que afecta a la totalidad de las empresas, porque todas utilizan datos de clientes, su nombre, dirección, número de cc., ….. y a partir de la entrada en vigor de la GDPR, si se lleva con rigor, (algo que dudo) , te veras obligado a firmar una aceptación de usos de tus datos en un número inimaginable de lugares,
Porque, con la ley en la mano, por ejemplo el recibo de la luz no se podrá pagar por banco, sin que tu personalmente des permiso para el uso de tus datos a Iberdrola, pero tampoco el banco te podrá mandar comunicación del pago a tu casa sin el correspondiente permiso.
Así que autorizar el uso de cokies va a ser un juego de niños comparado con lo que se viene encima-
Pongo un caso práctico.
El otro día fui a encargarme unas gafas y como es lógico tardaban varios dias en entregarlas. La óptica anticipándose a la que viene, había actualizado sus sistemas a la normativa GDPR y para poderme avisar a mi móvil cuando estuvieran las gafas listas para ser recogidas, tuve que firmar, (en una pantallita), la autorización expresa, porque si no, no me podían avisar por no poder hacer uso de mi nombre y número de teléfono.
Por supuesto, firmé, pero claro está, no firmé que me puedan mandar un aviso, sino que puedan hacer uso de mis datos, por tanto, a partir de ese momento, estoy como estaba, pero eso si, con una molestia adicional, el tenerlo que autorizar expresamente
No es así, Gorki. Yo me hice gafas nuevas hace pocos meses y me las entregaron al día siguiente. Dónde las has encargado?
Ahora en serio. Mira este ejemplo práctico. Prueba a registrarte en Tinder primero y en Lovoo después (si ligas o no ya es otro problema).
En Tinder, te verás obligado a aceptar el contrato o desistir. También te verás obligado a registrarte con tu cuenta de Facebook.
En cambio, en Lovoo puedes elegir no dar tus datos, así como registrarte sin proporcionarles obligadamente tu cuenta de Facebook.
Es que es ese el camino. Dar opciones al usuario para que pueda elegir, sin trampas, si quiere regalar o no sus datos personales. Y está claro que sí no quiere regalar sus datos está en su derecho, y no se le puede obligar ni denegar el derecho de admisión.
Y atención, porque en ningún caso pretendo recomendar a Lovoo ya que como servicio no lo he probado. Pero insisto en el hecho de que las cosas se pueden hacer de una u otra forma. Y que Lovoo es mas serio y mejor que Tinder en cuanto al respeto a los derechos de los usuarios.
En efecto, hay óopticas que t las dan de hoy para mañana y a mi en la farmacia las gafas e las sirven en el momento. Todo depende de las gafas que pidas..
Cuando vayas al hipermercado y les digas, «Me lo envían a casa» Y tengas que firmar una documento en el que permites uso de tus datos y lo mismo te digan en Amazón, en la pescadería, en la Renfe y en 1000 sitios mas, me cuentas que supone .la GDPR
Excelente artículo.
Desde mi punto de vista, lo que habría que diferenciar de forma fundamental son los “tratamientos esperados” de los “tratamientos sorpresivos”.
De tal forma, que para los “tratamientos esperados”, es decir, aquellos que se va a llevar a cabo para proporcionar el servicio que se ofrece, no fuese necesario consentir nada (pues se dan por supuesto).
En cambio, para los “tratamientos sorpresivos” de datos personales, aquellos que no guardan relación con el servicio solicitado o prestado (normalmente realizados con finalidades de marketing) deberían ser informados de forma clara y consentidos de forma expresa.
De esa forma, se contribuiría a mejorar la privacidad sin sobrecargar de información innecesaria a los usuarios.
No veo la web destruída como la plantea Enrique. No tengo ningún problema para navegar con normalidad y si una página se excede con los anuncios, voy a otra y listo o activo el adblock. En realidad, la mayor parte de los datos que recolectan las páginas son para fines estadísticos y no permitir las cookies basta para restringir mucho el seguimiento. Mayor peligro veo en las apps móviles.
La ampliación de la definición de dato personal me parece para flipar hasta las 12 y luego 12 horas más. ¿Datos genéticos, mentales, de conducta? ¿Quién ha redactado esto? Ah, la gentuza política de la infecta UE. La misma que sí se permite espiar a sus ciudadanos y obliga a las operadoras a guardar un registro de nuestras llamadas telefónicas, etc, etc. Consolador…
Los datos que se facilitan para acceder a un servicio y el manejo que se hace de ellos, es algo reflejado en el contrato que se firma. Es el usuario quien decide si los da o no. Es libre de usar el servicio o no hacerlo. No necesito una sobreprotección de ningún organismo, y la afirmación de que los usuarios están hartos del «robo» de datos y reclaman más protección es, cuanto menos, cuestionable.
