El escándalo de Facebook y Cambridge Analytica sirvió, por buscarle un punto positivo, para poner de manifiesto todo lo que las empresas tecnológicas saben de nosotros. Hoy en día Facebook, Google o Amazon saben dónde hemos estado, quienes son nuestros amigos y cuáles son nuestras costumbres. También dónde vivimos y en qué trabajamos.

Todo eso no es nuevo, llevan haciéndolo años con nuestro consentimiento. Pero la filtración de casi 90 millones de cuentas sí que ha hecho pensar a los millones de usuarios de estos servicios que es necesario hacer una mejor gestión de los datos personales.

En teoría, van a tener la ley de su lado. El próximo 25 de mayo será de obligado cumplimiento la Regulación General de Protección de Datos (General Data Protection Regulation, o GDPR por sus siglas en inglés), una normativa europea en la que los 28 socios comunitarios han trabajado durante años.

Es la gran arma de la Unión Europea contra los gigantes tecnológicos estadounidenses, ya que deberán cumplirlo todos aquellas empresas que den servicio en el Viejo Continente, sin importar dónde esté su cuartel general o la bandera que lleven.

Grosso Modo, el GDPR dará al usuario más control sobre sus datos, dando más importancia a derechos como el del olvido o el de portabilidad. También cambiará la famosa casilla de términos y condiciones y pasaremos de dar un consentimiento tácito a expreso.

Ese es también uno de los puntos importantes. Se acabaron las notas legales llenas de jerga técnica y difíciles de comprender: esos términos y condiciones tendrán que ser ahora de fácil comprensión e incluso podrían ir acompañados de emoticonos e imágenes para hacer aún más sencillo que todos lo podamos entender.

También se han endurecido las multas, que a partir de ahora serán de entre el 2% y el 4% de la facturación total de la compañía en cuestión o un pago de 20 millones de euros.

Espacio en los márgenes

La DGPR es una regulación acordada por todos los miembros de la Unión Europea. Antes de su implantación cada país tenía sus propias normas y, por ejemplo, en España teníamos la Ley Orgánica de Protección de Datos (LOPD) que hasta el próximo 25 de mayo seguirá vigente.

Sin embargo, la DGPR no será exactamente igual en todos los territorios que componen el continente. Cada Estado podrá hacer cambios y modificaciones en la norma siempre y cuando no contradigan de forma expresa lo aprobado por los 28 socios.

Así, en España todavía está en desarrollo una suerte de LOPD versión dos que vendrá a ser la DGPR a la española. Igual que nuestro Congreso está en ello, también lo están los de Francia, Alemania o Italia. Cada país se encargará de hacer cumplir la normativa a las empresas que tengan su sede dentro de sus fronteras.

Ahí es precisamente donde está la gran baza de Facebook, Google, Amazon y compañía para eludir las normas europeas. Se van a saltar la ley y lo van a hacer cumpliendo la ley.

Irlanda, la gran esperanza

Dublín es el paraíso de los gigantes estadounidenses. Allí tienen su sede europea Apple o Google, por lo que tendrán que regirse por las leyes que marque el regulador irlandés.

La relación entre el país y estas multinacionales es muy estrecha. Se les acomodan las leyes tributarias para que no busquen acomodo en otros lados y sigan generando puestos de trabajo en un territorio que, hace no mucho, fue uno de los más asolados por la crisis financiera.

De hecho, es tan estrecha que las autoridades de Competencia europeas han determinado que Apple debe devolver a las arcas irlandesas más de 14.000 millones de euros en impuestos no pagados por ese régimen especial.

Lo más curioso de ese caso es que Irlanda se apresuró a decir que no era necesario que Apple pagara esa cantidad y llegó a posicionarse en contra de las decisiones llegadas de Bruselas.

Teniendo esto en cuenta, no es una locura pensar que la versión irlandesa de la GDPR no va a ser la más exigente del mundo para aquellos a los que de verdad se quiere poner coto con dicho reglamento.

Una regulación compleja

El problema de la GDPR es que es muy compleja. Ni siquiera los grandes expertos en materia de derecho o de protección de datos personales son capaces de encontrar un punto común en cuanto a la interpretación de muchos de los puntos.

En general, la sensación es que es casi imposible cumplir esta normativa de forma total. Los implicados piensan que los reguladores se darán por satisfechos siempre que vean que los puntos más importantes están cubiertos, y se limitarán a dar directrices para mejorar en el resto cuando vean que la empresa tiene la intención de cumplir.

Se darán casos, además, en los que las agencias de protección de datos de los diferentes países chocarán. ¿Qué ocurrirá cuando un ciudadano español utilice Google en Francia, teniendo en cuenta que la sede de la compañía está en Irlanda y que los servidores podrían estar en, por ejemplo, Alemania?

Por eso se va a crear una suerte de comisión de expertos donde estarán representados todos los países y que será la que tenga que lidiar con estos casos. Pero eso no evitará que se produzcan enfrentamientos, ya que cada Estado querrá defender a sus propios ciudadanos.

Este Comité será el que marque las grandes líneas de actuación y en el que habrán de fijarse todos los demás para poder estar dentro de la ley y no incurrir en multas.

Como ya ocurre con las actuales normativas, los gigantes estadounidenses tienen muchas herramientas, y en muchos casos la ayuda de los propios países, para no cumplirlas.

Con capitalizaciones que ronda el Producto Interior Bruto (PIB) anual de decenas de países y con unos ingresos enormes, su poder a la hora de generar empleo y riqueza para un territorio con menos peso económico es tan grande que es casi imposible ponerle puertas al campo.