Decía Jaron Lanier, considerado por muchos el padre de la realidad virtual: "Echo de menos el futuro". Y quería decir con ello que añoraba aquellos años en los que el ‘futuro’ cibernético tenía más que ver con androides y coches voladores que con robo de datos y control de masas. Asistimos a una digitalización de la sociedad que ha cambiado por completo no solo los procesos de interacción social, sino también las relaciones políticas. El escándalo de Cambridge Analytica resume todo lo que está mal en esta era de la información: más de 50 millones de perfiles de Facebook fueron recolectados por una herramienta con el fin de configurar perfiles psicológicos que luego fueron vitales para orquestar campañas políticas. A ellos se les dirigieron mensajes específicamente diseñados con el fin de influir en unas elecciones. En las de Estados Unidos, para dar la victoria a Donald Trump, o en el referéndum del Reino Unido, para lograr un sí al ‘brexit’. Los datos son, como resume el sociólogo aragonés Chaime Marcuello, "la dinamita del siglo XXI. Al igual que ese invento, pueden usarse para el bien o para el mal".

En el caso de Cambridge Analytica, más que dinamita ha sido una bomba atómica de cien megatones. "Había equipos de creativos, diseñadores, productores de vídeo, fotógrafos. Ese contenido creado se enviaba a un equipo de ‘targeting’, que lo acabaría “inyectando en internet”. Se crearían sitios web, blogs, lo que creyéramos que ese perfil necesitara para ser receptivo, lo crearíamos para que lo encontrase. Y entonces lo verían, harían clic, y seguirían adentrándose en ese agujero hasta que acabaran pensando algo distinto a lo que pensaban", describía Christopher Wylie, exempleado de Cambridge Analytica. Y la voz de la denuncia, pues ha sido él quien filtró la información del robo de datos en Facebook y su uso en las campañas de Trump y el ‘brexit’.

¿Qué hacemos, entonces, con nuestra información? ¿Cómo podemos evitar que otros vuelvan a recolectar millones de cuentas para usarlas en nuestra contra, para derrocar gobiernos o crear guerras y enfrentamiento? "Primero, aceptando de una vez que páginas web, redes sociales y correo electrónico no son gratis. Nos engañaron hace años, nos hicieron creer que nos daban todo ese servicio sin pagar nada. Y al final resulta que no eran gratis, porque la mercancía éramos nosotros", considera el abogado Pedro J. Canut, cofundador de la Sección de Derecho de Internet y Nuevas Tecnologías del Colegio de Abogados de Zaragoza, la primera sección colegial específica en España en este área. "Pero ese concepto sigue, esas grandes compañías que acumulan datos y datos nos intentan convencer de que tenemos que estar conectados continuamente, que hemos de compartir todo lo que hacemos. Incluso contenidos cuya propiedad intelectual después se quedarán ellos".

Hasta hace apenas un par de años, esos datos eran tantos y tantos que resultaban imposibles de procesar. Pero el avance de la informática y la creación de algoritmos ha permitido ordenarlos y crear consigo perfiles para entender comportamientos. Nuestra inocencia (o desconocimiento) nos ha llevado a aportar gratis nombres, apellidos y números de teléfono a través de nuestros smartphones, donde queda clara la cuenta de correo, lista de contactos... "Ojo, que los datos no son malos de por sí, con ellos se pueden hacer investigaciones. El problema está en que los acumulan sin decirnos para qué, sin darnos la oportunidad de retirarlos si no estamos de acuerdo, que los cruzan con intenciones que no nos han sido comunicadas. Ya hay software que permite analizar nuestro comportamiento, que sabe qué hacemos, dónde vamos, si entramos o no al gimnasio, que nos gusta el fútbol... La normativa europea, que era buena, ha quedado obsoleta y no nos protege de las grandes corporaciones. Por ello, el nuevo reglamento de la UE, que entra en vigor el próximo día 25 de este mes de mayo, resolverá muchos de estos problemas", destaca Canut.

Poderosos oligarcas

El derecho a la protección de datos es relativamente novedoso y se desarrolló, sobre todo, a partir de los años ochenta, cuando la Organización para la Cooperación y el Desarrollo Económicos? (OCDE) advirtió de la necesidad de analizar el valor de los datos y de proteger a los usuarios. "La Constitución española, en su artículo 18.4, ya advertía en 1978 que la ley limitará “el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”", avanza Manuel Moreno Torres, abogado y delegado de protección de datos en empresas. "En 1995 llegó la directiva de la Unión Europea, que España trasladó a través de su propia legislación. Pero la evolución de los últimos años obliga a un cambio de leyes. Algunas de esas empresas a las que damos nuestros datos se han convertido en grandes corporaciones abrasivas, poderosos oligarcas. No solo pagan pocos impuestos, sino que no nos dicen qué van a hacer con nuestros datos".

