Las nuevas normas de privacidad

Nos llega como agua de mayo, pero me pregunto si realmente van a cambiar tanto las cosas como se espera. De entrada, la regulación es ambiciosa e invita a tomársela más en serio. Ha habido mucho revuelo sobre las cifras, porque las sanciones y multas toman mucha fuerza a diferencia de los casos anteriores. A partir del 25 de mayo pueden alcanzar hasta el 4% del volumen de ingresos de la empresa o 20 millones de euros (lo que resulte mayor).

Como usuarios, no sé si hemos aprendido demasiado aparte de inmunizarnos y aceptarlo todo sin leer. Las políticas de privacidad siguen siendo demasiado complejas. Y ahora además son modulares. Como la RGPD exige un «consentimiento libre, informado, inequívoco y específico», ya no sirve ese tic genérico, sino que para cada cosa que quieran hacer con nuestros datos debemos dar nuestra aprobación. O sea, más preguntas y más casillas. Aunque hagamos el «sí a todo», por el camino veremos la cantidad de cosas que aceptamos.

Las leyes se pueden interpretar de dos maneras. Una es viendo qué dice la letra de la ley y otra es lo que encapsula el espíritu. Es decir, lo primero es la parte textual y concreta, lo segundo viene a ser el conjunto de valores que ensalza y anhela proteger. En la parte intencional esta regulación es la primera que reconoce que los datos ni son de la empresa que los recoge, ni de quien los analiza: son de la persona. El punto de partida cambia y nos devuelven la capacidad de decidir a quién cedemos nuestra información personal, en quién confiamos y para qué.

Los «sujetos de datos», tal como nos denominan todas las legislaciones en la materia, hasta ahora éramos sujetos pasivos. Con los modelos de negocio digitales basados en datos nos hemos convertido nosotros en productos. En cambio, la promesa de la RGPD es que podamos tener una rol mucho más activo y empoderado. De hecho, durante este tiempo es como si nos hubieran dicho que nuestra sombra es de quien puso el asfalto sobre el que se proyecta o de quien hace la fotografía. Ahora admiten que sin la persona no hay sombra, no hay rastro, no hay datos.

Desde 1999 hasta hoy nos ha acompañado a ámbito estatal la LOPD, donde se establecen los derechos ARCO (Acceso a la información que tienen sobre nosotros, Rectificación de los datos, Cancelación de los datos que sean inadecuados y Oposición al tratamiento de determinada información). Puedo afirmar por experiencia propia que intentar ejercer el simple derecho de acceso era una odisea. La UE financió un proyecto que trataba de acceder a la información almacenada por servicios habituales (banco, redes sociales, proveedores de servicios como el agua, la luz, o la Administración). Descubrimos que en la mayoría de casos ejercer estos derechos era una carrera de obstáculos.

A los ARCO se añaden novedades como el derecho al olvido o la transparencia, pero la innovación está en el derecho a la portabilidad de los datos en la UE. Así como al cambiar de compañía de teléfono nos mantienen el número y entre ellas se entienden para darnos el nuevo servicio, toma esta misma idea, pero aplicada a los datos personales, sean de consumo, trayectos favoritos, registro de llamadas o historial médico. Que esto se haya convertido en un derecho, es toda una declaración de intenciones. Promete, pero no es fácil.

Primero porque eso exige que las empresas responsables de los ficheros tengan estructuras «interoperables», es decir, que se entiendan entre ellas a nivel de estructura y lenguaje. Está por ver cómo afectará eso a la competitividad. Además, la ley se activa por el temor a la multa, con lo que las beneficiarias inmediatas son las consultoras que acompañan el proceso de adaptación a la nueva ley.

Pero para la ciudadanía no hay nadie que haga este tránsito y estar blindados por sanciones no nos empodera de un día para el otro. Si solo puede ejercer sus derechos la ciudadanía consciente, habrá una parte enorme que seguirá siendo vulnerable. Lástima que las desigualdades no se multen.

* Doctora en Sociología, experta en transformación digital e innovación social. Esade.