Las multas a Facebook se multiplicarán con el nuevo reglamento de protección de datos

Facebook fue multado el lunes por recabar sin autorización datos sobre ideología, sexo o creencias religiosas de los usuarios españoles. Además, los utilizaba con fines de publicidad. También sin permiso. Todas estas infracciones le costaron al gigante tecnológico 1,2 millones de euros. Calderilla para multinacionales. Facebook tiene alrededor de 22 millones de usuarios en España, según cifras de 2017. Así, registrar y sacar provecho de nuestros datos le costó a Facebook 0,05 euros por usuario. Pero estas minimultas tienen fecha de caducidad.

El próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGDP), la traslación que ha hecho España de la directiva europea del 25 de mayo de 2016 (que dio dos años a los países para adaptarse a la nueva ley). Hasta ahora, las multas máximas son de 600.000 euros. Con la nueva regulación, el máximo son 20 millones de euros o, en el caso de grandes multinacionales, hasta el 4% de la cifra de negocio global, no solo en España. Es decir, Facebook fue multada ayer con tres sanciones: dos graves de 300.000 euros cada una y una máxima de 600.000. A partir de mayo de 2018, esa sanción puede ser de 33 veces más.

«Antes era dinero de bolsillo para Facebook. Si hubiera estado en vigor el RGDP, esa multa podía haber sido de 20, 30 o 40 millones de euros. Las multas son unas buena herramienta de motivación», ha sostenido José Alberto Rodríguez, Delegado de Protección de Datos de Cornerstone, en un desayuno de prensa organizado por la compañía estadounidense este martes en Madrid.

 

 

 

«La multa que le impuso la Agencia Española de Protección de Datos es por no ser claros en qué datos tienen y qué hacen con ellos. Yo quiero saber si Facebook tiene o no un algoritmo que deduce mis opiniones políticas o mi orientación sexual, en función de los post que leo, de mis comentarios, likes, compartidos… Estos gestos dan muchísima información. Van a tener que ser mucho más transparentes«, ha explicado a The Objective este experto. A pesar de que Rodríguez ha recordado que Facebook es una plataforma voluntaria, sí que ha argumentado que tiene que dejar más claro lo que el usuario acepta al entrar. «Estaría bien que permitiera elegir. Es decir que al registrarme me den una lista de opciones sobre lo que van a hacer con mis datos y yo decida sí quiero o no que analicen mis opiniones políticas».

Esta opción que hoy nos parece utópica podría conseguirse a medio plazo, después de la aprobación de la nueva ley de mayo de 2018. «Va a depender mucho de la fuerza y del ánimo de las asociaciones de usuarios para presionar a la empresa para pedirlo», ha razonado Rodríguez.

 

¿Qué dice la ley? ¿Puede presionar a grandes compañías?

«Está pensada para grandes multinacionales. Podría haberse llamado Ley Facebook», ha bromeado este experto. La ley resuelve tres cuestiones básicas:

• ¿Cuándo puede una empresa procesar tus datos? Cuando hay un contrato entre las partes, un consentimiento o un interés legítimo.
• ¿Cómo se deben procesar? De forma transparente, justa y recopilando los datos mínimos imprescindibles. «Hay que minimizar los datos que se guardan. Esto ya estaba antes pero nadie le hacía caso», ha apuntado Rodríguez.
• Respetando los derechos de las personas. ¿Cuáles? Información sobre todo el proceso, facilitando el acceso a los datos y su borrado.

En resumen: «No se puede hacer sin avisar, ni se puede hacer de forma indiscriminada y se tiene que garantizar que se borran al cabo de un límite de tiempo».  ¿Les interesa a las empresas ser transparentes y cumplir con estas disposiciones?  «Sí, se puede convertir en una ventaja competitiva los que lo cumplan antes», ha contestado el encargado de datos de Cornerstone.

Además, esta directiva europea incluye un aspecto que dará una fuerza nueva a los usuarios: la posibilidad de iniciar acciones legales conjuntas. «Esto permite que un montón de gente denuncie a la vez en un proceso único a una empresa. Hoy en día, si a ti Facebook no te gusta lo tienes que denunciar tú, si alguien más quiere hacerlo será su propio proceso. Son independientes. Esto va a permitir que en los temas de protección de datos se pueda hacer una denuncia única contra Facebook, por ejemplo, agrupando a 20.000 o 30.000 personas de toda Europa», ha explicado Rodríguez.

Las empresas españolas no están preparadas

A pesar de que esta ley lleva 10 años discutiéndose y que la Unión Europea ha dejado un plazo de dos años desde su aprobación hasta la entrada obligatoria en vigor, las empresas españolas no están preparadas para aplicarla. «Pocas son las compañías que realmente han iniciado las acciones para estar listas frente al nuevo reglamento», ha sostenido Rodríguez.  «Eso no significa que el día 26 por la mañana, la AGPD se vaya a presentar con la Guardia Civil en tu empresa. Las agencias van a seguir trabajando para concienciar. Porque ninguna entidad de control puede analizar a todo el mundo. Al final la seguridad solo funciona sí hay un nivel de concienciación, como con el cinturón de los coches. La policía no puede controlar a cada coche, pero todo el mundo se lo pone ya«, ha razonado este experto.

Aun así, Rodríguez ha asegurado que las compañías españolas están más preparadas que las europeas, gracias a que la ley española en esta materia incorporaba ya una serie de obligaciones de seguridad y gestión de los datos. Así, los españoles ya tenían derecho de acceso y rectificación a los datos. Es decir, «podían saber qué datos se tenían y cómo modificar cosas de ellos, por lo que su punto de partida es mejor», ha explicado el DPO de Cornerstone.

La figura de Rodríguez es una de las nuevas disposiciones que se incluye en la ley. Aunque no será obligatorio para todas las empresas —dependerá del tamaño de la compañía—, el delegado de protección de datos (DPO) será el responsable de velar por el cumplimiento del nuevo reglamento. Cornerstone creó este puesto ya en 2016, al aprobarse la nueva ley. Desde entonces, Rodríguez trabaja por adaptar esta empresa de 2.000 empleados. Una buena parte de su trabajo se está centrando en la que es la gran tarea pendiente para la mayoría de las empresas: ser capaces de borrar los datos de los usuarios.

 

¿Qué podrán hacer los usuarios a partir del 25 de mayo?

25 de mayo de 2018. Entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD). Un usuario de Facebook, de Google o de cualquier red social quiere saber qué datos tienen suyos. ¿Qué puede hacer? “Puede escribir a esas empresas, pedírselos y además hacer una carta, que las autoridades van a tener modelos disponibles. Señor Facebook, señor Google, en virtud de lo que dice la ley de Reglamento General de Protección de Datos, como es mi derecho yo le pido que me dé acceso a los datos”, ha explicado Rodríguez. Con la nueva ley, estas compañías tendrán un mes para contestar. A partir de ahí, si en un mes no responden se le pude denunciar a la Agencia de Protección de Datos.

En caso de que te contesten, las compañías están obligadas a detallarte en forma de lista las cosas que saben de ti, incluidas aquellas para las que has dado el consentimiento como las que se derivan del uso de la plataforma. Este último tipo de datos es el más problemático porque es el que almacena más datos sensibles.

Respecto a los datos que el usuario ha consentido darlos, la empresa puede establecer que si quieres utilizar su plataforma tienes que aceptarlos. “Pero en la mayoría de sitios, como Facebook, el número de datos obligatorios es relativamente bajo”, ha detallado el DPO de Cornerstone. «Son los otros lo que son más conflictivos».