Qué es GDPR, la regulación europea de protección de datos que implementará Facebook
Europa está a punto de iniciar un proceso de protección de la privacidad de datos personales en Internet que supera la norma en Estados Unidos. Y aun más, en un contexto de reciente alboroto sobre el uso indebido de datos por parte de Facebook , establece el escenario para una confrontación con Washington y los gigantes estadounidenses que dominan Internet.
Y fue uno de los temas debatidos durante la presentación de Mark Zuckerberg frente a los miembros del Congreso estadounidense, donde afirmó que llevará todo o parte del nuevo reglamento europeo a los usuarios de la red social en todo el mundo, tal como rescató The Verge.
De qué se trata
El Reglamento General de Protección de Datos (RGPD, aunque es más conocido como GDPR, por sus siglas en inglés) –que entrará en vigencia el próximo 25 de mayo– es un amplio conjunto de reglas centradas en la protección de la privacidad personal y el intercambio de datos entre fronteras. Todas las compañías con operaciones en la Unión Europea y quienes hacen negocios con sus 500 millones de habitantes deberán acatar este reglamento.
El escándalo que involucra a la empresa londinense de datos políticos Cambridge Analytica en el supuesto uso indebido de datos de 87 millones de usuarios de Facebook llega justo antes de la introducción del GDPR y se espera que proporcione munición a los funcionarios de la Unión Europea que sostienen que no se puede confiar en que la grandes empresas de Internet de Estados Unidos se autorregulen.
Si bien existe activismo en Estados Unidos en relación al intercambio de datos y el nivel de consentimiento personal, la preocupación oficial por la privacidad de los datos es mucho más débil que en Europa. El programa Privacy Shield ("Escudo de privacidad", en idioma español), administrado por el Departamento de Comercio de Estados Unidos, el cual se aplica a los datos comerciales intercambiados entre la UE y Estados Unidos, no es una solución integral.
Algunos ven tendencias proteccionistas en Europa contra la predominancia de las empresas de tecnología estadounidenses; pero las raíces de las preocupaciones europeas sobre la privacidad personal son mucho más profundas e incluyen la experiencia de primera mano con gobiernos totalitarios.
Mientras que las grandes empresas de Internet de Estados Unidos, conocidas en la Comisión Europea como GAFA (Google, Apple, Facebook, Amazon), se mueven con rapidez y con un alto grado de libertad, la regulación está a punto de alcanzarlas.
Proteger a las personas y a su intimidad
El GDPR es la reacción de Europa ante el crecimiento exponencial de los datos y tiene como objetivo proteger a las personas, y su intimidad, como prioridad.
"La protección de datos debe estar incorporada a la vida cotidiana. La protección de datos es algo serio y no debería estar delegada al departamento de IT (Tecnología de la Información, en idioma español) o a abogados, o solo por las dudas", dijo Giovanni Buttarelli, el supervisor europeo de protección de datos.
Algunos de los elementos clave en la nueva legislación son:
- La supuesta "aplicabilidad extraterritorial" del GDPR significa que los datos deberán ser almacenados o accesibles desde la Unión Europea.
- El concepto de "privacidad por diseño" deberá ser incluido dentro de los servicios desde el principio, con un consentimiento explícito y una mayor claridad acerca del uso de los datos.
- Multas más altas por incumplimiento: quienes estén en violación del GDPR podrán recibir multas de hasta el 4 por ciento de la facturación global anual o 20 millones de euros (lo que sea mayor).
Un cambio de actitudes del otro lado del Atlántico
Estados Unidos siempre se diferenció de la UE en materia de privacidad, según lo visto en los marcos legales de ambos lados. Aunque el "derecho a la privacidad" se ratifica en la Declaración Universal de los Derechos Humanos y la Convención Europea de Derechos Humanos (Artículo 8), no se lo menciona explícitamente en la Constitución de Estados Unidos.
Sin embargo, según Albert Gidari, director consultor de privacidad en el Stanford Institute of Internet and Society, cada vez más estadounidenses se están preocupando por su privacidad.
"A raíz de miles de fugas y errores de seguridad y algunas instancias bastante atroces de mal uso de datos, el consenso, en gran parte, es que los consumidores necesitan más protección en relación a sus datos. Y el GDPR la va a efectuar, para sorpresa de muchos en Estados Unidos", dijo.
Tan solo en el año 2017, grandes empresas como Yahoo, Deloitte, Equifax y Verizon sufrieron masivas fugas de datos.
Mediante un estudio reciente realizado por el Pew Research Center, se descubrió que casi dos tercios de los encuestados, el 64 por ciento, reportó el robo de datos. El estudio también dijo que la mitad de todos los estadounidenses cree que su información es menos segura ahora que hace cinco años. Muchos no confían en las instituciones para proteger sus datos, ya sea el gobierno o sector privado.
"El GDPR cambiará las reglas del juego en Estados Unidos para muchas empresas", dijo Gidari. "Las grandes empresas, por lo menos, han avanzado mucho en el cumplimiento de los requisitos, contrariamente a cierta percepción de que existe mucha resistencia al mismo".
