¿Pueden Facebook y Google sobrevivir al RGPD?
[su_pullquote align=»right»]Por Gregory Voss y Kimberly Houser[/su_pullquote]
El debacle que supuso Cambridge Analítica y la consecuente audiencia en el Senado de Estados Unidos reveló sin duda alguna que los Estados Unidos no tiene leyes de privacidad de datos adecuadas. A pesar de la grandilocuencia de los Senadores, éstos demostraron una falta de entendimiento no solo sobre el funcionamiento de la economía de datos, sino también de las leyes de su propio país.
Cuando el Reglamento general de protección de datos (RGPD) de la Unión Europea (UE) fue aplicable el 25 de mayo de 2018, la disparidad entre las leyes de Estados Unidos y las de la UE se pusieron de manifiesto. En nuestro documento de trabajo, GDPR: The End of Google and Facebook or a New Paradigm in Data Privacy? programado para la edición de otoño del Richmond Journal of Law and Technology, exploramos estas diferencias en términos de ideología, la adopción de medidas y las leyes en sí.
El modelo de negocio tecnológico americano se basa en dar servicios gratuitos a cambio de los datos personales del usuario. Esto concuerda con la ley de protección de datos de Estados Unidos, que es específica para cada sector, lo cual significa que solo ciertos tipos de datos, como los datos médicos o financieros, están protegidos pero solo dentro de los límites estipulados por el estatuto correspondiente. En Estados Unidos no existe una ley federal general de privacidad de datos para el sector privado. La Comisión Federal del Comercio (FTC), la autoridad sobre privacidad de facto en Estados Unidos, tiene un historial de emprender acciones judiciales contra empresas tecnológicas bastante escaso. Históricamente, solo en los casos en los que una compañía proporciona una política de privacidad y luego la incumple ha tomado acción en su contra bajo el Artículo 5 de la ley del FTC respecto a “prácticas engañosas e injustas”.
El modelo europeo de privacidad de datos tiene como base fundamental los derechos humanos, siendo fundamental tanto la privacidad como la protección de datos. Bajo el predecesor del RGPD (la directiva de 1995), fueron muchas las acciones que se tomaron contra compañías tecnológicas estadounidenses por violaciones de leyes de los estados miembros de la UE. A pesar de esta larga historia de éxito de acciones legales, estas compañías tecnológicas estadounidenses no han cambiado significativamente su modelo de negocio con respecto a la obtención de datos de la UE. Esto se debe a las bajas multas máximas previstas en la legislación de los Estados miembros (por ejemplo, una multa de 150.000 euros en Francia para una empresa valorada en 500.000 millones de euros).
La ideología estadounidense detrás de la privacidad de datos es equilibrar la habilidad de una entidad de monetizar los datos que recoge (fomentando así la innovación) con la expectativa de los usuarios sobre privacidad (siendo esas expectativas, al parecer, bastante bajas en Estados Unidos) mientras que en la UE, el foco está en proteger las privacidad de los usuarios. Un buen ejemplo de esta dicotomía es el caso Google en España. Un ciudadano español pidió que se quitara del buscador de Google cierta información, algo que bajo la ley de la UE está permitido. Google se opuso a su petición en el tribunal. Por una parte estaba la libertad de expresión (fundamental en Estados Unidos) y el derecho del público a saber reivindicado por Google, y por la otra, el derecho Europeo a la privacidad y al ser olvidado que argumentaba el demandante Europeo. El Tribunal de Justicia Europeo dictaminó que el equilibrio de intereses se inclinaba a favor de la privacidad del español.
Como explicamos en nuestro artículo, la leyes federales de Estados Unidos son específicas para cada sector y las áreas principales son la información sobre sanidad (la ley Health Insurance Portability and Accountability Act o “HIPAA”), la información financiera (la ley Gramm-Leach-Bliley) la información sobre créditos (la ley Fair Credit Reporting Act) y la información sobre menores (la ley Children’s Online Privacy Protection Act o “COPPA”). Además los estados han también promulgado diversas leyes de seguridad de datos destinadas a requerir notificaciones de la violación de la seguridad de los datos.
El enfoque europeo, por otro lado, ha sido siempre mucho más general. La directiva de 1995, por ejemplo, requería a cada Estado miembro de la UE adoptar unas leyes de protección de privacidad integrales que cumplieran con los objetivos de la Directiva. Mientras que la adopción de una directiva permitía flexibilidad en cada estado miembro para la creación de las leyes de privacidad, en 2012, la Comisión Europea determinó que se tenía que actualizar la ley. El RGPD fue promulgado para: armonizar las legislaciones de los Estados miembros, incorporar los avances tecnológicos, eliminar las cargas administrativas para las empresas y, como se afirma en nuestro documento, establecer un marco de igualdad para las empresas de tecnología que usan los datos personales de personas localizadas en Europa.
Dado que las empresas de Estados Unidos han podido monetizar sus datos con muy pocas restricciones o consecuencias, se convirtieron así en gigantes en el campo tecnológico con una cuota de mercado del 80% para Facebook y del 90% para Google. Sin embargo, las normas se han actualizado con respecto a los datos de la UE. El RGPD requiere, entre otras cosas, un consentimiento verificable antes de utilizar los datos de un usuario y el consentimiento para cada uso secundario. En los Estados Unidos no existe un requisito similar; las compañías que operan bajo la ley de los EE.UU. dependen principalmente de un mecanismo de exclusión voluntaria y no están obligadas a revelar los usos secundarios de sus datos. El RGPD también proporciona un derecho al olvido, un derecho a la portabilidad de los datos, la posibilidad de optar por no participar en las decisiones automáticas de las máquinas (elaboración de perfiles), y requiere una base legal para el procesamiento de los datos. Ninguno de estos derechos se conceden a los ciudadanos de los Estados Unidos bajo su ley federal.
Debido a que el RGPD tiene un alcance extraterritorial, la ley se aplicará independientemente de dónde se encuentre la empresa si recoge o procesa datos personales de personas que se encuentran en Europa, si el procesamiento se refiere a la oferta de bienes o servicios (ya sean de pago o “gratuitos”) a dichos “interesados” o a la monitorización de su comportamiento, en la medida que dicho comportamiento tenga lugar en la UE. Esto plantea una cuestión: ¿será el RGPD el fin de Google o Facebook o presentará un nuevo paradigma en la protección de privacidad? Esto queda por ver. De todos modos, dado que bajo el RGPD las multas se moverán en el rango de los mil millones de euros, en lugar de en el rango de los miles como en el pasado, parece probable que el modelo de negocio de estadounidense (servicio por datos) necesitará adaptarse, al menos, con respecto a los datos de la UE.
Este artículo fue publicado originalmente en Oxford Business Law Blog.