La inminente entrada en vigor del Reglamento General de Protección de Datos (GDPR) el próximo día 25 de mayo, que obliga no solo a las compañías radicadas en Europa sino también a todas las que pretendan ofrecer productos o servicios a ciudadanos de la Unión Europea, está teniendo una primera consecuencia interesante: una gran cantidad de compañías están reescribiendo sus términos de servicio (TOS) con el fin de convertirlos en documentos que un usuario medio, sin necesidad de un conocimiento profundo de leyes, pueda aspirar a entender.
La opacidad y longitud de los documentos que definen los términos de servicio es un tema sobre el que he escrito en numerosas ocasiones: la cajita que marcamos para indicar que, supuestamente, hemos leído y entendido los términos de servicio cuando abrimos una cuenta o nos damos de alta en un servicio es, sin duda, la gran mentira de internet. Pretender seriamente que alguien se lea y entienda cincuenta y seis páginas de cláusulas referentes a todo tipo de aspectos escritos no en español ni en inglés, sino en «legalés» es algo completamente absurdo, y es además uno de los temas que GDPR ha expresado de una forma razonablemente clara: el reglamento subraya como requisito un lenguaje claro y sencillo a la hora de explicar el consentimiento al usuario, algo que, en la gran mayoría de los casos, está muy alejado de la situación que vivimos actualmente.
Pero obviamente, las compañías que utilizan este tipo de documentos largos, enrevesados y complejos no lo hacen por capricho: cuando la red comenzó a convertirse en un vehículo para actividad económica, la provisión de servicios o la venta de productos, muchos vieron la oportunidad de aprovecharse de una mentalidad que surgía, en principio, de una actitud básicamente ingenua, de una comparación directa con las actividades correspondientes fuera de la red. Cuando cuando entramos en una tienda en la calle, paseamos por ella mientras examinamos productos en sus estanterías, tomamos alguno, lo pagamos y nos vamos, no firmamos ningún tipo de documento de términos y condiciones de servicio. Cuando esas actividades pasaron a la red, en un contexto en el que mucha de la interacción cambiaba y se situaba de repente en un entorno que, para la mayoría de los usuarios, generaba más incertidumbre, las compañías se vieron en la necesidad, en muchos casos debido a acciones y casuísticas generadas por los propios usuarios, de poner por escrito los las reglas que gobernaban esos intercambios comerciales. De nuevo, el leguaje jurídico no es alambicado, complejo y difícil de leer por capricho de alguien, sino por una necesidad de concreción, de definición que evite las ambigüedades, que deje muy poco a la interpretación. Así, los asesores jurídicos de estas compañías, ante un contexto redefinido, trataron de contemplar todos los posibles supuestos y de reflejarlos en los términos que conocían, en el lenguaje que estimaban que tenían que utilizar para tratar de blindarse ante cualquier eventualidad.
El resultado está claro: el propio Mark Zuckerberg, cuando un senador le leyó una parte de la primera página del largo documento de TOS de Facebook y le dijo que aunque era abogado, era incapaz de entender lo que decía esa frase, contestó que «no creía que el usuario medio fuese a leerse todo ese documento». ¿En dónde nos deja algo así? Sencillamente, en que ese usuario medio, en efecto, no se lee nada, y simplemente confía que esos TOS estarán redactados con «sentido común». Así, como comprobaron dos profesores cuando pidieron a sus alumnos que se diesen de alta en una red social inventada, podemos esconder entre las cláusulas de los TOS cualquier cosa, incluso la obligación de entregar sin condiciones a la compañía a nuestro primer hijo, que los usuarios llegarán, harán clic en el cuadradito indicando que han leído y entendido el acuerdo, y seguirán adelante con su vida, completamente ignorantes con respecto a lo que han firmado.
A lo largo del tiempo, la evidente incoherencia entre lo que los usuarios supuestamente aceptan y la imposibilidad de leerlo o entenderlo se ha hecho patente en numerosas ocasiones: después de todo, los TOS actúan, salvo en casos claramente abusivos, con la validez de un contrato, y los abogados pueden utilizarlos en toda la extensión de sus intereses. En el año 2012, el francés Hugo Roy, actualmente en la Free Software Foundation Europe, creó Terms of Service, Didn’t Read, un servicio con plugin para el navegador incluido, que permite calificar los documentos de TOS de las compañías y aspira a explicarlos o a hacer presión de cara a su eventual simplificación. Ahora, en pleno paroxismo por la próxima entrada en vigor de GDPR y mientras muchas compañías se quejan de la dificultad para adaptarse a sus requerimientos, podríamos encontrarnos con que uno de sus primeros efectos sea precisamente ese: que las compañías se vean obligadas a hacer un esfuerzo por convertir sus TOS en documentos realmente legibles, que una persona normal pueda aspirar razonablemente a leer y entender. Si es así, puede ser que hasta haya valido la pena. Y si en tu compañía no os habéis puesto aún con ello, ya va siendo hora…
This post is also available in English in my Medium page, “The simplification of TOS, a positive effect of GDPR»
Esperemos también que se entienda de una vez lo que es una cláusula leonina. Y que estás desaparezcan de los contratos que se ofrecen en la red.