"Las empresas realmente lo han aceptado y, como resultado, irónicamente, no son solo la comunidad europea y sus residentes los que obtendrán el gran beneficio de esto, sino de hecho los consumidores de Estados Unidos".
Un enfoque del siglo XXI
El GDPR representa una evolución en la historia europea de protección de datos. Sustituye a la Directiva de Protección de Datos (DPD) implementada en 1995 cuando Internet todavía estaba en su infancia. Otros países, como Suecia y el Reino Unido, más tarde siguieron su ejemplo con sus propios sistemas completos de reglas sobre datos. Uno de los objetivos del nuevo reglamento es armonizar los distintos enfoques.
El cambio de la DPD al GDPR es un reconocimiento de lo mucho que ha cambiado Internet, de "abierta" a un supuesto estado de "capitalismo de vigilancia", y que el viejo sistema de regulación no es apropiado para la era digital. Alrededor del 40 por ciento del mundo (3,9 mil millones de personas) ahora tiene acceso a Internet, abriendo así un mercado en crecimiento y creando un enorme tesoro de información.
El cambio también refleja la creciente preocupación sobre la vigilancia o uso de datos no autorizado, algo que pasó a primer plano cuando el informante Edward Snowden denunció el nivel de espionaje de la Agencia de Seguridad Nacional de Estados Unidos en 2013.
En una entrevista con el sitio web de tecnología Recode, la Comisaria Europea de Competencia, Margrethe Vestager, explicó por qué la minería de datos por parte de intereses comerciales es inevitable, por lo que es necesario implementar algún tipo de protección.
"Soy economista, así que sé que no existe tal cosa como un almuerzo gratis", dijo. "Usted paga con una moneda u otra; puede pagar con centavos o puede pagar con sus datos, o paga con los anuncios que acepta. Y creo que las personas se están volviendo cada vez más conscientes del hecho de que sus datos personales tienen un valor".
"Lo que vemos en Europa es que una gran proporción de los ciudadanos siente que no está en control".
El GDPR fortalece los derechos de las personas, dándoles más control sobre cómo las empresas utilizan sus datos personales. Estos incluyen el derecho a ser informado, a acceder y a rectificar los registros de datos personales cuando son inexactos o incompletos. El derecho a la eliminación, también conocido como el "derecho al olvido" , significa que los consumidores pueden solicitar que las empresas borren sus datos; esto se puede hacer simplemente porque alguien ya no es un cliente de una empresa.
Google reveló en su último informe de transparencia que más de 2,4 millones de personas han presentado solicitudes de "derecho a ser olvidado" desde que la UE aprobó la ley en 2014. La gran mayoría de las solicitudes (89%) vinieron de individuos y los políticos y celebridades fueron representados de forma desproporcionada.
Nueva era, nuevas reglas
Desde que el uso de Internet se hizo más común, hace aproximadamente 25 años, la cantidad de datos intercambiados ha aumentado exponencialmente.
Según un informe de 2017 realizado por IBM, el 90 por ciento de los datos del mundo fueron generados solamente en los dos años anteriores. Todos los días, los usuarios crean 2,5 EB (exabytes) de datos, y sin quererlo permiten que las partes interesadas recojan información sobre puntos de vista políticos o religiosos, o sus ubicaciones y movimientos. Gran parte de estos datos impulsan industrias innovadoras, como la inteligencia artificial y el creciente sector de dispositivos controlados en forma digital, la Internet de las cosas (IoT, por sus siglas en idioma inglés).
Peter Trainor, cofundador de la empresa de inteligencia artificial UsAi, dijo que, aunque cree que el GDPR es algo bueno, representa una "pesadilla" para su industria.
"La inteligencia artificial necesita una enorme cantidad de datos... pero ahora se le deberá brindar a la gente una explicación sobre una decisión tomada acerca de ellos; ese es un golpe mortal para la inteligencia artificial y el aprendizaje de máquinas", dijo. "Las máquinas a menudo toman decisiones fuera de nuestro control directo... y deducen una decisión que esperaríamos que tome una persona".
Aun así, Trainor añade que, en general, el GDPR es positivo porque informa a las personas sobre la importancia de sus datos.
"Al menos le da al público un resumen del hecho de que tienen datos y que son valiosos, y que las compañías se apropian de ellos y los utilizan", dijo. "La mayoría de las personas no entienden los datos. El GDPR destapa la olla y asegura que todas las compañías y proveedores de inteligencia artificial sean transparentes".
‘GAFA’ da el ejemplo
Los cuatro gigantes más poderosos de la tecnología norteamericana (Google, Apple, Facebook, Amazon, o GAFA, por su acrónimo en idioma inglés, tal como se los conoce en el lenguaje de la Comisión Europea) dependen de grandes cantidades de datos para llevar a cabo sus negocios. Google y Facebook juntos representarían el 84 por ciento de los ingresos de la publicidad mundial, excluyendo a China, según un pronóstico realizado en 2017 por parte de GroupM, una agencia de medios que pertenece al grupo de publicidad y comunicación WPP.
