El nuevo Reglamento General de Protección de Datos (RGPD) reconoce que resulta muy difícil para las personas tener el control de la enorme cantidad de datos personales que han compartido. Sin embargo, para solucionar este problema, les pide que controlen una cantidad igualmente enorme de acuerdos de privacidad.
Como sugiere la propuesta de RGPD, “la rápida evolución tecnológica y la globalización han supuesto nuevos retos para la protección de los datos personales. Se ha incrementado de manera espectacular la magnitud del intercambio y la recogida de datos. […] Los individuos deben tener el control de sus propios datos personales y se debe reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas”.
Hasta aquí, todo bien. Es cierto que los actuales avances tecnológicos requieren que las personas compartan más y más datos online. También parece justo que esos datos personales pertenezcan a las personas, que deberían tener el control sobre cómo y cuándo se utilizan. Por tanto, en espíritu, todo tiene sentido.
Ahora veamos la implementación práctica de la parte del GDPR que alude a cómo ejercen las personas el control de sus datos personales. En la práctica, a lo que todas se enfrentaron fue a una avalancha de correos electrónicos verdaderamente largos. Todos y cada uno de ellos explicaban los derechos que tienen los individuos con el GDPR e incluían todo tipo de información relacionada. Cada correo electrónico también les solicitaba que indicaran si estaban de acuerdo con el uso descrito de sus datos personales.
Un elevado porcentaje de las personas, tal vez incluso la gran mayoría, no son conscientes de sus derechos de protección de datos personales y, por tanto, no pueden hacerlos valer.
Expectativas ¿razonables?
De nuevo, en teoría, eso está bien. Todos tuvieron la oportunidad de revisar sus derechos y de indicar que no estaban de acuerdo con el uso de sus datos. ¿O era cosa de ellos? Una encuesta a pequeña escala realizada por algunos de mis alumnos1 reveló que el 60 % de los encuestados no leyó los acuerdos de privacidad que se le enviaron y que el 25 % los leyó durante un minuto o menos, una cantidad minúscula de tiempo dada la longitud de estos textos. Además, el 60 % de los encuestados no leyó el propio RGPD en absoluto. De ellos, el 83 % no lo leyó porque era demasiado largo y el 84 % dijo que lo habría leído si hubiera sido más corto.
Aunque no podemos afirmar que esta muestra sea representativa, estas cifras sugieren que un elevado porcentaje de las personas, tal vez incluso la gran mayoría, no son conscientes de sus derechos de protección de datos personales y, por tanto, no pueden hacerlos valer, ya que el reglamento que protege estos derechos es demasiado exigente. Desde este punto de vista, el RGPD parece fallar, al menos por ahora.
¿Cuál es exactamente el problema? Después de todo, el RGPD solo espera que las personas dediquen tiempo a informarse y a ejercer sus propios derechos. ¿Es razonable esta expectativa? Permítanme citar de nuevo la propuesta del RGPD: “Se ha incrementado de manera espectacular la magnitud del intercambio y la recogida de datos”. Por tanto, no: esperar que las personas lean cuidadosamente una montaña de acuerdos de privacidad muy extensos relacionados con una cantidad de información que “se ha incrementado de manera espectacular” no suena razonable.
Reunamos las piezas: por un lado, dada la masiva escala del intercambio de datos, el RGPD tiene como objetivo dar a las personas el control de sus datos personales, pero, por otro, lo hace exigiendo que controlen un número igualmente masivo de acuerdos de políticas de datos. En otras palabras, el RGPD reconoce que resulta difícil para las personas tener el control de la gran cantidad de datos personales que han compartido; sin embargo, para solucionar este problema, la ley les pide que controlen una cantidad igualmente masiva de acuerdos de privacidad.
El RGPD tiene como objetivo dar a las personas el control de sus datos personales, pero lo hace exigiendo que controlen un número igualmente masivo de acuerdos de políticas de datos.
Hazlo fácil
Desde esta perspectiva, ¿qué efectos podría tener el RGPD a medio y largo plazo? En primer lugar, cualquier empresa puede cumplir fácilmente el RGPD. El principal requisito es enviar a los interesados un largo correo electrónico en el que la empresa les explique todos sus derechos y les dé la oportunidad de prohibirle que utilice sus datos. En segundo lugar, con toda probabilidad, la mayoría de los destinatarios no leerán estos correos electrónicos y simplemente aceptarán lo que se les pida. Por tanto, la mayoría de las personas no sabrán cuáles son sus derechos reales y cómo ejercerlos. En tercer lugar, aunque en teoría todos los datos personales se utilizarán con el consentimiento de los interesados, en la práctica, este consentimiento es aparente, ya que (previsiblemente) la mayoría de las personas desconocen en qué han consentido.
Permítanme terminar citando el mantra de Richard H. Thaler, ganador del Premio Nobel de Economía en 2017: “Si quieres que la gente haga algo, hazlo fácil. Elimina los obstáculos”. En este caso, si quieres que las personas realmente lean y ejerzan sus derechos, házselo más fácil. Leer –y estar de acuerdo con– docenas de acuerdos de privacidad de miles de palabras es algo que las personas, previsiblemente, no harán.
1 Me gustaría dar las gracias a Alex Mtaini, Claudia Hubert, Ernesto Cifaldi, Ioannis Panagiotis Kipouros, Pablo Carbonero y Ram Agarwal (graduados del IE Master in International Management) por su interesante trabajo sobre este tema y por permitirme recoger algunos de sus resultados en este artículo.
© IE Insights.