En el Chaos Communications Congress, se reunieron una serie de expertos para tratar los temas más candentes sobre seguridad, privacidad y derechos humanos de la era digital. Como era de esperar, el nuevo Reglamento europeo por la privacidad electrónica fue uno de los temas que se trataron.
Ingo Dachwitz, editor del portal alemán de derechos digitales y privacidad Netzpolitik.org, habló sobre el reglamento: de qué trata, cómo puede cambiar Internet y por qué la mayoría de los representantes de esta industria piensan que sus consecuencias pueden ser desastrosas.
Una pequeña introducción sobre la regulación de la protección de los datos personales en Europa
Seguro que conoces el Reglamento sobre privacidad electrónica, ya sea por la consulta pública que se llevó a cabo en la UE o por la cantidad de medios europeos que hablan sobre el tema. A continuación, te contamos cómo empezó la historia de la privacidad electrónica en Europa.
Internet creció a pasos agigantados en la década de los 90 y, con él, la cifra de datos de usuario. Las empresas desarrollaron nuevos métodos para adquirir y procesar datos, que se convirtieron en una mercancía muy valiosa. La cantidad de datos y la forma de analizarlos podría determinar la eficacia con la que la empresa atraía a los clientes, es decir, conseguían vender productos mostrando a los usuarios anuncios basados en los datos que generaban.
La Comisión Europea comenzó a prestar especial atención a todo lo relacionado con este tema y a cómo y quién usaba estos datos. Quedaba en evidencia que la situación requería una regulación legal superior a la que existía en ese momento. La primera decisión que se tomó a favor de la protección de datos personales fue la implantación de la Directiva de Protección de Datos, aunque su definición de los datos personales era algo difusa, por ello, 21 años después, en abril del 2017, se remplazó por el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés).
El nuevo Reglamento para la Protección de Datos será de obligado cumplimiento en todos los países de la Unión Europea en mayo de 2018. ¿Está tu #empresa preparada? https://t.co/UqLbPwOu8f #GDPR pic.twitter.com/AG4vnpv3Dr
— Kaspersky España (@KasperskyES) January 20, 2018
El reglamento pretende definir y categorizar de forma rigurosa los datos personales, además de unificar y reforzar las normas que rigen la protección de los datos de los ciudadanos de la UE, ya sean genéticos, intelectuales, culturales, económicos o sociales; como por ejemplo: direcciones de IP, nombres de clientes, teléfonos, registros de proveedores y de personal y mucho más.
Definición del nuevo Reglamento por la privacidad
Su entrada en vigor será en mayo del 2018 e incrementa la regulación del GDPR. Sus principios son similares a los de la normativa actual, la diferencia principal es que este reglamento divide los datos personales en dos: datos de contenido (mensajes de texto, imágenes, idiomas usados, etc.) y metadatos (“datos sobre datos”), la información sobre los archivos de contenido. Por ejemplo, en cuanto a las páginas web, los metadatos incluyen contraseñas, cookies, archivo de huellas digitales y demás. Los metadatos son muy importantes para quienes deseen definir a alguien en la red, rastrearlo y analizar su comportamiento.
El principio básico del Reglamento de ePrivacy con respecto a todos los tipos de datos de usuario en la red es: “Privacidad por defecto”. Es decir:
- Los datos se podrán recopilar exclusivamente con el consentimiento activo del usuario y deben ser borrados o convertidos en anónimos cuando se dejen de utilizar para la comunicación (Artículo 6).
- Todos los métodos de rastreo online deben estar muy controlados, preguntando a los clientes desde el primer momento si quieren ser rastreados. El rastreo por defecto (sin solicitar el permiso del usuario) y las tracking walls (que bloquean el acceso al contenido de la web si el usuario se niega a ser rastreado) quedan prohibidos (Artículos 7, 8 y 9).
- El rastreo offline (por Bluetooth o wifi) puede usarse con fines estadísticos o tras obtener consentimiento explícito del usuario (Artículo 8).
- Los proveedores de servicios de comunicación deben proteger los datos de los usuarios a través de un cifrado de extremo a extremo, de esta forma los datos solo podrán ser descifrados por el propio usuario (Artículo 17).
- Los proveedores de servicios de comunicación no pueden prohibir el uso de ningún medio de protección establecido por el usuario contra el rastreo o definición de público objetivo (por ejemplo, los bloqueadores de anuncios) (Artículo 17).
El campo de batalla
Desde que se propuso este nuevo reglamento en enero del 2017, la sociedad europea ha estado debatiendo sobre el tema. Los medios de comunicación más importantes de Europa y los representantes de negocios en Internet han coincidido en que este reglamento no solo no es útil para los usuarios, sino que también es hostil y poco productivo.
Los grupos de la industria contrarios al reglamento en la UE, como Interactive Advertising Bureau (IAB), European Association of Communications Agencies (EACA), European Magazine Media Association (EMMA) y demás (algunos de los miembros de estas organizaciones incluyen empresas como Amazon, Facebook, Google, Apple o Microsoft, las empresas más importantes de Europa en digitalización, publicidad y relaciones públicas y medios de comunicación), crearon una campaña en Internet contra este reglamento que recibe el nombre de “Like a Bad Movie” e imagina un mundo con el Reglamento por la privacidad en vigor, intentado concienciar de que este perjudicará no solo a los usuarios, sino a todo Internet. Aseguran que:
- La limitación de los ingresos publicitarios basados en datos reducirá el buen periodismo, lo que generará menos fuentes de información de calidad y menos diversidad de opinión en Internet.
- Los modelos comerciales de aplicaciones útiles que viven de los ingresos de publicidad basada en datos desaparecerán.
- El reglamento no ayudará a los consumidores, sino que los confundirá, obligándoles a configurar los ajustes de privacidad en cada dispositivo, navegador y sitio web.
- Habrá mucho menos contenido gratuito, ya que los sitios no podrán ganar dinero con los anuncios basados en datos.
Para esta fuerza opositora, lo fundamental y el motivo de su lucha es que este reglamento amenaza los modelos comerciales basados en datos. De las 41 reuniones sobre el reglamento celebradas con los comisarios europeos en 2016, 36 fueron con intereses corporativos. Como consecuencia, la propuesta final del reglamento (el que tenemos ahora) ya ha perdido algunas de los asuntos que aparecían en el borrador. Por ejemplo, su definición de metadatos es difusa y se excluyó la propuesta de garantizar los ajustes de la privacidad electrónica por defecto en los equipos informáticos.
La batalla continúa. Las correcciones en el reglamento llevadas a cabo por el Parlamento Europeo el 23 de octubre del 2017 afianzaron las normas que limitaban a los representantes de la industria. Sin embargo, los opositores no se han rendido, todavía queda tiempo para modificaciones que cambien por completo el documento.
Esto es todo lo que sabemos por el momento, pero seguiremos la evolución de los hechos y te recomendamos que tú también lo hagas. El impacto global del reglamento va a ser enorme, ya que Internet cree que tendrá que evitar la financiación derivada de los datos de los usuarios. Esto hace que el reglamento, si finalmente se implantara, se convierta en uno de los eventos más importantes del año; sin duda afectará más a la economía global que la Copa Mundial de la FIFA.