El RGPD supone un cambio significativo en la forma de abordar las actividades necesarias para lograr el cumplimiento normativo en materia de protección de datos. Dicho cambio se puede resumir básicamente en los siguientes puntos de actuación:

• Transitar de un modelo de cumplimiento de requisitos, recogidos en las actuales LOPD y RLOPD, a un modelo de responsabilidad proactiva, según el cual el responsable del tratamiento deberá ser responsable de tratar los datos personales con arreglo a los principios exigidos en el Reglamento y además será capaz de demostrarlo. Este nuevo modelo supone la necesidad de plantearse desde una perspectiva ex-ante la manera de tratar los datos de forma que se minimicen las posibles vulnerabilidades de los datos personales tratados (quiebras de seguridad).
• Modular las medidas de seguridad que se deben adoptar en función del análisis de riesgo de los tratamientos de datos realizados, según el tipo de tratamiento, la naturaleza de los datos, su volumen y el número de personas afectadas.
• Incrementar la transparencia de forma que se comunique a los interesados la información que les afecte de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, además de hacerlo de forma expresa, precisa e inequívoca como requería la LOPD.
• Analizar con carácter previo al desarrollo de cualquier proyecto que implique un tratamiento de datos personales, las medidas organizativas y técnicas adecuadas para integrar en dicho tratamiento las garantías que permitan aplicar de forma efectiva los principios del RGPD (Privacidad desde el diseño) y adoptar las medidas que garanticen que solo se tratan los datos necesarios (Privacidad por defecto).
• Nombrar un Delegado de Protección de Datos (DPD), cuyas funciones principales sean asesorar a la entidad en todo lo relativo al cumplimiento normativo en materia de protección de datos, actuar como punto de contacto con las autoridades de control y con los interesados en todo lo que tenga relación con el tratamiento de sus datos personales. Su existencia será obligatoria tanto cuando el responsable del tratamiento de datos sea un organismo público, como cuando entre las actividades principales del responsable figuren, bien operaciones de tratamiento de datos que requieran una observación habitual y sistemática de interesados a gran escala[1] o bien el tratamiento a gran escala de datos sensibles[2].
• Llevar a cabo un procedimiento especial de evaluación, denominado Evaluación de Impacto (EIPD), con carácter previo a la puesta en marcha del tratamiento de datos personales, cuando dicho tratamiento pueda entrañar un alto riesgo para los derechos y libertades de los interesados.
• Notificar las violaciones de seguridad de los datos que se produzcan a la autoridad competente, en España la Agencia Española de Protección de Datos (AEPD), a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

Para llevar a cabo las actividades de adecuación al nuevo Reglamento que en cada caso concreto se requieran, tanto las asociadas a cada uno de los puntos de actuación antes mencionados como las que resulten necesarias para adaptarse a todas sus precisiones normativas, es aconsejable realizar siempre un análisis preliminar basado en la situación particular de la entidad en materia de tratamiento de datos personales. En función de esa situación, será suficiente una sencilla autoevaluación llevada a cabo por el propio personal de la entidad, analizando por ejemplo la valoración simplificada elaborada por la AEPD[3], si se trata de una empresa que solo realiza tratamientos básicos, sin incorporar datos sensibles, sobre los datos de sus empleados, clientes y proveedores, o, por el contrario, se requerirá un análisis más detallado para el que resultaría aconsejable contar con el asesoramiento profesional de especialistas en protección de datos.

[1] La valoración del concepto “a gran escala”, que es un concepto jurídico indeterminado y, por ello, de valoración jurisprudencial, debe realizarse teniendo en cuenta el número de interesados afectados, el volumen y la variedad de los datos tratados, la duración y permanencia del tratamiento, así como su extensión geográfica. A modo de ejemplo y a falta de determinar el umbral entre lo que se considera o no “gran escala”, sí se considera así el tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital y no se considera así el tratamiento de datos de pacientes a cargo de un médico.

