En tiempos en que el mantra de “información es poder” es de interpretación cada vez más literal, la Unión Europea acaba de dotarse de un Reglamento de Protección de Datos, que pretende armonizar las 28 legislaciones nacionales en la materia y asegurar a los ciudadanos europeos que sus datos estén a buen resguardo de la voracidad ilimitada de ciertas empresas y de las maquinaciones de los ciberdelincuentes.
No se trata de la primera norma de este tipo. Ya en 1995 la UE contaba con una, pero Internet estaba aún en pañales, por lo que en 2012 la Comisión Europea (CE) avaló un paquete de medidas para ponerla al día. Un año después, las revelaciones de Edward Snowden confirmaron que la decisión de Bruselas era la correcta. Así, en días pasados ha visto la luz un nuevo acuerdo, respaldado por la Comisión, el Consejo y el Parlamento Europeo.
Bajo la nueva directiva, que entrará en vigor en mayo próximo y comenzará a aplicarrse a todos los efectos a partir de 2018, las regulaciones nacionales deberán articularse en una sola, de manera que las empresas que pretendan gestionar datos de los ciudadanos europeos no tengan ante sí 28 números telefónicos a los que llamar, sino una única norma que regirá en los 28 países. Esto debe significar una simplificación de la burocracia y un ahorro anual equivalente a 2.300 millones de euros, según estimados de la CE.
No obstante, según explica a Aceprensa Martin Abrams, director de la Information Accountability Foundation, un think tank que cuenta con el apoyo de varias empresas tecnológicas, “muchas compañías, en su mayor parte europeas, suelen ignorar las leyes de protección de datos, por lo que será más difícil para ellas comenzar a regirse por estas normas”. Entre ellas se incluye pedir el consentimiento del usuario para registrar sus datos, e informarle por qué y para qué está siendo caracterizado a partir de su localización geográfica o de sus preferencias en la web (el denominado profiling).
Hasta ahora, la tentación de la publicidad continua y la ausencia de multas o su baja cuantía, han inducido a las compañías a traspasar los límites. Las nuevas sanciones previstas –hasta el 4% de sus beneficios anuales– les conminarían a reencontrar la “buena senda”… o a marcharse. “Nos preocupa que los empresarios teman invertir en Europa y busquen fuera del continente dónde financiar el próximo gran invento tecnológico”, dice a Reuters una fuente de la Industry Coalition, entre cuyos miembros están Facebook, Google, Amazon e IBM.
Veredictos uniformes y vinculantes
En cuanto a los ciudadanos, se prevé que tendrán un mejor acceso a sus datos personales almacenados por determinadas entidades, y el derecho a conocer qué sucede con ellos una vez que sean compartidos. “Para los europeos –añade Abrams–, los mayores cambios serán: 1) que habrá multas más fuertes a los controladores de los datos, quienes tendrán más difícil ignorar [las regulaciones]; 2) que las notificaciones sobre las violaciones de la seguridad de los datos harán mucho más visible la cantidad de información que está siendo procesada, y 3) que los ciudadanos recibirán compensaciones por daños, por lo que probablemente más individuos formularán reclamaciones”.
De igual modo, al armonizarse las legislaciones, todos los ciudadanos de la UE disfrutarán de los mismos derechos, con independencia del lugar en que residan o del sitio donde tenga su base la empresa objeto de reclamaciones. En sintonía con esto, no podrán imponerse sanciones diferentes por la misma transgresión en países distintos, por lo que si los reguladores nacionales divergen en un asunto, deberán someterlo a la Junta Europea de Protección de Datos (aún por crearse), que emitirá veredictos vinculantes.
Asimismo, entre todas las prerrogativas quedará consagrada una muy importante: la del denominado “derecho al olvido”, que otorga al usuario la facultad de solicitar a una red social el borrado de sus datos personales.
La decisión de integrar esta posibilidad en la nueva regulación tiene su raíz en la sentencia del Tribunal Europeo de Justicia (TEJ) de mayo de 2014, que estipula que un ciudadano puede solicitar a un buscador de Internet que saque de su lista los contenidos que afecten negativamente su privacidad. Pero no se trata de un derecho absoluto, pues no se aplica si el interesado es una figura pública y los datos tienen de alguna manera relevancia en ese ámbito. Y solo afecta a los buscadores, de modo que la información continuará intacta en la fuente original.
Los datos, si en casa, mejor
Con tan “robusta” y unificadora ley a este lado del Atlántico, está por ver cómo queda la práctica de la transferencia de datos hacia EE.UU., donde, paradójicamente, no existe una legislación uniforme, sino una multitud de disposiciones de los distintos estados, que bien coinciden o se contradicen, lo que vuelve una odisea el conocer con exactitud quién-hace-qué con la información personal.
