Nueva regulación de protección de datos: preguntas y respuestas

La nueva regulación de protección de datos, vía reglamento europeo, entrará en vigor en mayo de 2018 y está empezando a generar ríos de tinta. Son muchos los analistas que, probablemente atisbando cierto negocio de asesoramiento, han empezado a advertir del importe de las multas que se podrán imponer a las empresas que no se hayan adaptado. Así que, como startup que trabaja constantemente con datos, he analizado el reglamento para ver qué repercusiones tiene. Y me sorprende tener que reconocer que esta regulación es mucho más laxa para casi todas las empresas que la anterior. Veamos.

¿Por qué es necesaria una nueva regulación?
La anterior data de 1994 y era, por tanto, anterior al boom de Internet, por no hablar de las redes sociales. Por si fuera poco, en los últimos años el big data se ha convertido en una tendencia tecnológica y empresarial basada en la recogida y procesamiento de datos. El spam, la publicidad programática, las búsquedas personalizadas o el marketing de contenidos son realidades recientes que no estaban recogidas por la legislación anterior.

Así lo explica la propia regulación:

La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial.

¿Los cambios suponen realmente más gestiones para las empresas?
Todo lo contrario. Especialmente para las pymes, las que tienen menos de 250 empleados, que hasta ahora tenían que realizar toda una serie de gestiones ante las agencias de protección de datos de cada país y que ahora quedan exentas. El verdadero objetivo de la nueva regulación son las grandes redes sociales y de publicidad, que sí que van a tener que dar muchas explicaciones de lo que hacen para evitar que abusen de su dominio. Dicho de otra manera: esta regulación concierne a Google o a Facebook, pero no a la startup que acabas de crear.

¿Y si mi startup trabaja con datos médicos, penales o políticos?
Efectivamente, hay una excepción para aquellas empresas de cualquier tamaño que traten datos que puedan entrañar un riesgo para los derechos y las libertades de los ciudadanos, además de las que gestionan datos de ideologías, penales o de salud. En este caso, incluso una modesta startup tiene que realizar toda una serie de trámites administrativos. Quedan exentos los partidos políticos, que sí podrán crear bases de datos «big data» de intención de voto.

¿Es verdad que ahora hay que tener un «data protecion officer»?
Solo las grandes empresas cuya actividad principal sean los datos.

¿Y crecen las multas?
Es cierto que pueden alcanzar un 4% de la facturación anual de una empresa. Pero una vez más, se trata de una advertencia para las multinacionales que usan datos personales como principal ingrediente de su actividad. No te preocupes por tu startup.

¿Qué pasa si me roban los datos personales del servidor?
Lo primero que tienes que hacer es denunciarlo y advertir a la Agencia de Protección de Datos. Si a Uber, que pagó a unos hackers para que no dijeran que habían robado los datos de sus clientes y de sus chóferes, le pilla esta regulación, le habría caído una multa de las gordas.

Pero Uber es una empresa americana. ¿Por qué le afecta la regulación europea?
Es una de las novedades de esta regulación, que concierne no solo a las organizaciones con sede en Europa sino también a todas las que estén en cualquier otro punto del mundo pero que gestionan datos personales de ciudadanos de la UE.

¿La regulación afecta a todos los datos personales?
En principio sí. Pero recuerda que solo regula datos personales, por lo que los que sean de tipo profesional (por ejemplo, un teléfono de trabajo) están exentos. Esto lo desconoce mucha gente.

¿Y qué es un dato personal?
Esta es la madre del cordero. Aunque la nueva regulación incluye una definición bastante larga, lo cierto es que el tema sigue estando sujeto a cierta interpretación. Por poner un ejemplo, un número de teléfono solo es un dato personal en cuanto permita identificar a una persona, normalmente porque va asociado a su nombre y apellidos.

Pero esto genera no pocas dudas. Por ejemplo, ¿una dirección IP es un dato personal?
La regulación habla de «identificador en línea», pero solo si ese número podría asociarse a una persona concreta, cosa que sucede si en el registro de ese usuario se ha guardado también su IP. Ocurre algo parecido con las cookies, que solo serán datos personales si van asociadas al login del usuario en una red social. Las cookies de publicidad, en principio, no plantean problemas.

