Protección de datos en Internet

¿Quién no ha dicho aquello de “es que los móviles nos están escuchando, hablé el otro día con una amiga de estas zapatillas y ahora me salen anuncios todo el rato”?

Vamos por partes. La realidad innegable es que todas nuestras interacciones online se recopilan para crear un perfil detallado sobre cada uno de nosotros cimentado todo ello sobre la base de lo que nos gusta, lo que no, lo que hacemos con nuestro tiempo libre, con qué nos ganamos la vida, lo que nos atrae, nuestros temores en torno al futuro…

En este sentido, las redes sociales de ocio cuentan con un nivel de riesgo superior al de las de carácter profesional puesto que los usuarios exponen no solo sus datos de contacto o información profesional, sino también datos aún más sensibles como vivencias, ideología, experiencias…

Adicionalmente a esto, existe el problema de que en las redes sociales los usuarios no suelen ser conscientes de la facilidad de acceso que tienen otras personas o entidades a sus datos así como del valor que podrían alcanzar en el mercado. Sus datos, perfectamente podrían ser utilizados por terceros para publicar contenido sin autorización del usuario o para manipular cualquier información que se provee a través de las redes sociales.

Por ejemplo, algo que llamó mucho la atención fueron las elecciones estadounidenses de 2016. Hillary parecía la favorita pero, sin embargo, Trump acabó siendo presidente. ¿Cómo ha sido esto posible? Si os interesa este tema hay un documental de Netflix recomendadísimo llamado “Nada es privado” (“The great hack”) que ahonda en la filtración masiva de millones de datos de usuarios de Facebook a través de Cambridge Analytica, ademas de tocar otros temas relacionados con esta materia.

Sin embargo, como Estados Unidos nos pilla lejos, vamos a centrarnos en lo que nos interesa. En el ordenamiento jurídico español sabemos que existen normas tanto comunitarias como nacionales que regulan la protección de los datos de carácter personal en las redes sociales. Pero ¿qué hace esta normativa para protegernos en las redes sociales?

Si eres una red social, o incluso un mero proveedor de servicios con presencia en internet, el aspecto clave que tienes que tener en cuenta para no pillarte mucho los dedos a la hora de montar tu página web es el siguiente: el aviso legal debe ser claro y estar actualizado.

El uso de los datos personales siempre debe tener un contenido legal que lo respalde además de que siempre se deberá informar a los interesados sobre dicho uso. Para ello, la política de privacidad de la empresa debe redactarse de forma clara y estar siempre actualizada con respecto a la normativa en vigor en cada momento. Si tienes un aviso legal antiguo, y sobre todo si es anterior al RGPD y a la nueva LOPDGDD, tendrás que rehacerlo.

El la política de privacidad deberás determinar, entre otras cosas, quién es el responsable del tratamiento de los datos, cuánto tiempo va a conservar los datos, quién tendrá acceso a ellos y las medidas que se tomarán para evitar un uso indebido de los datos.

Suerte con ello, porque no solo deberás readaptar tus textos sino que también revaluar tus procedimientos a nivel de empresa ya que puede ser que algo estés haciendo mal.

Las multas por “pasar” de la protección de datos

Uno de los puntos que más alarma ha creado para las empresas con las salida del nuevo reglamento ha sido el de las sanciones.

Antes de la entrada en vigor del reglamento europeo muchas empresas hacían caso omiso a la protección de datos pues podían permitirse saltársela y pagar unas multas irrisorias por ello (en comparación con su volumen de negocio, claro está, para mi 40.000 euros es dinero, para Google, es calderilla). Esto cambia.

Por un lado, se podrá sancionar con una multa de un máximo de 10 millones de euros o, en caso de tratarse de una empresa, el 2 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. ¡Y esta multa es la menos mala!

Estas sanciones se pueden dar por:

  • Vulnerar las obligaciones impuestas tanto para el responsable como para el encargado. Esta vulneración se daría en las siguientes circunstancias:
    • No se recaba el consentimiento del niño en relación con servicios de la sociedad de la información.
    • Se identifica al interesado cuando se realiza el tratamiento de datos que, de acuerdo con los fines para los que se tratan, no requieren de dicha identificación. Es decir, no hace falta que se le identifique, pero se le identifica. Sin más.
    • No se llevan a cabo medidas de responsabilidad proactiva en el tratamiento de los datos como son el registro de actividades de tratamiento, la protección de datos desde el diseño y por defecto, la seguridad de los datos personales, la notificación de una violación de la seguridad de los datos personales a la autoridad de control y al interesado, en su caso, o la evaluación de impacto con su correspondiente consulta previa a la autoridad de control cuando el tratamiento entrañe un alto riesgo.
    • No se llevan a cabo las obligaciones dispuestas en relación con la corresponsabilidad del tratamiento, los representantes del responsable o encargados del tratamiento no establecidos en la Unión Europea, y la regulación de la figura de los encargados del tratamiento según lo dispuesto en el artículo 28 del RGPD.
    • No se da una cooperación con la autoridad de control.
    • No se designa un delegado de protección de datos estando obligado a ello.
  • Vulnerar las obligaciones de certificación por parte de organismos que se dediquen a ello por tener un nivel de pericia tal que han sido acreditados por la autoridad de control para expedir y renovar dichas certificaciones
  • Vulnerar las obligaciones de supervisión de códigos de conducta por parte de los organismos que se dedican a ello por tener un nivel de pericia tal que han sido acreditados por la autoridad de control para realizar dicha supervisión.