Tiene razón Gorki en su comentario. La aplicación de esta ley (que he de leer, lo confieso) alcanza mucho más que la web. Hace pocos días llevo a cambiar las ruedas de la bici y el mecánico me dice que tengo que hacerme la tarjeta de la tienda. ¿Cómorr, le digo? ─Sí, para la garantía y ver que todo va bien. Le contesto: mira, eso es un absurdo; lo quieren para tener mis datos y hacer sus estadísticas y mandarme publicidad y tal y cual. Pero es el mecánico y tampoco voy a ponerme dramático con él, así que acepto porque iba mal de tiempo y me resultaba cómodo dejar allí la bici. No hubo ni aviso del uso de datos ni consentimiento escrito ni ná de ná. Pero lo hice aunque me toque las narices hasta donde termina Tarifa. Fue mi responsabilidad porque yo decidí.
Con el gimnasio más de lo mismo pero más peor. DNI, dirección y lo clásico más lo moderno: foto y huella dactilar. Vamos, como la poli cuando haces el carnet pero en rollo deportista; si los futbolistas le tocan el culo al que marca y no hace ninguna denuncia por acoso sexual o atentado a la intimidad, por qué iba a sentarme mal una simple huella dactilar. Compañerismo entre los que sudan, deben pensar. Pero ni aviso de qué hacen con mis datos, ni consentimiento. Le comento a la chica el tema pero no sabe, no contesta. Es la recepcionista y tampoco era momento de montar el pollo. Acepto nuevamente. ¿Responsabilidad? La mía.
¿Necesito protección ante este tipo de situaciones? Pues como el tema se va generalizando por el abaratamiento de las herramientas, sí me gustaría, como mínimo, que se cumpliese la legislación vigente, y que no toda empresa tenga derecho a pedir tus datos para algo tan banal y cotidiano como arreglar una bici o apuntarse a un gimnasio. Sobra el Little Data callejero.
Sospecho que esta ley va a ser otro pufo que nos va complicar la vida a quienes tenemos alguna web.
«Los datos que se facilitan para acceder a un servicio y el manejo que se hace de ellos, es algo reflejado en el contrato que se firma. Es el usuario quien decide si los da o no. «
Pues no. En Internet no puedes decidir porque no puedes elegir. No puedes prescindir de Google. Si renuncias a Facebook seguramente no podrás estar en contacto con familiares, amigos, compañeros de trabajo, etc.
No, no eres en absoluto libre para elegir. Se trata de un chantaje implícito que casi siempre aceptamos porque no hay otra alternativa.
Son lentejas Y si te roban tus datos para hacerse megabillonarios el sabor es muy amargo.
Estas empresas no tienen porque haberse convertido en las más capitalizadas del mundo. Solo lo son porque roban y venden nuestros datos.
Pueden perfectamente ser rentables vendiendo publicidad sin necesidad de robar datos. Las televisiones han sido muy rentables, las radios han sido rentables vendiendo publicidad y sin robar los datos de nadie.
Necesitamos un Internet abierto, sin monopolios, diverso, y con muchas empresas que ganen dinero, honestamente. No queremos ni monooilios, ni oligopolios, ni supermegamillonarios surgidos a costa del robo y comercialización de los datos de todos.
Además, es peligroso.
Muy interesante artículo, Enrique.
El consentimiento no es el único procedimiento que se puede invocar para el tratamiento de datos personales; también está el legítimo derecho, la relación contractual o la obligación legal para el Responsable del tratamiento. Esto significa que no es necesario nada más para que la compañía eléctrica use tus datos para cobrarte a través del banco o para que el banco te informe del pago.
Lo que sí es necesario es que se detallen los distintos tipos de tratamiento que puedan tener tus datos para que los aceptes o no según quieras. Deben permitirte aceptar por separado el envío de un mensaje de entrega de tu compra, de mensajes promocionales o publicitarios o de cesión de tus datos a terceros. De no hacerlo así no estarán cumpliendo con GDPR y se expondrán a las sanciones previstas.
El fastidio que generará tener que responder de manera explícita a muchas preguntas en vez de responder de manera implícita que sí a todo es el peaje a pagar por poder ejercer nuestro derecho a decidir qué se hace con nuestros datos.
No deberíamos permitir que burócratas o supuestos expertos decidan otra vez cuál es el precio que hay que pagar para evitar que ciertas empresas se apropien de nuestros datos personales y los comercialicen.
Lo han hecho mal intentando regular las cookies, y pueden volver a cometer el mismo error: molestar al usuario haciéndole pagar un precio demasiado alto e inasumible.
El fracaso en la normativa de cookies obliga a buscar medidas mas transparentes
Todavía, si se quisiese, se podría resolver la cuestión de las cookies utilizando la propia tecnología de cookies. Bastaría con preguntar al usuario una sola vez, una única vez, si las acepta o no. Y si no las acepta no volver a preguntarle jamás lo mismo, no volver a molestarle. Para ello bastaría con una única cookie que indicara al responsable de la web que no debe enviar cookies ni repetir la misma pregunta que ya fue respondida una vez por el usuario dejando claro que no las quiere.
Pero, cuando no se quieren resolver los problemas de verdad se ofrecen soluciones destinadas al fracaso. Luego, los «expertos» que han causado un nuevo problema dirán que *se trata de un asunto muy complejo».