¿Qué obligaciones tengo si gestiono una app o una web?
El único cambio esencial que te va suponer la nueva regulación es que, en algunos casos, tendrás que cambiar el check-in que deben marcar los usuarios cuando te entregan algún dato personal que después guardas en una base de datos. antes este check-in podía venir marcado por defecto. Ahora tendrá que estar siempre desmarcado y el usuario tendrá que marcarlo expresamente para poder continuar.

Además, debes explicar por qué recoges esos datos con cierta precisión. De hecho, oficialmente no deberías pedir datos que no sean estrictamente necesarios, aunque esto es completamente interpretable. Otra novedad importante, quizás las que más, es que hay que borrar los datos que tengan más de tres años de antigüedad o bien, lo que seguramente será más normal, tendrás que pedir a cada usuario que vuelva a marcar el check-in. No es para mañana, pues dan dos años de carencia a esta obligación.

Otra novedad relevante es que tendrás que permitir al usuario exportar todos sus datos, una previsión que se ha hecho pensando específicamente en la competencia entre redes sociales. Es decir, que Facebook tendrá que permitirte sacar todos los datos que tenga de ti para poder importarlos en otra red.

Y recuerda que siguen en vigor las obligaciones anteriores de todos los propietarios de bases de datos en relación a la posibilidad de sus usuarios de consultar, modificar y borrar esa información en cualquier momento. Por cierto, la nueva regulación establece un plazo para hacer realidad una petición de este tipo por parte de un usuario: un mes.

Tengo una lista de amigos en mi ordenador. ¿Me concierne la regulación?
No. Curiosamente, la regulación anterior sí que te afectaba y teóricamente estabas obligado a dar de alta una base de datos de este tipo, aunque evidentemente nadie lo hacía. Ya no es necesario.

¿Y si hago scrapping y recojo datos de personas de otras webs?
Si son profesionales, que es lo más normal, no tienes que preocuparte por nada. Si son personales, entonces sí que deberías tener cuidado. Dado que no has recabado el consentimiento del afectado, podrías estar saltándote la regulación. Aunque la nueva norma especifica claramente (artículo 9.2) que si esos datos personales los ha hecho el usuario «manifiestamente públicos» (por ejemplo, en Twitter), incluso los de tipo ideológico, no hay problema. Eso sí, ten cuidado de almacenar en tu base de datos el origen de los mismos (artículo 14.2).

¿Y qué hay del derecho al olvido?
Esta es una de las grandes ventajas de la nueva regulación: que queda claro el funcionamiento de este pseudo-derecho, que va dirigido expresamente a Google. De hecho, va a verse más restringido que hasta ahora. Es cierto que cualquier persona podrá pedir que se borren/rectifiquen sus datos de Internet, pero no en todos los casos.

El reglamento europeo marca bien claramente que Google no estará obligado a eliminar resultados procedentes de medios de comunicación profesionales: «Cuando sea necesaria para el ejercicio de la libertad de expresión e información». Si no es el caso y se trata de una persona anónima, si los datos a borrar se pueden localizar en Google, deberás avisar al buscador para que los borre. Como probablemente sabes, esto se hace a través de Google Console.

El reglamento es especialmente protector de los derechos de los medios de comunicación, académicos y científicos a almacenar datos e incluso a publicarlos. Se acabó el vacío legal que había hasta ahora y que llevaba a muchos sinvergüenzas a «exigir» que sus datos se borraran incluso de la prensa online. La única duda que pude surgir es si aquí se incluyen cosas como twitter o como un blog.

Entonces ¿a quién afecta realmente la nueva regulación?
Fundamentalmente a los que hacen spam, también conocido como email marketing, y especialmente a los que mezclan datos para hacer campañas de publicidad específicas, como es el caso de Facebook. Así, con la entrada en vigor de este reglamente europeo podrás en principio exigir a la red social que no trate tus datos con ese objetivo. Y esto puede ser problemático, ya que es de lo que vive Facebook.

Y es que últimamente se habla mucho del potencial que tiene el análisis de tu actividad en Facebook para dirigirte mensajes específicos según tu perfil psicológico. Esto evidentemente es algo que el reglamento europeo quiere limitar.

Más compleja es la regulación si el objetivo de ese tratamiento es la realización de análisis de capacidad de pago de deudas o de rendimiento profesional, técnicamente conocidos como «credit scoring«. Se permite trabajar con estos datos pero siempre con sumo cuidado de no hacer pública la información. Más estricto es el caso del que quiera hacer «scoring de salud» (por ejemplo, el riesgo que tiene alguien de contraer un cáncer), algo que queda terminantemente prohibido para cualquier empresa.