[2] Son datos sensibles los relativos a salud, vida sexual, origen racial, ideología política, creencias religiosas o filosóficas, afiliación sindical, datos genéticos y biométricos e infracciones penales

[3] Guía del Reglamento General de Protección de Datos para Responsables del Tratamiento, Capítulo 10: Lista de verificación simplificada

Sin embargo, una vez que el usuario ha aceptado ceder sus datos personales a un proveedor de servicios, debería dar un paso más allá para mejorar el control efectivo de su privacidad. Está muy bien que el usuario sepa qué datos personales son susceptibles de cesión y qué valor económico tienen, pero es necesario que pueda controlar el uso real que se está haciendo de ellos. Dicho de otra manera, es necesario que pueda tener la garantía de que las aplicaciones que utiliza no están usando sus datos personales para finalidades no conocidas o facilitándolos a terceros de forma subrepticia o fuera de su control.

Al igual que el fabricante de un coche puede, por ejemplo, trucar el software embebido en el motor de éste para que en determinadas condiciones tenga más potencia a costa de contaminar por encima de los límites permitidos, todo ello con el desconocimiento absoluto por parte del conductor, el fabricante de una cámara de videovigilancia doméstica puede introducir en su firmware el establecimiento de un canal de comunicación con un servidor pirata que capture imágenes privadas del usuario sin su conocimiento. Aunque el usuario crea que tiene bajo su control el coche o la cámara, puede que realmente no sea así. De hecho, siempre se debe partir de que existe el riesgo de que una aplicación que pueda manejar datos personales lleve a cabo actuaciones ocultas con esos datos al margen de las finalidades formalmente comunicadas a los interesados.

Por eso, en relación a una aplicación cliente (que se ejecuta en el terminal del usuario), una manera efectiva de garantizar que su funcionamiento real coincide con lo que su proveedor dice que hace, es que el software que la implemente sea abierto. Es decir, es necesario que el código fuente de la aplicación sea accesible y, por tanto, que su funcionalidad completa sea comprobable por la comunidad de desarrolladores de software, así como que la compilación de ese código fuente tenga como resultado un código objeto cuya función hash coincida con la del fichero descargable correspondiente a dicha aplicación. Un servicio que funcione completamente en redes P2P (peer to peer o extremo a extremo), es decir, sólo mediante aplicaciones cliente, y siempre que el software que las implemente sea abierto, permite conocer su funcionamiento real y garantizar así su transparencia y el control de los usuarios sobre su privacidad.

Sin embargo, por regla general resulta problemático desarrollar aplicaciones que funcionen completamente en redes P2P, ya que es frecuente la necesidad de disponer de repositorios comunes o de bases de datos cuya implementación de forma distribuida resulta compleja, siendo más fácil de realizar en servidores controlados por el proveedor del servicio. En estos casos, es necesario que el software que corre en los servidores del proveedor, si no es abierto, sea al menos auditable, aunque ello no garantizaría que el proveedor no pueda conmutar ese software por otro oculto una vez finalizada la auditoría. Una manera de paliar esta debilidad consistiría en reducir al mínimo la funcionalidad requerida del software ejecutado en servidores en lo que respecta al tratamiento de datos personales y/o definirla mediante protocolos estándar, de forma que pudiera ser implementada por diversos proveedores, como ocurre con los servicios de correo electrónico o de acceso web.

Los servicios basados en aplicaciones de código abierto tienen a su favor la transparencia en su funcionamiento frente a las aplicaciones de código cerrado, de forma que esa característica les permite competir de forma ventajosa aun a costa de tener que evolucionar su modelo de negocio, evitándose de esta manera el riesgo de tratamiento indiscriminado de datos personales fuera del control por parte de sus titulares.

Recientemente han surgido iniciativas, como la plataforma Aura, que han venido también a poner el foco en el valor de los datos personales pero desde el punto de vista de los usuarios de estos servicios, prometiéndoles la posibilidad de gestionar sus datos según sus intereses, lo que les permitiría a su vez ser más conscientes de su valor. En esencia, esta iniciativa no hace más que seguir el nuevo tratamiento facilitador de la portabilidad de los datos recogido en el considerando 68 y en el artículo 20 del RGPD.

