¿Bienvenida sea la RGPD?

Ya se empiezan a notar los primeros efectos de la entrada en vigor de la nueva Regulación General de Protección de Datos de ámbito europeo. Todos los usuarios se habrán dado cuenta de que cada vez que abren el correo o una 'app' en el móvil aparecen mensajes pidiendo que se revisen las nuevas políticas de privacidad. Poco tiene que ver con los escándalos de Facebook y Cambridge Analytica, aunque coincida en el tiempo: el motivo es que ya entra en vigor la RGPD.

Nos llega como agua de mayo, pero mi pregunta es si realmente van a cambiar tanto las cosas como se espera. De entrada, la regulación es ambiciosa e invita a tomársela más en serio. Ha habido mucho revuelo sobre las cifras, porque las sanciones y multas claramente toman mucha fuerza a diferencia de los casos anteriores. A partir de este 25 de mayo pueden alcanzar hasta el 4% del volumen de ingresos de la empresa o 20 millones de euros (lo que resulte mayor).

Como usuarios, no sé si hemos aprendido demasiado a parte de inmunizarnos y aceptarlo todo sin leer. Las políticas de privacidad siguen siendo demasiado complejas. Y ahora además son modulares. Como la RGPD exige un "consentimiento libre, informado, inequívoco y específico", ya no sirve ese tic genérico, sino que para cada cosa que quieran hacer con nuestros datos debemos dar nuestra aprobación. O sea, más preguntas y más casillas. Aunque hagamos el "sí a todo", por el camino veremos la cantidad de cosas que aceptamos.

La letra y el espíritu de la ley

Las leyes se pueden interpretar de dos maneras. Una es viendo qué dice la 'letra' de la ley y otra es lo que encapsula el 'espíritu' de esta. Es decir, lo primero es la parte textual y concreta, lo segundo viene a ser el conjunto de valores que ensalza y anhela proteger. En la parte intencional es cierto que esta regulación es la primera que reconoce que los datos ni son de la empresa que los recoge, ni de quien los analiza: son de la persona. El punto de partida cambia y nos devuelven la capacidad de decidir a quién cedemos nuestra información personal, en quién confiamos y para qué.

Los "sujetos de datos", tal como nos denominan todas las legislaciones en la materia, hasta ahora éramos sujetos pasivos. Con los modelos de negocio digitales basados en datos nos hemos convertido nosotros en productos. En cambio, la promesa de la RGPD es que podamos tener una rol mucho más activo y empoderado. De hecho, durante este tiempo es como si nos hubieran dicho que nuestra sombra es de quien puso el asfalto sobre el que se proyecta o de quien hace la fotografía. Ahora admiten que sin la persona no hay sombra, no hay rastro, no hay datos. 

Desde 1999 hasta hoy nos ha acompañado a ámbito estatal la LOPD, donde se establecen los derechos 'ARCO' (Acceso a la información que tienen sobre nosotros, Rectificación de los datos, Cancelación de los datos que sean inadecuados y Oposición al tratamiento de determinada información). Puedo afirmar por experiencia propia que intentar ejercer el simple derecho de acceso era una odisea. La UE financió un proyecto que trataba de acceder a la información almacenada por servicios habituales (banco, redes sociales, proveedores de servicios como el agua, la luz, o la Administración). Descubrimos que en la mayoría de casos ejercer estos derechos era una carrera de obstáculos.

A los 'ARCO' se añaden novedades como el derecho al olvido o la transparencia, pero la innovación está en el derecho a la portabilidad de los datos en la UE. Así como cambiamos de compañía de teléfono, nos mantienen el número y entre ellas se entienden para darnos el nuevo servicio y cancelar el anterior, toma esta misma idea pero aplicada a los datos personales, sean de consumo, trayectos favoritos, registro de llamadas o historial médico. Que esto se haya convertido en un derecho, es toda una declaración de intenciones. Promete pero no es fácil.

Primero porque eso exige que las empresas responsables de los ficheros tengan estructuras "interoperables", es decir, que se entiendan entre ellas a nivel de estructura y lenguaje. Está por ver cómo afectará eso a la competitividad. Además, la ley se activa por el temor a la multa, con lo que las beneficiarias inmediatas están siendo las consultoras que acompañan el proceso de adaptación a la nueva ley. Pero para la ciudadanía no hay nadie que haga este tránsito y estar blindados por sanciones no nos empodera de un día para el otro. Si solo puede ejercer sus derechos la ciudadanía consciente, habrá una parte enorme que seguirá siendo vulnerable. Lástima que las desigualdades no se multen.