Desde que el 20 de agosto de 2019 falleciera el juez Giovanni Buttarelli, EDPS (European Data Protection Supervisor), ha cobrado fuerza su muy relevante figura en el ámbito de la privacidad en la UE. Desde aquí, queremos recordar su discurso al ISMS Forum Spain: XXI Conferencia Internacional de Seguridad de la Información, en Madrid el 30 mayo 2019.  

Disponible en 

https://edps.europa.eu/data-protection/our-work/publications/speeches-articles/deception-design-giovanni-buttarelli_en 

Ante todo, muchas gracias por la invitación a dar esta breve intervención. 

Me sentí complacido y algo extrañado, cuando Daniel García Sánchez me pidió que compartiera algunas reflexiones sobre la temática de «engañado por diseño». 

Este es un título provocativo, porque, como saben, una de las innovaciones del GDPR es la «protección de datos por diseño». 

El artículo 35 del RGPD crea la obligación legal sobre el responsable de implementar los principios de la protección datos desde el momento en que se decide el tratamiento de información personal. El artículo se refiere explícitamente a la minimización de datos como un ejemplo de uno de estos principios. 

Ustedes en esta sala, como DPO y CISO (nota: chief information security officer), comprenderán mejor que nadie los esfuerzos que han sido necesarios para garantizar el cumplimiento del RGPD. Revisar las prácticas de datos de toda una organización es una gran tarea y compleja. 

El GDPR es muy preceptivo de las obligaciones de los responsables y también los encargados. Pero no es un manual y promueve la noción de rendición de cuentas. Esto significa que los responsables no deben comer en la mano del regulador o la autoridad supervisora. 

En cambio, el responsable debe ser críticamente consciente del tratamiento de datos en que la organización confía y asumir la responsabilidad cuando algo sale mal. El responsable debe reflexionar honestamente sobre los intereses de las personas cuyos datos están siendo tratados. 

Sin embargo, desde fuera, en la experiencia de la mayoría de las personas, no está claro qué ha cambiado en el último año. 

  • ¿El RGPD realmente ha cambiado nuestras vidas digitales? 
  • ¿Tenemos más confianza en que nuestros datos se tratan de manera justa, respetuosa y sin riesgo? 
  • ¿La minimización de datos y la privacidad por diseño se han convertido de repente en la norma?

Como pueden imaginar, se trata en gran medida de preguntas retóricas. El RGPD es ambicioso, pero no va a transformar los modelos de negocio de la noche a la mañana. 

Pero si soy honesto, me ha decepcionado la respuesta de muchas compañías desde mayo de 2018. Cuando pienso en los miles de correos electrónicos y ventanas emergentes que me dicen que debo hacer clic y aceptar los términos del servicio, la impresión es que la primera prioridad ha sido preservar la vieja forma de hacer las cosas. 

Luego, por supuesto, están los muchos escándalos de los últimos 18 meses, de los cuales Facebook o Cambridge Analytica, son los más destacados. Millones de datos han sido comprometidos y se afirma que estos son «errores» en el sistema. 

Pero la sospecha es un daño colateral para un modelo de negocio que se basa en el seguimiento constante de personas: maximización de datos, en otras palabras. Como resultado, las autoridades de protección de datos en Europa nunca han estado más ocupadas. 

Esta semana, el EDPB publicará las últimas estadísticas sobre el número de casos que se manejan por DPA individuales, incluidos los casos transfronterizos en la ventanilla única. Ya en marzo, había más de 255 000 casos nacionales y casi 1000 casos transfronterizos. 

Entre estos casos hay quejas de muy alto perfil que desafían todo el comportamiento del ecosistema publicitario y la base legal del tratamiento de las empresas más grandes del mundo en las redes sociales. 

Y para las personas que intentan acceder a los datos que tienen sobre ellas las grandes empresas, el proceso es a menudo difícil y el resultado menos que satisfactorio. 

Esto corrobora los resultados de encuestas e informes en todo el mundo, ya sea en Europa, EE. UU., o incluso China: la confianza en los proveedores de servicios en línea es muy baja, desafortunadamente. 

La gente está comenzando a apreciar la brecha entre las consignas de marketing y la realidad. Por tanto, ¿es la realidad «engaño por diseño»? 

Demos un paso atrás. 

Está en la naturaleza humana entrar en intercambios con el objetivo de obtener más de lo que se ofrece. En ese sentido, la desigualdad es un hecho de la vida. Sin embargo, llega un punto en el que los desequilibrios de poder se vuelven injustificables e insostenibles. 

La regulación ha evolucionado para tratar de abordar esto: regulaciones como el RGPD pero también la protección al consumidor, normas de seguridad del producto y antimonopolio. 

Los períodos de rápido cambio tecnológico tienden a aumentar estos desequilibrios. La disparidad crece constantemente entre quienes tienen el control de la tecnología, y aquellos que son los objetos del despliegue de esa tecnología. Esto ayuda a explicar por qué, en los últimos dos años la gente ha comenzado a hablar de manipulación y explotación. 

Mencioné los correos electrónicos y ventanas emergentes que claramente apuntan a empujar o intimidar a las personas a aceptar políticas de «privacidad» no negociables. Una defensa típica de las empresas es que solo están dando a las personas lo que quieren. 

La gente espera servicios gratuitos, y solo es posible si su comportamiento puede ser monitoreado y monetizado. Pero si las personas se dieran cuenta del intercambio de valor real, probablemente esperarían mucho más a cambio de lo que están recibiendo. 

Esto es visible en circunstancias triviales, como cuando estás considerando alquilar un coche o reservando un hotel. Si se toma su tiempo, comienza a ver mensajes de advertencia: 

  • ¡Dese prisa! Otras 10 personas están mirando este hotel!, o también 
  • ¡No esperes hasta que sea demasiado tarde! No pierdas el ahorro de hoy.

¿Es esto sincero? ¿Cómo podemos saberlo? 

Los sitios de comercio electrónico intentan asustarle para que haga una compra y colocan ‘importante información «sobre los términos y condiciones en las partes de la pantalla que usted es menos probable de vea. 

El Consejo de Consumidores de Noruega el año pasado publicó un estudio detallado sobre los “patrones de oscuridad «que intentan seducirle para que acepte las prácticas de datos que se encuentran de parte de los intereses del proveedor del servicio. Tientan a hacer clic en el botón azul «aceptar», en lugar del gris y tedioso botón de la alternativa de «administrar la configuración». 

¿Algo de esto es ilegal? 

Posiblemente, pero no necesariamente. Dichas prácticas serán probadas en los tribunales en los próximos años. Pero es decepcionante que tengamos que esperar los litigios. 

En cambio, Europa debería innovar de manera que permita a las empresas ganarse la confianza de las personas de nuevo. Un primer paso sería reconsiderar lo que entendemos por consentimiento, que debe ser específico, informado y otorgado libremente. 

Si lo que está haciendo con los datos es claramente objetable, tal vez el consentimiento no sea la base jurídica adecuada. Debe estar seguro de que tiene medidas de mitigación de riesgos, que considerando los mejores intereses del interesado individual, por lo tanto, apunte a confiar en los fundamentos de los intereses legítimos legales. 

Mi predicción es que a medida que se termina con el RGPD y que el resto del mundo cada vez más emula los estándares de Europa, veremos surgir algunos nuevos modelos de negocio, donde la protección de datos por diseño está visiblemente en juego. Dependerá de los reguladores y las autoridades de supervisión apoyar dicha innovación. 

Gracias por su atención y mis mejores deseos desde Bruselas para un exitoso día de discusiones.