Pocas semanas después de de entrar en vigor el Reglamento General de Protección de Datos (RGPD), ya se han producido las primeras demandas contra grandes empresas, como Facebook, WhatsApp, Instagram y Google. Veamos las razones y qué podemos aprender de todo ello.
¿Cómo han sido las primeras denuncias por incumplimiento del RGPD?
Con sorprendente celeridad, el mismo día de entrar en vigor, un austríaco llamado Max Schrems ya presentó una demanda contra Google y otra contra Facebook por una mala aplicación del Reglamento General de Protección de Datos (RGPD).
No es la primera vez que este joven abogado actúa contra los gigantes estadounidenses de Internet. Fundador de la organización sin ánimo de lucro Europa versus Facebook, ya en 2015 ganó una batalla judicial contra la compañía líder de las redes sociales, Mark Zuckerberg. Entonces, el Tribunal de Justicia de la Unión Europea anuló el llamado Safe Harbour, un acuerdo firmado entre la UE y Estados Unidos sobre transferencia de datos personales.
Ahora, las primeras denuncias por incumplimiento del RGPD se han producido a través de la ONG fundada y liderada también por Max Schrems, None of Your Business (NOYB). Sus objetivos han sido Google (Android), Instagram, WhatsApp y Facebook. Pide una penalización de la máxima sanción prevista, esto es, del 4 % de sus ingresos, que se elevarían a varios millones de euros.
Los usuarios de las redes sociales y de los servicios de mensajería
El argumento en el que se basan es que obligan a los usuarios de estas redes sociales y mensajería a aceptar sus condiciones para seguir gozando de sus servicios. Mientras que lo adecuado, según la normativa, sería dejar que puedas escoger entre permitir que se exploten tus datos personales o no, ya que el consentimiento con el nuevo RGPD no puede estar condicionado.
A eso, los demandados han respondido que se han estado preparando para cumplir la ley desde que se aprobó. De hecho, desde la aparición del RGPD, se ha creado un nuevo perfil profesional, el Delegado de Protección de Datos (DPO, del inglés Data Protection Officer). Es quien debe velar por la adecuada aplicación de la normativa sobre la protección de datos de los clientes, así como su adecuada seguridad.
Según el nuevo reglamento, como advierte la Agencia Española de Protección de Datos, tu consentimiento debe darse mediante un acto que sea claro, es decir, se prohíbe la prestación del consentimiento de modo no tácito. Con él se manifestará la voluntad libre del interesado, «informada e inequívoca», de aceptación del tratamiento de sus datos personales. Ese consentimiento debe ser fehaciente, hasta el punto de que «el silencio, las casillas ya marcadas o la inacción no consituyen consentimiento».
De esta manera, se pretende que como usuario, proporciones el consentimiento inequívoco sobre los datos que se almacenan. Por otro lado, se busca la proactividad de las empresas. Que deben tener una actitud diligente y, analizar los riesgos y aplicar las medidas que consideren pertinentes para un tratamiento de datos suficientemente seguro.
Grandes recelos entre los usuarios europeos
Muchas se han apresurado a actualizar sus políticas de privacidad y condiciones de servicio antes de la entrada en vigor del nuevo reglamento. Una de ellas ha sido la aplicación de mensajería WhatsApp, que ha optado por limitarse a explicar el uso de la información que tiene sobre sus clientes, que aduce limitada. Dice que esos datos están cifrados para una máxima protección. Aun así, las grandes compañías, sobre todo las estadounidenses, levantan grandes recelos entre los usuarios europeos.
Hacer compatibles la protección con la libertad individual: ¿a qué precio?
Con esta ley, Europa quiere garantizar al máximo los derechos y las libertades de sus ciudadanos. Estableciendo limitaciones en un sector de actividad económica, que hasta el momento, estaba teñido por la desregulación y la libertad sin medida.
A nadie parece extrañar que si un producto es gratuito es que, en realidad, el producto es el usuario. Sobre todo, a través de las empresas de Big Data, que compran y venden ese tipo de información para estudiar y predecir el comportamiento de los mercados. Aunque, también, cada vez más, en los productos gratuitos surgen oportunidades para el negocio, como, por ejemplo, Facebook Ads, en auge. Nuestros datos personales son el activo más valioso con el que contamos en la era digital, ya que son el ADN de las personas que se relacionan en un entorno tecnológico.
Está claro que las empresas más poderosas, como las ya mencionadas Google, Facebook u otras como Amazon, tienen los recursos necesarios para hacer frente a las exigencias de aplicación del Reglamento. Pueden contratar a técnicos especializados para ello, disponen de buenos asesores legales y tienen un colchón financiero para posibles sanciones. No hay excusas a la hora de cumplir con las exigencias de un Reglamento que pretende proteger íntegramente un derecho fundamental, que ha sido vulnerado conscientemente durante décadas.
Las pymes
Has de saber que el principal problema lo tienen las pequeñas y medianas empresas, mucho más sensibles en el caso de recibir una multa. Esta sería una pérdida importante para ellas, pero también se trataría de un golpe para su reputación por la pérdida de confianza que acarrearía. Además de las pymes, también los autónomos que manejen datos personales tienen la obligación de ponerse al día y adaptarse a la nueva normativa.
Hay que ponerse las pilas y seguir el Reglamento General de Protección de Datos (RGPD) para no recibir sanciones indeseadas, pero también, para secundar la aspiración de garantizar al máximo la seguridad de la información sobre los ciudadanos.