El 25 de mayo entra en vigor el Reglamento de Protección de Datos (RGPD) de la Unión Europea. Se trata de una nueva normativa que afectará a todas las empresas –estén o no establecidas en la UE– que tratan datos personales de personas residentes en la unión. Y es un reglamento: a diferencia de una directiva, que permite a los países de la UE adaptar las normas a su propia legislación, el reglamento debe trasladarse tal cual a todos los países de la Unión, lo que ya indica la importancia que se ha dado a tener un marco común en toda Europa.

¿Qué diferencias hay entre la antigua Ley Orgánica de Protección de Datos y el nuevo reglamento de la UE? Son varias, y muy importantes. "La primera que notaremos los usuarios es que ya no tendremos que leernos un enorme texto de consentimiento donde nos explican qué harán con nuestros datos –señala Canut–. El ciudadano podrá aceptar o rechazar una parte, por ejemplo. Y tendrá que ser explicado en pequeños párrafos y en lenguaje sencillo". Por otro lado, se amplían los derechos de los usuarios: al olvido (borrado de datos) y a la portabilidad, "y esto va a ser muy importante, porque afecta mucho a las compañías. Si por ejemplo estamos descontentos con una telefonía, no solo nos iremos con nuestro dinero, sino que podremos pedir que destruyan todos nuestros datos que hemos generado, lo que supone una importante pérdida para esa compañía. El nuevo reglamento insiste mucho en informar, además, de cuánto tiempo conservarán esos datos, qué harán con ellos...", señala, a su vez, Manuel Moreno Torres.

El reglamento, además, limitará qué datos damos a las empresas. Solo serán los mínimos necesarios para el fin que a ellas les ocupa. Deberán cumplir estos requisitos, especialmente, empresas del sector de internet (Amazon, Google, Facebook), centros de formación, bancos, seguros y administraciones públicas. Empresas que guardan muchísimos datos de una misma persona. Y lo que es más importante, se tendrá la obligación de hacer un análisis de riesgos antes incluso de poner en marcha el tratamiento de datos. "Pongamos como ejemplo la noticia de hace unos días, en la que se informó de que la plaza del Pilar, en Zaragoza, aumentará su seguridad con cámaras de videovigilancia –continúa Moreno–. Estamos hablando de un volumen de información importantísimo, ya que por allí pasan muchas personas. Como será una vigilancia sistemática o a gran escala, el RGPD obliga a contar con un delegado de protección de datos y a crear un documento de evaluación de impacto. Ese documento deberá destacar claramente el tratamiento de la información, su finalidad, la base legal, hacer un examen de la necesidad de poner esas cámaras y establecer las medidas para mitigar el impacto en los derechos de los ciudadanos. En países como Canadá, de gran transparencia, estos informes son siempre públicos. Aquí en el Ayuntamiento de Zaragoza esperemos que se haya nombrado a un delegado y que se haya hecho el informe".

De no hacerse y vulnerarse el derecho de los ciudadanos, las sanciones pueden ser altísimas. De hecho, Pedro J. Canut advierte de que habrá "más de una multa ejemplarizante. Y ya no hablamos de los 600.000 euros que se ponían antes y que para una gran compañía era apenas calderilla. Ahora hablamos de multas que pueden superar los 20 millones de euros o el 4% de la facturación y que sucederán".

Una burbuja

Unos expertos, como Canut, son optimistas con el nuevo reglamento. "Europa siempre ha aportado los derechos humanos al mundo. Y las nuevas leyes también serán la base para legislaciones en Latinoamérica, África, y Estados Unidos", considera. Pero Moreno es más escéptico y cree que la UE es apenas una burbuja en medio de un sistema digital despiadado, "porque los norteamericanos tienen una enorme arrogancia respecto a internet. Europa es la Galia de Astérix, y EE. UU. es el imperio romano. Tiene corporaciones, tecnología, está más avanzado digitalmente y, en el caso de internet, no se van a dejar controlar. Además de las leyes, que son muy importantes, la UE debería tener iniciativa empresarial y crear sus propias empresas. Un Google europeo, por ejemplo". Y pone como modelo de esa ignorancia al ICANN, la corporación norteamericana que asigna nombres a las webs en todo el mundo "y que ha pedido a la UE una prórroga en la aplicación del reglamento. Se cree más importante que toda la Unión Europea".