Hasta ahora, viene siendo un lugar común considerar gratuitos muchos servicios en Internet en los que el proveedor del servicio en cuestión solicita al usuario la cesión de sus datos, sin que éste sea plenamente consciente de que dicha cesión supone, en realidad, un pago en especie por el servicio recibido. Pago que no sólo se hace de forma prácticamente inconsciente por parte del usuario, sino que en ocasiones es sin duda superior al valor del servicio recibido por el usuario, a juzgar por los sustanciosos beneficios que dichos datos reportan al proveedor. Es evidente además que al tratarse de un mercado en el que el precio de estos servicios es cero, las leyes de la libre competencia no funcionan y de ahí que se den frecuentemente situaciones de monopolio de facto.

Independientemente de que esta especie de trueque de datos personales por servicios escape al tratamiento fiscal de lo que en puridad se trataría de una doble transacción comercial, algo que sería tema para una discusión independiente, llama la atención cómo ha podido pasar aparentemente desapercibida para muchos operadores la base real de un negocio tan lucrativo.

Así, las operadoras de telecomunicaciones en su rol de proveedores de acceso a Internet, han estado preocupadas de forma obsesiva durante todos estos años en denunciar el uso, que ellas consideran abuso, que de sus redes han hecho los proveedores de servicios en Internet, los denominados OTTs, para proporcionar sus servicios a los usuarios finales. Su empeño en conseguir una participación en la tarta de ingresos de los OTTs, mediante un pago directo en compensación por el uso de sus redes, ha tenido claramente un éxito nulo.

De la reciente iniciativa Aura parecería deducirse que por fin una operadora ha vislumbrado una manera efectiva de capturar valor a partir de esa fuente real del negocio de los servicios en Internet que son los datos personales, provocando un cambio en la estrategia de esta operadora. Puede que esta nueva estrategia suponga asumir que “si no puedes con tu enemigo, únete a él”, aunque también podría suceder que fuera algo más sibilina y de ahí la respuesta algo intempestiva que la iniciativa ha tenido. El tiempo, no más de un año según afirman, nos sacará de dudas.

Lo que sí que parece probable es que esta iniciativa permita abrir definitivamente el melón de la monetización por los usuarios de sus datos personales, algo que sin duda supondría un hecho de enorme trascendencia en el ecosistema de los servicios en Internet y que podría dar lugar a la aparición de una verdadera competencia entre servicios digitales, si bien la situación monopolística de partida de muchos de ellos sin duda lo dificultaría.

El usuario podría así visualizar claramente el valor económico de sus datos personales que residen en la plataforma y utilizar ese valor para lo que él quisiera, entre otras posibilidades para comprar un servicio en Internet sin que su precio tuviera que ser necesariamente el mismo que el precio de los datos que el usuario proporciona al prestador, como ocurre de facto ahora con los servicios “gratuitos”. Esta percepción incipiente del usuario acerca del valor de sus datos personales sería trasladable a los datos que otros proveedores de servicios quisieran obtener del usuario o de sus equipos, lo que propiciaría un punto de partida para la aparición de un auténtico mercado de servicios en Internet, hoy en día inexistente. En mi opinión, este cambio, lejos de suponer un impedimento, facilitaría en buena medida el desarrollo de servicios en Internet que no han tenido éxito en muchos casos por no encontrar un modelo de negocio viable debido al paradigma, extendido de forma casi universal en Internet, del servicio “gratuito”, todo ello sin afectar a la continuidad de los servicios que son realmente gratuitos, que no obtienen datos de los usuarios y que se financian generalmente mediante publicidad.

Se trata en definitiva de aplicar el concepto de justicia de dar a cada uno lo suyo, evitando que este petróleo del siglo XXI sea explotado en exclusiva por las compañías “extractoras” y no por los sujetos productores.