La Regulación de Protección de Datos europea (GDPR, por sus siglas en inglés), que entrará en vigencia el próximo 25 de mayo, se mencionó al menos una docena de veces los pasados 10 y 11 de abril durante el testimonio de Mark Zuckerberg, CEO de Facebook, frente al Congreso de Estados Unidos. Y con toda la razón.
Como si de un ente maligno se tratara, la GDPR aparecía de tanto en tanto como argumento para demostrar lo mal que Zuckerberg estaba tratando los datos personales de sus usuarios. El CEO pudo haber alegado que no es una regulación estadounidense, de hecho, pudo haber dicho que ni siquiera había entrado en vigencia. En lugar de ello, se acomodó en su asiento cuando escuchó mencionar la legislación e incluso en sus notas de la audiencia tenía una anotación en la que se leía que no debía afirmar que la compañía se plegaba a ésta. Esta semana, Facebook aseguró que adoptaría los cambios exigidos por la nueva norma europea y que los extendería a todos sus usuarios, incluso si no están en Europa.
Ahora bien, ¿por qué el GDPR ocasiona tal reacción? Primero, existe un gran factor como causa de la introducción de esta nueva regulación. Este es, precisamente, el deseo de la Unión Europea de proteger los datos personales de sus habitantes de cara a los modelos de negocio de empresas como Amazon, Google, Twitter y Facebook. Se trata de ajustar mejor las cuentas entre el ofrecimiento de servicios gratuitos y la entrega de datos personales. Los riesgos de este intercambio quedaron más que ejemplificados con el escándalo de Cambridge Analytica.
Segundo, con el GDPR, se ha estado realizando durante cuatro años un gran esfuerzo para actualizar las normas concernientes al tratamiento de datos personales en la era digital. Inicialmente propuesto por la Comisión Europea en 2012, la regulación sufrió varias modificaciones hasta su primera lectura por parte del Consejo Europeo en 2015. El 15 de diciembre de ese mismo año se llegó a un acuerdo político, dejando el reglamento firmado en enero de 2016 por los presidentes y secretarios generales del Parlamento y el Consejo Europeo. Finalmente, con el borrador de la regulación ya consolidado, se piensa aplicar el GDPR a partir del 25 de mayo de 2018. Por consiguiente, durante cuatro años, miles de responsables y encargados del tratamiento de datos personales fueron testigos de la nueva normativa en protección de datos que la Unión Europea desea imponer para proteger a sus residentes.
Tercero, los cambios introducidos en el GDPR son más estrictos que los incluidos en la directiva 95/46, la cual perderá vigencia a partir de la entrada de la nueva regulación. El GDPR amplía la jurisdicción: ahora se aplicará a todo responsable o encargado del tratamiento de datos personales de residentes del continente, sin importar en qué parte de Europa se realice esta operación. También se aplicará a empresas no establecidas en el continente que traten datos personales de europeos, siempre que el tratamiento esté relacionado con el ofrecimiento de bienes y servicios o el monitoreo del comportamiento del individuo. La solicitud de consentimiento se deberá dar mediante un formulario de fácil lectura que debe estar en un lugar visible del sitio; esto en vez de los términos y condiciones, larguísimos y escritos en términos que ni siquiera entienden los abogados.
Asimismo, las multas por incumplimiento aumentarán. En caso de un incidente de seguridad, la notificación a los titulares de los datos es obligatoria dentro de las 72 horas siguientes, a más tardar. También es obligatoria la entrega de una copia de los datos personales de manera gratuita y en formato electrónico. Esto ayudará a la transparencia y el empoderamiento de los usuarios, los cuales podrán transmitir sus datos personales a otras empresas sin incurrir en ningún costo.
Por primera vez se exige expresamente que los responsables del tratamiento de datos personales implementen medidas técnicas y organizacionales para proteger esta información de manera efectiva. Finalmente, cada empresa que trate datos personales deberá tener un oficial de protección de datos, quien se asegurará de que se lleven registros del tratamiento y se cumplan todas las exigencias del GDPR.
Pero, aparte de todo esto, el GDPR tiene un poder extra: la influencia sobre Estados Unidos por cuenta de la nueva conciencia al respecto que se ha ido gestando entre los legisladores de este país.
Allí, los requerimientos para obtener datos personales son menos estrictos. De igual forma, los fines para los cuales se usa esa información pueden ser mucho más amplios. No existe una regulación general que les permita a los usuarios hacer uso del derecho al olvido y eliminar información sobre ellos en internet. Y, si bien se puede pedir a ciertas instituciones o empresas una copia de los datos personales que están recolectando, no existe una regulación expresa en este sentido. En muchos aspectos, los datos personales peligrosamente se asemejan a un bien de propiedad privada, más que a un derecho fundamental.
En este escenario, los legisladores de EE. UU. poco a poco se están percatando del hecho de que instrumentos como el GDPR son necesarios para mantener la democracia, la libertad y la búsqueda de la felicidad, todos principios que deben proteger bajo la Constitución de 1787.
Es por esto que tanto los legisladores como Zuckerberg estaban intranquilos durante las audiencias de la semana pasada.
Con la entrada en funcionamiento del GDPR el 25 de mayo seguramente habrá una sacudida en el mercado en línea. En un mundo que ya no se puede dividir por fronteras geográficas y geopolíticas, esto creará una reacción en cadena, haciendo que Estados Unidos reconsidere la protección de datos personales. Con el GDPR, seguramente la legislación estadounidense cambie sustancialmente la forma en que grandes empresas, como Facebook, están tratando los datos personales. Y con esto, quizá, también se produzcan algunas modificaciones en los modelos de negocios de la internet moderna, en la que los usuarios comienzan a reclamar más protagonismo y garantías, porque no todo vale, por más que sea gratis.