Ese control de los datos es un caramelo que las corporaciones no cederán fácilmente. El sociólogo Chaime Marcuello destaca que "las cosas no suceden por azar. Siempre hay una causa. Y si hay causas, puedo buscar las relaciones de causalidad. ¿Qué quiere decir esto? Que con unos datos y perfiles psicológicos se puede trazar un rumbo hacia la sociedad que queremos. Ya vemos qué trayectoria quería trazar Cambridge Analytica. Si tienes gente que no piensa y que se deja manipular fácilmente, ese rumbo se traza. Debemos garantizar una población que sepa pensar, que distinga entre informaciones..., que no forme parte de lo que Jaron Lanier denominaba el ‘rebaño digital’. Un rebaño en el que la gente no piensa y es fácil de manipular".

Según decía Lanier en el libro donde acuñaba el término relativo a ovejas y pastores digitales, "todas nuestras publicaciones, enlaces, fotos no cuestan nada por separado. Pero siendo combinados, crean un flujo masivo de información más popular que el producto de los medios más famosos y de un valor colosal". De hecho, Lanier aseguraba que, si lo gratis en realidad funciona gracias a nuestros datos sobre uso y comportamiento, si Google o Facebook se enriquecen y ganan tantos millones por nuestra propia información, entonces esos gigantes tecnológicos deberían pagarnos cada vez que los utilizan. Se están lucrando, en realidad, con un contenido que es nuestro". Esos servidores que absorben datos y datos, que acumulan cantidades enormes de información, fueron bautizados por Lanier como ‘servidores sirena’ –señala Marcuello–. Son empresas opacas que acumulan datos como las sirenas atraían a los marinos de ‘La odisea’, con cánticos para llevar a un naufragio. Los servidores sirena pueden ser redes sociales, cuentas de correo..., empresas a los que damos unos datos sin darnos cuenta de que nos convertimos en puro objeto mercantil".

El otro big data

Pero el análisis de datos no siempre supone una invasión de nuestros derechos. El big data y su interpretación puede también traer avances en la ordenación del tráfico, la gestión de una epidemia, inversión en nuevas infraestructuras... "Comprender el comportamiento de una población ayuda a crear políticas de seguridad, por ejemplo. Son datos en los que no importa quién está detrás de ellos, si es hombre o mujer o la edad que tienen, sino su movilidad o sus rutinas", destaca Jesús Gómez Gardeñes, del Departamento de Física de la Materia Condensada de la Universidad de Zaragoza, que ha formado parte de equipos de análisis de ‘big data’ de movilidad, control de epidemias y comportamiento humano. Pero para que ayuntamientos, gobiernos o empresas puedan recabar datos e interpretarlos es fundamental que los ciudadanos acepten aportarlos, ya sea mediante encuestas tradicionales o con la huella digital que dejamos en nuestro día a día. Según Gómez, "estamos todavía en un momento de transición en que nos cuesta mucho ceder los datos, desconfiamos de qué se hará con ellos. Se trata de paquetes de datos anónimos y no existe un interés en crear un ‘gran hermano’, pero habrá que esperar para que el avance del ‘big data ’ cuente con el apoyo de la población".

Y, ahora, con escándalos como el de Cambridge Analytica, el apoyo puede quedar mermado. "Por ello, la nueva legislación de la UE es tan importante, porque crea una base legal para esa cesión de datos. Siempre habrá que dejar clara cuál es la finalidad", destaca Manuel Torres. "Y no solo afectará a los responsables del tratamiento de datos en la UE, también para los que tienen filiales aquí (Facebook, Google) o los que quieren prestar servicios aquí", señala, por su parte, Pedro J. Canut. "Ahora solo falta que los ciudadanos se enteren de estos nuevos derechos y de la necesidad de protegerlos. Porque no hay una conciencia social respecto a cómo se están lucrando esas empresas con nuestros datos y del peligro que hay. Así, tendremos ahora que leer y aprobar una declaración de privacidad cuando hagamos gestiones. Pero en vez de un “buff, qué rollo”, ha de ser un “mira, qué bien”. Ya se ha visto con Trump lo que se puede conseguir si acceden a nuestra información".