La voracidad digital convierte las leyes de privacidad en papel mojado

Páginas webs que entorpecen el acceso a los contenidos si no se aceptan las ‘cookies’, casillas marcadas por defecto, utilización de técnicas de rastreo poco conocidas por el usuario medio… en las tres horas y cuarenta minutos que los españoles pasamos pegados al ‘smartphone’ cada día, estamos expuestos, sin saberlo, a diversas prácticas que atentan contra nuestra privacidad . Los incumplimientos del Reglamento General de Protección de Datos (RGPD) y de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) se propagan por el mundo digital con el objetivo de rastrear el comportamiento de los internautas para crear perfiles que puedan usarse para ajustar la publicidad que se mostrará . A pesar de que los profesionales del ámbito académico y las autoridades competentes están desarrollando nuevas herramientas para perseguir a los infractores, aún queda un largo camino por recorrer para que sean legión los portales que implementen correctamente los requisitos establecidos en las normativas. Investigadores de la Universitat Oberta de Catalunya (UOC), la Universidad de Girona (UdG) y el Centro de Investigación en Ciberseguridad de Cataluña (Cybercat) han creado un método propio basado en cuatro algoritmos y un índice con el que han analizado las 464 webs más visitadas en España, según el ranking de Alexa. Los resultados ponen blanco sobre negro: el 17,57% de los sitios presentan ‘cookies’ no esenciales seleccionadas de forma predeterminada y el 19,83% tiene un formulario de consentimiento de usuario no válido. «El incumplimiento es bastante generalizado» , lamenta Albert Jové , profesor colaborador de los Estudios de Informática, Multimedia y Telecomunicación de la UOC y uno de los autores del trabajo. En concreto, solo el 8,61% de las webs que recogen bien el consentimiento de los usuarios lo aplican con éxito en la práctica y la amplia mayoría, el 94,06%, emplea algún tipo de ‘cookies’ sin el consentimiento previo de la persona . «Hasta hace poco las sanciones por este tema eran casi inexistentes y a día de hoy no existe una fuerte conciencia de que se tiene que cumplir. Falta cultura de la privacidad en general y, en particular, de las ‘cookies’», dice. Existen diferentes razones que pueden explicar por qué las plataformas en línea infringen la normativa. En primer lugar, Paula Garralón , asociada en el departamento de Commercial en el despacho Bird & Bird, aclara que las ‘cookies’ están reguladas tanto por la Directiva ePrivacy (transpuesta en España mediante la LSSI) como por el RGPD (el uso de ‘cookies’ implica el tratamiento de datos personales). «Dado que existe tanta dispersión normativa, y pese a los esfuerzos del Comité Europeo de Protección de Datos, en la actualidad no hay un criterio único aplicable a las empresas en Europa en cuanto al uso de las ‘cookies’ y esas páginas probablemente pertenecen a grupos empresariales con presencia en todo el continente», afirma. Otro de los motivos que identifica la experta es que la ciudadanía adolece de un desconocimiento sobre sus derechos en materia de privacidad y, en particular, sobre qué son las ‘cookies’, lo que se traduce en un escaso ejercicio de derechos. Noticia Relacionada estandar No El factor humano aún marca diferencias en la era digital del negocio publicitario Alberto Velázquez La gestión de los datos ha revolucionado el sector, pero la intuicion, la creatividad y el conocimiento de las motivaciones de clientes y consumidores todavía son claves Las consecuencias a las que se enfrentan las empresas tampoco ayudan a erradicar el problema de los incumplimientos relacionados con las ‘cookies’. «Cuando existe una normativa general, como el RGPD, y una normativa especial, como la LSSI, el régimen sancionador aplicable es el de la ley especial . Así, mientras el régimen sancionador del RGPD contempla multas de hasta 10 y 20 millones de euros, en el caso de la LSSI el máximo que se puede imponer es de 30.000 euros y es raro que en la práctica se imponga la máxima sanción. Es un hecho que el régimen sancionador no es elevado», subraya. Cabe recordar que está en tramitación un reglamento que aspira a regular este ámbito, pero la negociación se encuentra bloqueada y no se espera que se apruebe ni este año ni el que viene. A falta de que se produzcan cambios regulatorios en el corto plazo, Garralón cree que noticias que han tenido una gran repercusión como la prohibición de Google Analytics en Austria, Francia e Italia, al entender que la transferencia de datos a Estados Unidos incumplía el RGPD, pueden contribuir a que los portales web se preocupen más por este tipo de temas. En nuestro país, la Agencia Española de Protección de Datos (AEPD) es el organismo competente para garantizar el cumplimiento del RGPD y de la LSSI. En 2021, último año con datos oficiales, impuso 24 multas por infracciones relacionadas con la instalación de ‘cookies’ , es decir, infracciones de la LSSI (artículo 22.2), según informan a este diario. «Respecto al uso de ‘cookies’ por parte de prestadores de servicios de la sociedad de la información, la LSSI es la ley especial aplicable, con independencia de si las ‘cookies’ tratan datos personales o no », comienzan por aclarar fuentes de la Agencia. Sin embargo, en el caso de servicios de la sociedad de la información donde la utilización de la información relacionada con el uso de ‘cookies’ se emplee en el marco de tratamientos de datos de carácter personal, es de aplicación lo establecido en el RGPD