Facebook apela ahora al reglamento europeo

Mark Zuckerberg apeló el pasado martes ante la comisión del Congreso de los Estados Unidos que investiga el caso de Cambridge Analytica por imponer en la red social el modelo que el Reglamento Europeo de Protección de Datos (GDPR, en sus siglas inglesas) va a imponer en toda Europa para proteger la privacidad de los usuarios europeos. Un consejo que no contaba con todo el respaldo de sus asesores, que por lo visto en las notas manuscritas le tachaban y le volvían a escribir que lo dijera o no. Y al final lo dijo, aunque con el matiz de "no en todas partes".

El caso no deja de tener su miga, porque a Zuckerberg le ha costado unos buenos rapapolvos de Bruselas, incluidas multas multimillonarias, convencerse de las bondades de la legislación europea. Incluso las multas que le ha impuesto la Agencia de Protección de Datos Española las ha ido recurriendo, por entender que no se ajustaban.

Y es que el reglamento europeo, que entra en vigor este próximo 25 de mayo, va a suponer una revolución para el tratamiento de la privacidad que exige que todas las empresas se adapten. Algunas ya han empezado, la mayoría no.

En España, a 100 días de la entrada en vigor, una encuesta de Microsoft, aseguraba que solo el 10% de las empresas españolas cumplían el GDPR y otro 25% cuenta con planes sólidos para llegar a mayo, pero el 65% no puede garantizar el cumplimiento del nuevo reglamento en la actualidad. En el resto de Europa no están mejor. La media europea es del 18% de cumplimiento, con Alemania (26%), Reino Unido (24%) e Italia (20%) como los países más adaptados a este nuevo reglamento.

Con prisas por adaptarse

"Las marcas tendrán que cambiar radicalmente sus políticas de privacidad. Hoy, muchos negocios dicen que comparten sus ficheros con una serie de 'partners' sin especificar quiénes son, y con el GDPR estarán obligados a aclarar quién tiene acceso a la información de sus clientes”, afirma Sergio Maldonado, CEO de PrivacyCloud, una plataforma que permite a los usuarios tener mayor control sobre sus datos personales.

Tanto la Agencia Española de Protección de Datos (AEPD) como la Autoritat Catalana de Protecció de Dades (que junto con su homóloga vasca son las dos únicas autonómicas que tienen competencias sobre las administraciones públicas), las organizaciones empresariales, los bufetes de abogados y las grandes tecnológicas llevan tiempo advirtiendo y haciendo seminarios y guías para explicar todos los puntos del nuevo marco, cuyo incumplimiento puede llevar a sanciones de hasta 20 millones de euros o del 4% de su facturación anual.

El nuevo marco legal exigirá la creación de una nueva figura, el responsable de protección de datos, que se encargará de tener bajo control todos los ficheros que hasta ahora solo exigían una notificación a la AEPD vía web, y cuyo nombramiento habrá que notificar. Además, para cualquier acción que implique recogida de información personal, tendrán que pedir el consentimiento “inequívoco” del usuario (no valdrá el tácito, se insiste), se tendrán que registrar las “actividades de tratamiento” y establecer un protocolo en caso que haya una fuga de información o un uso indebido. Además, se tendrá que hacer un análisis de riesgos, adoptar medidas de seguridad específicas y adaptar los formularios a la nueva norma.

El objetivo es que los ciudadanos tengan más capacidad de saber qué hacen las empresas con sus datos, reforzando el derecho de acceso, eliminación y consulta de su información, y añadiendo el derecho al olvido, la herramienta legal por la que un contenido lesivo y sin trascendencia pública puede ser borrado pasado un tiempo.

Además, los datos podrán ser portados de una empresa a otra, lo que según la Comisión Europea, “brinda a las empresas nuevas oportunidades de negocio”. Algunas, como Telefónica, ya se han apresurado a presentar este nuevo marco como una ventaja competitiva. Y Facebook, Google y Twttter, por ejemplo, también se verán afectadas si quieren mantener sus negocios en Europa