De momento solo me he leído un tercio del reglamento GDPR y hasta ahora todo lo que he leído me ha parecido bastante bien (dentro de mi entendimiento, no soy abogado):
– La regulación se aplica a ciudadanos de la UE independientemente de dónde está establecida la compañía que les presta servicios (Artículo 3)
– Consentimiento expreso en términos claros y sencillos, y con igual facilidad para revocar el consentimiento (en cualquier momento) que para concederlo (Artículo 7)
– Información de los datos que se recopilan, el propósito, duración, etc. (Artículo 13)
– Derecho al borrado de los datos (Artículo 17)
– Derecho a la portabilidad de los datos (Artículo 20)
– Obligación de protección de datos por diseño y por defecto (Artículo 25)
– Seguridad del procesamiento de datos (Artículo 32)
– Notificación a la autoridad de fugas de datos antes de 72h desde que se conoce su existencia (Artículo 33)
Etc.
Visto en restrospectiva, estos años pasados han ocurrido una serie de cosas que con el nuevo reglamento son más sancionables:
– APIs de Facebook que permitían por defecto obtener datos de los amigos
– Fugas de datos (Yahoo, etc.) comunicadas muy tardíamente
– Empresas que no instalaban mensualmente los parches de seguridad proporcionados por los fabricantes de sistemas operativos y productos
– Sitios web donde es muy difícil encontrar el botón para darse de baja
– Etc, etc.
Vamos a ver cómo se implementa todo esto.
A principio de este año desarrollé una aplicación web (aprendiendo.top) dirigida sobre todo a niños (también a profesores) y me dí cuenta enseguida de los inumerables problemas legales que podría conllevar una web de este tipo con solo almacenar cualquier dato de un menor.
Al final la programé de tal modo que no utilizase cookies ni almacenase ningún dato personal, salvo en el caso de los profesores los mínimos imprescindibles para que puedan publicar contenidos.
Aun así no tengo la certeza de estar cumpliendo al 100% con todos los requisitos legales (confío en que sí). Y es una pena, porque pequeños proyectos como este corren el riesgo de no salir adelante simplemente por la complejidad normativa.
En lo referente al almacenaje de datos personales , ni un jurídico especializado puede asegurarte al 100% que estés dentro de la norma pues es absolutamente demencial su articulado..
Para que te hagas una idea de su complejidad, sólo el índice de las enmiendas al articulado del Proyecto de Ley Orgánica de Protección de Datos de Carácter personal ocupa la friolesra de 245 páginas.
Como para que un no experto pueda saber si está o no legal en el tema.
http://www.congreso.es/public_oficiales/L12/CONG/BOCG/A/BOCG-12-A-13-2.PDF#page=1
Por cierto Félix, aprovecho para darte públicamente las gracias por hacer de «beta tester» de la aplicación cuando aún estaba en sus primeras fases. Tus comentarios me fueron verdaderamente útiles para detectar fallos que de otro modo me hubiesen pasado desapercibidos.
Un abrazo.
Discrepo, la actual ley orgánica 15/1999 y el reglamento de desarrollo de la misma 720/2007, son muy claros en lo que hay que hacer y cómo hacerlo. Entran en tu cocina y te lo explican al detalle. Además hay muchas guías de aplicación de la AEPD. El problema aquí precisamente no es la ley, son los pilares del negocio.
Saludos.
Pues entonces, esas 245 paginas de títulos de las enmiendas presentadas, lo que deben pretender es aclararlo aun mas.
Hola de nuevo, no es aclarar, es un tema de consenso y política. He estado leyendo por encima las 254 páginas de enmiendas (no son 245) y nada más allá del trámite normal. Aún sin articulado el Reglamento aplica directamente y la normativa comunitaria siempre estará por encima de la normativa nacional, quiero decir, que no es necesario tener una ley de protección de datos renovada. Hay temas tales como las competencias de las autoridades de control locales (agencia de protección en Cataluña), tema político. O elementos muy banales impulsados por Confederal de Unidos Podemos-En Comú Podem-En Marea. Es más, llegamos muy tarde, hemos tenido 2 años para formalizar eta ley y ahora se nos ha atragantado antes de su publicación.
¿Qué es lo que consideras que no está claro en el reglamento?
Saludos.
La parte contratante de la primera parte…