Pero la relación entre las empresas que conforman GAFA y la Unión Europea siempre ha sido tensa. Por ejemplo, en 2017, la UE castigó a Google con una multa antimonopolio de 2,4 mil millones de euros por manipular los resultados de su motor de búsqueda en favor de sus servicios comerciales. Google aún está apelando la multa.
Sin embargo, las empresas GAFA parecen estar listas para cumplir con el GDPR y emplean a cientos de agentes de protección de datos (OPD, por sus siglas en idioma inglés) para prepararse para la fecha límite en mayo.
Facebook anunció en enero que implementará un centro global de configuración de privacidad que "hará que sea mucho más fácil que las personas manejen sus datos", dijo su COO Sheryl Sandberg. The New York Times informó que Facebook también decidió no poner en marcha algunos de sus nuevos productos, ya que violarían las leyes de privacidad. Mientras tanto, las recientes revelaciones acerca de la presunta complicidad de Facebook en el uso de datos personales por parte de Cambridge Analytica para influir en las elecciones demuestran que una revisión de las políticas de privacidad es muy necesaria.
The New York Times también informó que Google ha comenzado a dejar que personas de todo el mundo elijan qué datos desean compartir a través de sus diversos productos, como Gmail y Google Docs. Amazon también ha estado mejorando la encriptación de datos en su almacenamiento en la nube.
Se están tomando estas medidas adicionales porque las multan son mucho más altas bajo el GDPR. La multa máxima para los delitos más graves es el 4% de la facturación global de la organización, o 20 millones de euros (24,6 millones de dólares), el que sea mayor.
Tener datos es tener el poder
Es posible que los datos sean el nuevo petróleo, ¿pero a quién pertenecen? Este informe de The Economist sostiene que pertenecen a los gigantes de Internet como Google o Facebook. Pero según el GDPR, en el caso de datos de carácter personal, les pertenecen a los ciudadanos, efectivamente cambiando así la relación de poder del público con las empresas.
Las recientes revelaciones de fugas de datos significan que personas en todo el mundo se están dando cuenta de cómo su información personal podría ser puesta en peligro y explotada. Uber es un ejemplo notorio de una empresa acusada de mal manejo de los datos de sus clientes y ahora tiene que pasar por 20 años de auditoría. Una encuesta llevada a cabo por la Oficina del Comisionado de Información (ICO, por sus siglas en idioma inglés), en el año 2017, reveló que la mayoría de los adultos del Reino Unido no confían en las empresas en relación con sus datos.
"Si el GDPR representa algo, es que tienes que acceder, planear y prever las consecuencias negativas de tu producto o servicio, no solo los beneficios", dijo Gidari de Stanford. "Durante 20 años hemos vivido en un mundo en el que nos hemos centrado solo en las cosas buenas e ignoramos las cosas malas que pasaban o podían pasar", dijo.
"Creo que el corazón del GDPR al fin y al cabo es que es mejor que las empresas piensen en los aspectos positivos y los negativos juntos y mitiguen lo negativo en la medida de lo posible o al menos ofrezcan a los usuarios alguna opción en el asunto".
La web del futuro
En su libro, The Attention Merchants ("Los comerciantes de la atención", en idioma español), el experto en leyes Tim Wu, quien acuñó la frase "neutralidad de la red", explora cómo las empresas convirtieron la web en una máquina de atención para rentabilizar los datos de la población, ofreciendo "servicios gratuitos" mientras ganan miles de millones en el camino.
La visión que tiene Wu sobre Internet es una que es poco probable que rompa con el ciclo histórico de las tecnologías de la comunicación, el cual comenzó como caótico y abierto, para finalmente ser controlado por las industrias.
¿Pero cambiará el GDPR quién controla Internet ?
Los expertos coinciden que el GDPR cambiará el equilibrio de poder entre los ciudadanos y las empresas, sin duda en la Unión Europea. Al menos, reducirá el control corporativo sobre la web creando así fricción sobre cómo se recolectan los datos.
"Si eliminas la posibilidad de obtener un beneficio de la publicidad, luego eliminas la posibilidad de que servicios ‘gratuitos’ (como Google) sobrevivan y realmente se verá un Internet totalmente diferente", dijo Gidari.
Tal vez lo más importante, el GDPR trata de cambiar "cómo pensamos acerca de la protección de datos", dijo Elizabeth Denham, Comisaria de información del ICO, en un discurso en 2017.
"El GDPR aporta un enfoque más del siglo XXI para el tratamiento de datos personales. Y pone la responsabilidad sobre las empresas, para que cambien su filosofía por completo hacia la protección de datos", dijo. "No nos engañemos. Esto cambiará las reglas del juego para todos".
TRADUCCIÓN DE ÁNGELA ATADÍA DE BORGHETTI
Contenido provisto por WikiTribune
Linh Nguyen