AD 21/2019
Abstract:
Desde el pasado 25 de mayo de 2018, el Reglamento General de Protección de Datos es de aplicación en todo el espacio comunitario, aunque su promulgación se produjo dos años antes. A partir de entonces, las empresas que operan en el ámbito de lo virtual y, principalmente, las que prestan servicios de interactuación social, es decir, las redes sociales, han tenido que adaptarse a los cambios que el RGPD introduce en su articulado.
Desde las políticas de privacidad de datos hasta el modelo de negocio basado en la comercialización de los perfiles de los usuarios, la irrupción de esta norma ha supuesto una modificación de las reglas del juego considerable que marcará, sin duda, los próximos años en el sector.
Palabras clave:
- Protección de datos
- Políticas de privacidad
- Redes Sociales
- RGPD
- Internet
Probablemente el lector habrá comprobado que, en los últimos meses, cada vez que accede a una página en Internet perteneciente a una empresa o corporación le aparece un menú en el que no solamente le indica la existencia de cookies (básicamente, software encargado de recopilar datos sobre el usuario), sino que le permite escoger cuáles puede instalar y cuáles no.
El motivo del cambio operado se debe a que el Reglamento General de Protección de Datos, que fue aprobado el pasado 26 de abril de 2018, es de aplicación directa en todos los Estados miembros y para todas las entidades que trabajan en la UE desde el día 25 de mayo de 2018.
¿Pero cuáles son esas modificaciones que esta norma ha introducido y qué consecuencias tendrán estas en el modelo de negocio de las empresas que trabajan en el sector de las redes sociales?
En primer lugar, el RGPD redefine el concepto de “datos personales” para hacerlo más acorde con lo que la experiencia y jurisprudencia nos ha ido pergeñando a lo largo de estos años. Una actualización imprescindible que figura reflejada en el artículo 4.1 del Reglamento (y en los Considerandos 26, 28, 29, 30, 34 y 35) que dispone:
“1) «Datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;”.
Es decir, que a partir de este momento un dato personal puede ser un dato de localización o un nombre, siempre y cuando a través de estos sea factible identificar a la persona que se encuentra detrás de ellos.
Esto supone un cambio enormemente significativo, puesto que se amplía y actualiza el concepto de “dato personal” adecuándolo a la realidad de la sociedad de servicios de la información. Así pues, ya no solo los nombres, apellidos, dirección postal o teléfono son elementos de identificación, sino que un pseudónimo, si constituye un elemento suficiente de individualización, puede ser aceptado como objeto susceptible de protección.
Esta identificación puede ser de carácter directo, como elementos propios de la identidad física, fisiológica, psíquica económica, social o cultural, además de los elementos genéticos o indirecta, a través de un número de identificación (DNI, pasaporte), datos de localización, datos en línea o un nombre.
En segundo lugar, se introduce el concepto de “seudonimización”, en el apartado .5) del artículo 4. Esto no comporta una completa anonimización de los datos de un particular, ya que podrá seguir siendo identificado a través de otras informaciones adicionales, pero lo que supone es separar unos datos de otros, para de esta manera garantizar un tratamiento más seguro por parte del responsable, que solo permitirá el acceso a esos datos adicionales cuando sea necesario por razones regladas y, al mismo tiempo, dotar de mayor privacidad a la persona cuyos datos se custodian.
En tercer lugar, y es en este punto donde se realiza una de las principales modificaciones que tiene repercusiones directas en el modelo de negocio de las redes sociales, se incluyen los derechos de acceso, el derecho al olvido y la portabilidad de datos y, finalmente, la obligación de los procesadores de datos de comunicar de manera clara los citados derechos a los usuarios de quienes los obtienen.
Entre la información que debe ser facilitada a los usuarios de manera obligatoria, se encuentra la siguiente:
1.- Cuánto tiempo va a guardarse la información;
2.- Si la información va a ser transferida a otros países;
3.- Información sobre el derecho a acceder a los datos personales;
4.- Información sobre el derecho a que la información sea borrada o rectificada en determinadas circunstancias.
5.- Condiciones de control reforzadas. Las empresas ya no podrán utilizar Términos y Condiciones confusos para los usuarios, con abundante terminología jurídica y demasiados enlaces, ya que el consentimiento ha ser concedido con un formulario comprensible, accesible y en el que se indica de manera clara la finalidad de los datos. El consentimiento debe ser inequívoco, fácil de distinguir entre las dos respuestas posibles y debe ser proporcionado usando también un lenguaje claro y llano. Por último, debe ser tan fácil de revocar como de dar.