Las brechas del sistema se dejan ver en los cada vez más comunes episodios de sustracción de datos en EE.UU., como un robo de información personal de 100 millones de trabajadores de compañías norteamericanas, entre ellas JPMorgan Chase, u otro ocurrido en la Oficina de Gestión de Personal, que afectó a los datos de 20 millones de empleados federales.
Hasta hace muy poco, sin embargo, y desde 2000, existía la posibilidad de transferencias sin demasiadas trabas desde la UE, bajo el denominado régimen de safe harbour (puerto seguro), por el que la Comisión Europea daba por bueno el manejo y la protección de los datos de sus ciudadanos por parte de empresas norteamericanas. Pero en la práctica, según los críticos, era solo un sistema por el que las compañías se “autocertificaban” ante el Departamento de Comercio de EE.UU. como protectoras de la privacidad de los consumidores.
La “bomba” estalló cuando un usuario austríaco de Facebook, enterado por las revelaciones de Snowden de la frenética actividad de vigilancia de la NSA, denunció a la filial irlandesa de Facebook por pasar los datos a un país (EE.UU.) que no los protegía adecuadamente. La empresa se escudó en el principio de “puerto seguro”, pero el TEJ, al examinar las evidencias, concluyó que esta estaba “obligada a comprobar” si EE.UU. garantizaba efectivamente un nivel de protección de los derechos fundamentales “equivalente al garantizado en la Unión”; una tarea que Bruselas olvidó en el escritorio, por lo que en octubre de este año el TEJ declaró ilegal el safe harbour
Tal vez sea lo mejor, pues el modo en que ha de manejarse la información es precisamente uno de los temas más espinosos en EE.UU., donde los apremios del terrorismo están marcando el ritmo del debate. Los políticos piden a las compañías tecnológicas un cifrado menos complejo, así como facilidades de acceso de las agencias del gobierno a las comunicaciones personales, para evitar ataques. Las empresas arguyen que precisamente por el severo cifrado de datos, el sistema eléctrico y los bancos mantienen un nivel de seguridad que les permite operar con normalidad.
“Manos libres” contra el terrorismo
En Europa, habrá que ver qué encaje se les busca a determinadas regulaciones formuladas bajo la presión de combatir al terrorismo yihadista, que ha encontrado en Internet y en el mundo de las redes sociales una insuperable alternativa de promoción.
El Reino Unido, por ejemplo, aprobó en noviembre la denominada Investigatory Powers Bill, que confiere a los cuerpos de seguridad la facultad de hackear directamente ordenadores y teléfonos inteligentes, así como de acopiar cualquier cantidad de datos obtenidos de la intervención de las comunicaciones personales. También a las compañías telefónicas se les han puesto deberes, como el almacenamiento durante 12 meses de los datos de las webs visitadas por cada ciudadano, por si las autoridades los requirieran.
Ya antes, en julio, Francia había ampliado el sendero del “espionaje bueno”, al dotarse de una ley que autoriza a los servicios secretos a interceptar, sin permiso judicial, las comunicaciones de cualquiera que estuviera implicado en una investigación por terrorismo. También permite instalar cámaras de video secretas en viviendas privadas, así como artilugios de decodificación de contraseñas en los ordenadores de su interés. Igualmente, las compañías de telecomunicaciones deben guardar los datos por al menos un mes, y los metadatos (las circunstancias del mensaje, no su contenido concreto) por al menos cinco años.
Las nuevas exigencias de seguridad pueden hacer que algunas herramientas informáticas vayan contra su propia razón de ser. The Economist cita el ejemplo de Protonmail, un servicio de correo electrónico con sede en Suiza, que ofrece un complejo encriptado en sus mensajes, y que no suele conservar rastro de estos. ¿Acaso se le podrá obligar a modificar el carácter de sus servicios, al punto de que pierda justo aquello por lo que a los usuarios les parece atractivo?
Más allá, no obstante, de los previsibles choques entre gobiernos y empresas por el “trofeo” que son los datos personales, está la realidad de que la privacidad se vuelve un derecho más bien frágil, subordinado a la mayor o menor subjetividad de las autoridades y a su percepción de la cercanía o no de un ataque terrorista. Multas de millones de euros estarán gravitando, como se ha dicho, sobre las compañías que vulneren la privacidad; pero a la vez los gobiernos están otorgándose prerrogativas para hacer eso mismo.