y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (Lopdgdd) para todo aquello no regulado en la LSSI, como son los aspectos relativos a aplicación del principio de responsabilidad proactiva, la contratación de encargados del tratamiento, transferencias internacionales, u otros. En el supuesto de que la entidad titular del sitio web no se considere prestador de un servicio de la sociedad de la información, si la información obtenida por la utilización de las ‘cookies’ se emplea en el marco de tratamientos de datos de carácter personal, se aplicará el RGPD y la Lopdgdd aunque no se aplique la LSSI. Reclamaciones como venganza a las empresas Leandro Núñez, abogado especializado en protección de datos en Audens, asegura que en España el grueso de los ciudadanos reclaman «no porque se sientan dañados en su privacidad sino porque la empresa les ha jugado una mala pasada y buscan la vía de hacerle daño». Un extremo refrendado por Francisco Pérez, socio de Derecho Digital en Ecix Tech, quien comenta que, según el informe de sanciones correspondiente a 2022 publicado por la firma, España es el país europeo que más sanciones impone, en general, en materia de protección de datos, aunque por importe, se sitúa por detrás de otros, que imponen pocas sanciones, pero que alcanzan los cientos de millones de euros. «Una conclusión a la que se puede llegar es que, en no pocas ocasiones, la denuncia ante la AEPD se emplea por el consumidor como una venganza contra el mal servicio recibido de una empresa, cuando no debiera ser así». En la práctica, dice Pérez, el regulador español no actúa de oficio, sino que suele requerir una denuncia previa por parte de un afectado , si bien nada obsta a que pueda realizar análisis globales sobre el estado de situación de las webs activas, empleando para ello herramientas adecuadas de monitorización . ¿Qué papel juega el avance tecnológico en el proceso de vigilancia? «Técnicamente –continúa– hay cada vez más herramientas para poder conocer qué ‘cookies’ se instalan al visitar una página web y si su instalación respeta la obligación de previo consentimiento que exige la ley». Del lado de las empresas, para poder determinar el nivel de cumplimiento y actualización de las políticas y cláusulas, asegura que la herramienta MiA , una inteligencia artificial que detecta brechas legales en las organizaciones, es la que, a día de hoy, ofrece mayores garantías cuando se trata de mantener permanentemente actualizadas las políticas y clausulados en las webs, reduciendo el riesgo de sufrir reclamaciones y sanciones. Por su parte, Leandro Núñez , abogado especializado en protección de datos en Audens, señala que el Supervisor Europeo de Protección de Datos ha desarrollado Website Evidence Collector , una herramienta de software de código abierto para la automatización de las inspecciones de privacidad y protección de datos personales de las webs, a la que ya recurren las agencias de las diferentes geografías. Las tretas que persiguen son muy variadas. Los algoritmos utilizados en el mencionado estudio, en el que participan investigadores de la UOC, revelan que, además del uso incorrecto y no consentido de ‘cookies’ , las webs más visitadas en España usan técnicas de rastreo poco conocidas por el usuario medio sin informarle de las mismas. El 90,26% se servían de ‘web beacons’ , que no son ni más ni menos que imágenes inapreciables a la vista por su tamaño y color que se descargan al visitar un sitio web pero que están almacenadas en un segundo sitio y que permiten al titular de ese segundo sitio registrar la visita del usuario mediante la información que el navegador de éste proporciona al descargar la imagen (dirección IP, sistema operativo, versión de navegador, etc.). Huella del dispositivo Los sitios webs también emplean las conocidas como técnicas de ‘fingerprinting’ , es decir, de toma de la huella digital del dispositivo. «Permiten distinguir un equipo de otro sin necesidad de instalar ninguna ‘cookie’ gracias al análisis de distintos parámetros como tipos de letras, versión del navegador, tamaño de pantalla… Es una tecnología muy poderosa desde el punto de vista del marketing porque posibilita perseguir al usuario y mostrarle publicidad personalizada», detalla Leandro Núñez, de Audens, al tiempo que insiste en que su empleo sin consentimiento es ilegal. Las proyecciones de los expertos de cara a futuro están lejos de ser halagüeñas. «Hace tiempo que venimos informando de movimientos de la industria publicitaria centrados en la sustitución de las ‘cookies’ por otras alternativas , pero lo cierto es que, aunque la tecnología cambie, no lo hará el interés de la industria, y mucho menos el de las grandes plataformas, por captar información de valor comercial relacionada con los consumidores, por lo que no parece previsible un cambio de escenario sustancial a este respecto», indica Francisco Pérez, de Ecix Tech, para quien es revelador que el legislador europeo introduzca en el futuro Reglamento sobre inteligencia artificial referencias al riesgo de mensajes subliminales, que hasta la fecha era una figura recogida en la normativa publicitaria, aunque sin un reflejo real en la práctica. «Todo indica que, con la aparición de nuevos escenarios tecnológicos, la tendencia vaya a ser la de acrecentamiento del problema», advierte el experto. El paquete normativo en vigor para blindar la privacidad de los usuarios se diluye ante la voracidad de unos gigantes digitales que tratan de maximizar su rendimiento económico a costa de burlar los requerimientos legales.