Este último aspecto, sin desmerecer la importancia de los otros, es especialmente significativo ya que determinadas empresas ante el deber legal de cumplir con la obligación de que se prestara el consentimiento por parte del usuario acudían a todo tipo de argucias para que este o bien no entendiera las consecuencias de su prestación, o bien ante la densidad de la información facilitada, optara por otorgarlo sin haber prestado la atención necesaria.
Resulta evidente, pues, que entre los derechos de acceso queda perfectamente delimitado todo lo concerniente a la prestación del consentimiento el cual, también desde la aplicación del RGPD, debe de ser expreso, informado y revocable, es decir, el consentimiento tácito ya no es válido como sí lo había venido siendo hasta el momento.
En cuarto lugar el Reglamento responsabiliza a las empresas que controlan los datos de carácter personal y, principalmente, a terceras entidades que son los proveedores de servicios que son quienes los procesan. Se establece un mecanismo de control de los primeros sobre los segundos, de manera que las empresas que controlan los datos pueden auditar a las que los procesan.
Por otra parte, también se modifica en su artículo 83 el régimen sancionador incrementándose las multas por incumplimientos, pudiendo llegar a imponerse sanciones por valor de 20.000.000 millones de € o el 4% de los beneficios globales, dependiendo de cuál de las dos sea el importe más alto.
Consecuencias de los cambios operados
Junto con otras modificaciones también importantes pero menos trascendentes para la materia que nos ocupa se trata, en definitiva, de cambios que constituyen una gran remodelación del paradigma a través del cual se habían desarrollado hasta el momento las cosas en cuanto a las políticas de protección de datos de las empresas y sus consecuencias para los usuarios de los servicios.
Resulta evidente que no es lo mismo prestar el consentimiento para la cesión de tus datos cuando desconoces la finalidad, quiénes los van a tratar o comerciar con ellos y, además, no tienes la posibilidad de revocar ese consentimiento, que hacerlo con todos esos derechos garantizados.
El hecho de que seamos capaces de percibir los efectos de aceptar la prestación del consentimiento o no, podría comportar que muchas personas no decidan usar un servicio que no les compensa por lo que el modelo de negocio de muchas empresas y, entre ellas, particularmente, las redes sociales, puede verse comprometido ante la revocación futura del consentimiento de muchos de sus usuarios o, directamente, la negativa a usar los servicios de clientes potenciales.
Debe traerse a colación el ejemplo de Cambridge Analytica para recordar las consecuencias que ha acarreado a Facebook su política comercial en la gestión de datos de carácter personal: 87 millones de usuarios afectados¹, demandas contra la compañía², pérdidas por valor de 70.000 millones de €³, etc.
En conclusión, las grandes corporaciones que operan con redes sociales y los miles de millones de datos de sus usuarios han visto como el RGPD ha establecido cambios que comportan una modificación sustancial del modo en que habían venido operando hasta el momento.
El incumplimiento de los preceptos del Reglamento puede acarrear, como ya he dicho, sanciones de hasta el 4% de los ingresos de la empresa en cuestión y, por otra parte, serán muchos los usuarios que no estén dispuestos a ceder sus datos tan alegremente si pueden evitar que se comercie con estos.
A medida que el Tribunal de Justicia de la Unión Europea vaya asentando la jurisprudencia sobre el RGPD y que los diferentes Estados miembros vayan desarrollando su legislación particular en la materia (en España se aprobó el pasado 5 de diciembre de 2018 la nueva Ley 3/2018 Orgánica de Protección de Datos Personales y garantía de los derechos digitales), comprobaremos el verdadero alcance en las redes sociales de este nuevo rumbo legal.
Pablo Martin Pere
Palma, 12 de marzo de 2019
__________________________________
Bibliografía
¹ http://www.europapress.es/internacional/noticia-facebook-eleva-87-millones-usuarios-afectados-escandalo-cambridge-analytica-20180404212958.html
² https://www.infobae.com/america/tecno/2018/04/10/demandan-a-facebook-y-cambridge-analytica-en-estados-unidos-y-gran-bretana/
³ http://www.elmundo.es/economia/empresas/2018/03/26/5ab93e9eca47412f058b461d.html
Pablo Martín Peré, (Palma, 1976) es licenciado en Derecho por la Universidad de Granada, Máster en Propiedad Intelectual y Nuevas Tecnologías por la Universidad Internacional de la Rioja y Máster en Dirección Administrativa y Contable por la URJC.
Fue diputado de la XIª y Xª legislaturas, habiendo sido ponente de la Ley de Reforma de la Ley de Propiedad Intelectual y de la Ley Reguladora del uso de las Tecnologías de la Información y Comunicación en la Administración de Justicia entre otras.
