¿Puede repetirse en España la descomunal filtración de datos privados de FacebookFacebook? Los expertos no se atreven a dar un "no" rotundo, pero aseguran que a partir del 25 de mayo será mucho más difícil. Los datos que los españoles tienen en internet -muchísimos más de lo que la mayoría es consciente- estarán más seguros a partir de esa fecha, cuando España aplicará la nueva legislación europea de protección de datos y que afectará, por supuesto, no sólo a Facebook, también a Twitter o Google. La normativa levanta dos barreras para evitar que se comercie con nuestra intimidad: las compañías tendrán que informar a sus usuarios sobre el uso que darán a la información y además deberán recibir una autorización expresa de estos. Por si los frenos fallan también se establecen sanciones que pueden llegar a los 20 millones de euros o un 4% de los ingresos anuales mundiales de esas compañías.

Mark Zuckerberg ha tenido que explicar en el Congreso de EEUU por qué no evitó la inmensa filtración de los datos personales de 87 millones de usuariosMark Zuckerbergfiltración datos personales87 millones de usuarios, un tesoro de datos recopilado por un investigador universitario con una aplicación "empotrada" en la red social y que posteriormente fue a parar a la empresa Cambridge Analytica. Esta última compañía está dedicada al marketing político digital y fue fundada por un exasesor de Trump.

Tras destaparse este escándalo en las páginas de dos periódicos, The New York Times y The Guardian, Facebook -severamente castigada en bolsa- lleva varias semanas entonando el mea culpa y anunciando auditorías y medidas correctoras para evitar que se abra otro agujero en el casco del otrora insumergible transatlántico de la red social. El último cortafuegos es una nueva exigencia de transparencia a los anunciantes que contraten sus servicios para difundir mensajes políticos. Esta medida trata de atajar el descrédito de la compañía por haber permitido, durante la última campaña electoral de EEUU, la difusión de noticias falsas diseminadas por toda la Red por una legión de perfiles falsos vinculados a Rusia. Ahora Facebook exigirá saber quién financia esa publicidad y verificará la identidad del pagador. Además, este tipo de mensajes deberán ir etiquetados como "publicidad política" y añadir el nombre de la persona o entidad que la paga. La medida va a tomarse antes de que comience, en noviembre, la carrera de las legislativas en EEUU. "Estos pasos por sí solos no detendrán a los que traten de burlar el sistema, pero harán que sea mucho más difícil para cualquiera hacer lo que hicieron los rusos en las elecciones de 2016, y se usen cuentas y páginas falsas para publicar anuncios", explicó el propio Mark Zuckerberg.

Una de las posibles consecuencias que esta crisis de privacidad desatada por una red social con casi 2.200 millones de usuarios en todo el planeta, es que Estados Unidos inicie una regulación de las plataformas digitales y de la protección de datos personales. Europa, en ese sentido, es un ámbito más estricto. Y más que lo será a partir del próximo 25 de mayo.

En la nueva normativa española, trasposición de la europea, hay varios derechos nuevos que se suman a los tradicionales que ya tenía el consumidor y que la Agencia Española de Protección de Datos (AEPD) resume en la palabra ARCO; es decir, "acceso", "rectificación", "cancelación" y "oposición" del consumidor al uso de sus datos. Una novedad es que también se otorga a los ciudadanos "una mayor protección ante empresas ubicadas fuera de la UE cuando el tratamiento de los datos personales se derive de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento". Las novedades son:

Derecho de portabilidad. Según la AEPD, en virtud del derecho a la portabilidad, "una persona que haya proporcionado sus datos a un proveedor de servicios podrá solicitar la recuperación y traslado de esos datos a otra plataforma cuando sea técnicamente posible".

Derecho de acceso. El consumidor "tiene derecho a que le informen de los fines del tratamiento, categorías de datos personales que se traten y de las posibles comunicaciones de datos y sus destinatarios". De ser posible, tiene que se informado sobre el plazo de conservación de los datos. De no serlo, de los criterios para determinar este plazo. Tiene derecho a solicitar la rectificación o supresión de los datos, limitación al tratamiento, u oponerse al mismo. Tiene derecho a presentar una reclamación ante la Autoridad de Control. Si se produce una transferencia internacional de datos tiene que recibir información de las garantías adecuada, de la existencia de decisiones automatizadas (incluyendo perfiles) y de la lógica aplicada (algoritmos) y de las consecuencias.

Derecho de oposición. El usuario podrá oponerse al tratamiento de sus datos personales. Los motivos, según la Agencia Española de Protección de Datos, son: cuando por motivos relacionados con la situación personal de usuario, debe cesar el tratamiento de sus datos salvo que se acredite un interés legítimo, o sea necesario para el ejercicio o defensa de reclamaciones. También cuando el tratamiento "tenga por objeto la mercadotecnia directa".

Derecho a no ser objeto de decisiones individualizadas. El usuario tiene derecho "a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o le afecte". Se exceptúa lo anterior cuando "sea necesario para la celebración o ejecución de un contrato". También cuando esté permitido por el Derecho de la UE o de los Estados miembros, "con medidas adecuadas para salvaguardar los derechos y libertades del titular de los datos". También hay una excepción cuando existe consentimiento explícito del titular de los datos.

Derecho de rectificación. El consumidor tiene derecho, además de rectificar los datos inexactos, "a que se completen los datos personales incompletos, inclusive mediante una declaración adicional".

Derecho de supresión. Con este derecho el ciudadano podrá exigir "la supresión de los datos personales sin dilación debida cuando concurra alguno de los supuestos contemplados. Por ejemplo, tratamiento ilícito de datos, o cuando haya desaparecido la finalidad que motivó el tratamiento o recogida. No obstante, se regulan una serie de excepciones en las que no procederá este derecho. Por ejemplo, cuando deba prevalecer el derecho a la libertad de expresión e información", precisa la AEPD.

Esta entidad recibe al año más de 2.500 reclamaciones y en su página web ofrece modelos específicos para hacer la solicitud correspondiente.