Se lo conoce como GDPR, siglas en inglés de Reglamento General de Protección de Datos. Y no es ni más ni menos que la respuesta de la Unión Europea a lo que sus funcionarios entienden como una debilidad del gobierno estadounidense para regular a las grandes compañías que desde su territorio manejan Internet, especialmente en lo que respecta a la protección de los datos personales. 

En vigencia desde el 25 de mayo pasado, el nuevo reglamento europeo fue en realidad aprobado dos años antes. Y es el resultado de varios años de debates y discusiones entre diferentes organismos, instituciones y empresas. Deroga y sustituye a la Directiva de Protección de Datos, que implementada en 1995, no regulaba tan en detalle la privacidad de los usuarios de internet. Y es lógico: lo que hoy conocemos como era digital, por aquel momento, estaba apenas en ciernes. El reciente mega escándalo de Facebook y la consultora política inglesa Cambridge Analytica, obviamente, no tuvo nada que ver con la nueva normativa, pero su difusión no podía haber sido más oportuna para que millones de usuarios de todo el mundo entendieran cuáles son los riesgos a los que están expuestos al compartir información en las redes sociales o simplemente navegar en la web.

“La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales”, dice en sus considerandos la nueva norma. Y agrega: “La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial”. Es por eso que “estos avances requieren un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior. Las personas físicas deben tener el control de sus propios datos personales. Hay que reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas”. 

Aunque el GDPR es un reglamento sancionado por el Parlamento Europeo y debe ser acatado por todas las compañías con operaciones en la Unión Europea, su aplicación tenderá a ser global. Si bien las empresas podrían discriminar las condiciones del servicio que brindan según la localización geográfica de sus usuarios, es probable que les termine resultando más sencillo universalizarlas, máxime cuando el tema es parte de un debate mundial. Así, por ejemplo, aseguró que lo hará Mark Zuckerber, el fundador de Facebook, hoy en el ojo de la tormenta por el uso de su plataforma que derivó en el caso de Cambridge Analytica. 

Qué cambia con el GDPR

Es probable que, incluso acá en la Argentina, muchos hayan notado que en algunas páginas o servicios web había una leyenda con alguna aclaración respecto del nuevo reglamento. Y esto es porque según el GDPR, quienes hayan obtenido nuestros datos personales antes del 25 de mayo deben ofrecer la renovación del consentimiento a través de la aceptación de nuevos términos y condiciones. La normativa introduce los conceptos de “privacidad por diseño”, que obliga a que cada modificación que hagan las empresas de internet en relación con los datos personales debe hacerse con la intención de proteger la privacidad del usuario, y de “privacidad por defecto”, que significa que en cada producto o servicio lanzado al público se deben aplicar las medidas de privacidad más estrictas por defecto. Otra novedad que supone el nuevo reglamento europeo es el derecho al olvido, por el cual los usuarios pueden solicitar a las empresas que borren los datos personales que ellos les hubieran brindado. 

Por el lado de las compañías, a partir de ahora necesitarán el consentimiento explícito de los usuarios para recabar su información. Y cuando los datos recopilados alcancen cierto umbral, deberán contar con un “oficial de protección de datos”, quien tendrá la obligación de responder a los clientes en menos de 72 horas ante problemas como hackeos o fugas de datos. Y las multas para los incumplimientos o delitos más graves serán bastante altas: podrán alcanzar el 4% de la facturación global de la organización o los 20 millones de euros si ese monto fuera más bajo. 

Naturalmente, detrás del GDPR también se puede ver un capítulo más de la larga puja entre Estados Unidos y Europa. Para el Viejo Continente, aunque igualmente inmerso dentro del capitalismo y el libre mercado, los gobiernos norteamericanos son menos afectos a poner controles a las empresas. En el seno de la Unión se conoce a los cuatro gigantes de internet Google, Apple, Facebook y Amazon con las siglas GAFA, lo que demuestra la gran preocupación que existe por identificar a quienes tienen prácticamente el control global de la red. En 2017, por ejemplo, la Unión Europea le impuso a Google una multa antimonopolio de 2,4 mil millones de euros por manipular los resultados de su motor de búsqueda en favor de sus servicios comerciales. Con el GDPR pero también con otros debates que van ganando lugar en la sociedad, los ciudadanos van tomando cada vez más conciencia del intercambio implícito con las grandes empresas de tecnología. Hasta no hace tanto tiempo pocos advertían que la “gratuidad” tenía un apetitoso retorno en forma de datos que abría la puerta a la manipulación. Ya no. 

Fotos: istock