Las nuevas normativas sobre privacidad que regirán nuestros datos

Hace sólo año y medio de la plena entrada en vigor del Reglamento General de Protección de Datos (GDPR) europeo que ha supuesto todo un revulsivo a nivel global en cuanto a la forma de afrontar la gestión de los datos y la privacidad. Sin embargo, casi tres de cada cuatro personas piden a sus gobiernos que aumenten todavía más la regulación sobre las grandes compañías tecnológicas para proteger sus datos personales. Y no son sólo los usuarios de esas compañías los que piden una mayor regulación, sino que incluso los CEOs de las grandes plataformas de datos como Mark Zuckerberg (Facebook) se suman al mismo llamamiento. En este contexto se está cocinando ya una nueva generación de normativas relativas a los datos de carácter personal, cuyo objetivo será, por un lado, complementar la normativa Europea existente y, por otro, rellenar los vacíos legales que hay en Estados Unidos en la actualidad.

La situación en Europa

Mientras en Europa seguimos todavía tratando de asimilar el potencial impacto de la GDPR y garantizar un mayor grado de implantación, la presidenta de la Comisión Europea – Ursula von der Leyen – ha encargado al Comisionado de Mercado Interior – Thierry Breton – que establezca una nueva estrategia de datos Europea que apueste por la innovación a través de los datos a la vez que proteja la identidad digital de las personas. Por el momento, y mientras no se concrete dicha estrategia, seguimos pendientes del nuevo reglamento de privacidad digital (ePrivacy) relativo al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, actualmente en progreso y que está llamado a complementar la GDPR reemplazando a la directiva actual – cuya última versión lleva en vigor más de 10 años (desde el año 2009), todo un mundo en el ámbito en el que nos movemos.

Este muy esperado nuevo reglamento, que será de aplicación directa para todos los países miembro, continúa desarrollándose después de prácticamente una decena de borradores presentados y dos años de negociaciones entre las distintas partes que contribuyen a su desarrollo. Este reglamento, también conocido como ley de las cookies por ser el responsable de los mensajes de aviso que aparecen en los sitios web que visitamos, es de vital importancia precisamente por afectar a uno de los mecanismos más usado (y a veces también abusado) para acceder a los datos de los usuarios online. Si bien es todavía incierto cuál será el resultado final, durante las negociaciones hemos visto como se ha pasado de un texto inicial más proteccionista, en el que se reforzaba la importancia del consentimiento explícito incluyendo la posibilidad de configurar nuestros navegadores para oponerse automáticamente a todo tratamiento de datos no autorizado (el famoso modo “no rastrear o “do not track”), a un borrador actual más garantista en el que se apuesta prácticamente por mantener el status quo con tan sólo algunos cambios de menor calado.

La situación en Estados Unidos

Si cruzamos el charco y echamos un vistazo a lo que está pasando en Estados Unidos – mercado de referencia en la actualidad en cuanto al desarrollo de las plataformas online que gestionan nuestros datos –, hemos empezado el año con la entrada en vigor de la Ley de Privacidad de los Consumidores (CCPA) en el estado de California, siendo varios los estados que tienen también en marcha sus propias iniciativas legislativas en la materia. Un hito muy relevante al tratarse no únicamente de la primera ley completa de este tipo en el país, sino que también parte del estado en el que se emplaza el Silicon Valley, que vio nacer una gran parte de esas grandes plataformas.

Si bien es cierto que la CCPA ha recibido algunas críticas por quedarse por detrás de la GDPR en algunos aspectos, y que el marco legal federal no termina de llegar mientras continúan las voces que lo siguen reclamando, empiezan al menos a ponerse en marcha un gran número de iniciativas legislativas federales en el país que podrían elevar el listón en cuanto a exigencia de forma considerable – yendo incluso más allá de los requisitos establecidos por la legislación Europea actual. Entre estas iniciativas se incluyen, por ejemplo:

• La ley de los derechos de los consumidores online (COPRA Act), cuyo objetivo es aumentar el control sobre los datos personales, prohibiendo los usos dañinos y estableciendo normas específicas y estrictas para la recopilación, el uso y el intercambio de los datos de los consumidores.
• La propuesta de ley para aumentar la compatibilidad y la competencia al permitir la migración de servicios (ACCESS Act), cuyo objetivo principal es habilitar la portabilidad de datos entre distintas plataformas, fomentando así la competencia e innovación en los servicios ofrecidos por las grandes compañías.
• La propuesta de ley para el diseño de salvaguardas contables para contribuir a ampliar la supervisión y regulación de los datos (DASHBOARD Act), cuya finalidad es aumentar la transparencia en cuanto el uso de los datos personales por parte de las grandes compañías, incluyendo una estimación económica objetiva del valor obtenido a través de dichos datos.
• El programa para el fin del rastreo no autorizado (Do Not Track Act), cuyo objetivo es limitar considerablemente el rastreo online de los datos personales de aquellas personas que así lo soliciten, de forma similar a cómo se hace ya en la actualidad con los registros telefónicos de exclusión publicitaria (como por ejemplo la Lista Robinson en nuestro país)
• La ley para responsabilizarse de los negocios propios (MYOBA Act) pretende terminar radicalmente con los potenciales abusos sobre la privacidad y los datos personales haciendo directa y jurídicamente responsables a los CEOs de las compañías de los incumplimientos graves respecto a la normativa existente.

Es importante también señalar que, con el objetivo de que todo este conjunto de leyes que se están proponiendo en los Estados Unidos no supongan un obstáculo para la innovación, en general su ámbito de aplicación se ha visto reducido a las grandes compañías ya consolidadas que cuentan con un alto número de usuarios y grandes volúmenes de facturación, aunque los márgenes específicos varían de una ley a otra.

En cualquier caso, el gran reto ahora – tanto en Europa como en Estados Unidos – está por un lado en clarificar los términos y límites de aplicación establecidos en todas estas leyes y ver cómo se consolidan finalmente y por otro lado en cómo conseguir la convergencia entre todas estas iniciativas para poder así evitar un mosaico legislativo que suponga un quebradero de cabeza para las compañías globalizadas y también una posible discriminación entre los derechos de unas personas y otras dependiendo de qué legislación se les aplique.