Este 25 de mayo la Unión Europea ha puesto en marcha una normativa para establecer algún control sobre el manejo indiscriminado de datos por parte de las plataformas digitales y para conseguir una cierta protección de la privacidad. Aunque insuficiente, ya era hora y vamos muy tarde. El nuevo Reglamento de Protección de Datos fue aprobado en 2016, pero se diseñó un periodo de adaptación de dos años, siendo plenamente vigente a partir de ahora. Significa un avance normativo en relación a la protección de los derechos individuales, poniendo un cierto límite a la mercantilización de datos sin consentimiento de los usuarios, pero hay más que serias dudas sobre sus efectos reales, ya que gran parte del manejo del Big Data está fuera del alcance administrativo y territorial de la UE, pero también porque la filosofía que contiene este reglamento apela más que nada en el voluntarismo y la autorregulación, lo que no suele ser nunca garantía de cumplimiento. El hecho de que el 90% de los datos extraídos de ciudadanos europeos sean tratados fuera de la comunidad europea le resta ya bastante eficacia, así como a que no existe ningún registro donde se pueda consultar qué empresas tienen nuestros datos. Conceptualmente, el cambio más interesante es que las plataformas deben disponer de nuestro consentimiento explícito, y no sólo tácito como hasta ahora, para utilizar nuestros datos personales. Todas ellas ya se han dirigido a los usuarios con la petición expresa, con formales compromisos de respeto a la privacidad y con promesas de transparencia. El problema es que, como en la aceptación de la invasión de cookies en nuestro ordenador, es una petición en línea de la que la mayoría nos damos por enterados y aceptamos sin siquiera una lectura previa del documento.

También se adquiere, al menos sobre el papel, el derecho de supresión de información en línea sobre nosotros, aunque el control de esto es casi imposible y, además, las empresas pueden alegar «interés legítimo», para no hacerlo y así seguir utilizando nuestra información personal. Entrar en Google y consultar el apartado «mi cuenta», sobre todo si nunca hemos introducido restricciones de privacidad, nos puede provocar un infarto comprobar de lo que disponen. Tienen todo nuestro historial en la web, el cual, aunque decidamos su borrado, no desaparece de la «caja negra» de Google, así como nuestro perfilado hecho del saqueo de nuestro correo electrónico. También podemos obtener que Facebook nos envíe nuestros datos que ha acumulado, pero sin ninguna garantía de supresión. Nos sorprenderá saber que registra nuestras horas de conexión, los dispositivos y las direcciones IP de cada conexión realizada, la agenda de contactos, los mensajes privados, los comentarios en las publicaciones y fotos compartidas, la lista de temas que considera interesan a cada persona, las apps utilizadas, los «me gusta» clicados y la localización por GPS. Ahí es nada. De Twitter puedes saber la lista de anunciantes al que la red social ha facilitado tu nombre como cliente potencial, una lista de la que, sin embargo, es imposible salir.

El General Data Protection Regulation (GDPR), que es el nombre de este nuevo marco de referencias europeo respecto de los datos y la privacidad, establece algunos principios notables: la propiedad personal de los datos, la privacidad, el Derecho al Olvido o la portabilidad al cambiar de plataforma. Obliga que seamos informados sobre el uso específico que se dará a nuestros datos y por parte de quién. Pero, aunque prevé sanciones relativamente importantes en los casos de incumplimiento que pueden llegar al 4% de la facturación o al montante de 20 millones de euros, o bien que se facilitan los trámites de denuncia, el control de cumplimiento es prácticamente imposible para una auditoría que queda en manos de la buena voluntad y la iniciativa de las propias empresas. Un código de conducta, con algunos protocolos de actuación, que probablemente irá poco más allá que servir para tomar conciencia de que el historial de nuestra vida ya hace tiempo que ha dejado de ser nuestro. Quizás algunos tomemos algunas precauciones de desconexión y una cierta cautela, pero que en general significará «renovar los votos» de nuestro noviciado con las empresas de internet. Justamente este es un negocio establecido sobre la apropiación y comercio de nuestros datos. Parece ingenuo creer que esta ley le pondrá freno.