Y por otro lado están las sanciones menos buenas, las que pueden llegar hasta un máximo de 20 millones de euros o el 4 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Estas multas se impondrán en los siguientes casos:

  • Por vulnerar los principios básicos del tratamiento. Esta vulneración se da cuando:
    • No se respetan los principio relativos al tratamiento (licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad, confidencialidad y responsabilidad proactiva).
    • No se cumple ninguna de las condiciones para que el tratamiento sea lícito, es decir, no existe una base jurídica que legitime el tratamiento.
    • No se cumplen las condiciones para el consentimiento del interesado para el tratamiento de sus datos personales.
    • Se tratan categorías especiales de datos personales cuando no concurre ninguna de las circunstancias legitimadoras para dicho tratamiento.
  • Por vulnerar los derechos de los interesados, aquellos conocidos como derechos ARCO como siglas de los derechos de Acceso, Rectificación, Cancelación y Oposición, pero que con la entrada en vigor del reglamento aumentaron a unos cuantos más quedando las siglas ligeramente desfasadas. Hoy en día son los siguientes: derecho de acceso, de rectificación, de supresión o derecho al olvido, a la limitación del tratamiento, a la portabilidad de los datos, de oposición y a no ser objeto de decisiones individuales automatizadas, incluyendo la elaboración de perfiles. Lo podríamos llamar ARSOLPON, pero no tiene tanto gancho, así que mejor los seguimos llamando derechos ARCO.
  • Por transferir datos a países ajenos a la Unión Europea y que no dispongan de un nivel de garantía adecuado.
  • Por incumplir alguna obligación en virtud del derecho de los estados miembros en relación con:
    • la libertad de expresión y de información;
    • el acceso público a documentos oficiales;
    • el tratamiento del número nacional de identidad;
    • el tratamiento en el ámbito laboral;
    • las garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos;
    • las obligaciones de secreto;
    • las normas de protección de datos de iglesias y asociaciones religiosas.
  • Por incumplir una resolución o limitación del tratamiento por parte de la autoridad de control o no facilitarle a esta el acceso en el ejercicio de sus poderes de investigación.

Una vez visto esto, si, las multas son desproporcionadas, pero ten en cuenta que no se le va a poner una multa de 10 millones de euros a una papelería pequeña de barrio, sino que están más bien pensadas para grandes empresas a las que antes de la entrada en vigor del reglamento les importaba tan poco la protección de datos que era casi más beneficioso para ellas a nivel económico el seguir disponiendo a su antojo de los datos y pagar por el mal uso una multa (ridícula en comparación con sus volúmenes de venta) que el hecho de ponerse a hacer las cosas bien.

Ahora, con el aumento considerable en la cuantía de las sanciones, por lo menos se lo piensan dos veces antes de incumplir la normativa de protección de datos.

Responsabilidad proactiva en el tratamiento de datos

Para realizar un tratamiento de datos adecuado cualquier responsable del tratamiento debe tomar una serie de medidas de responsabilidad activa. Ya no sirve aquello de “yo lo hice y ya después me olvidé del tema”.

El nuevo reglamento europeo, nos indica claramente que hay unos principios que son inherentes al tratamiento de los datos, los cuales son la licitud, lealtad y transparencia, la limitación de la finalidad, la minimización de los datos, la exactitud, la limitación del plazo de conservación y la integridad y confidencialidad. Todos estos principios quedan englobados dentro de una única y gran obligación de responsabilidad proactiva. La madre de todos los principios.

Esto quiere decir que cada persona que recabe datos personales será responsable de cumplir con todos esos principios del tratamiento y ser capaz de demostrarlo, por lo que deberá comprobar activamente no sólo que el procedimiento para recabar los datos personales es el adecuado, sino que también deberá tener constancia de que se han analizado los posibles riesgos que conlleva el tratamiento y se ha determinado la seguridad necesaria que se deberá implantar para el correcto tratamiento de cada uno de esos datos.

Registro de actividades de tratamiento

Uno de los cambios que introdujo el RGPD fue la eliminación de los ficheros de datos, pasando esta obligación a ser la de elaborar un registro de cada actividad de tratamiento en la que se señalan los datos recogidos para esa actividad concreta así como la finalidad determinada del tratamiento de esos datos.

Por ello, la primera de las medidas exigidas como parte de la responsabilidad proactiva de aquellos que tratan datos personales es el registro de actividades de tratamiento el cual contendrá la información necesaria según lo dispuesto en el artículo 30 del RGPD.

Análisis de riesgo

Otra de las principales de estas medidas de responsabilidad proactiva sería el análisis de riesgos. Este análisis implica la realización de un estudio de las posibles amenazas o riesgos que puedan tener los datos, en contraposición con la vulneración de sus derechos que sufriría el ciudadano si se llegan a producir dichas amenazas o riesgos.

No todo el tratamiento de datos tiene los mismos riesgos y, por tanto, no siempre se tendrán que establecer las mismas medidas de seguridad. Ahí radica la importancia de realizar este análisis correctamente para poder determinar de manera efectiva las amenazas y riesgos y establecer un protocolo de medidas para paliar los efectos de los mismos.

Medidas de seguridad

Una vez analizados los riesgos, se deberá afrontar la gestión eficaz de los mismos mediante la adopción de las medidas de protección suficientes para eliminarlos o mitigarlos y que no se produzca ninguna de esas amenazas que se han determinado como probables.

En este sentido, se podrá implementar dentro de la organización un protocolo de copias de seguridad, cifrado de datos, formación necesaria de los empleados para el tratamiento seguro de los datos, entre otras medidas.

Protección de datos desde el diseño y por defecto

Como parte de este interés de manifestar la responsabilidad proactiva por aquellos que tratan datos personales, se determina la necesidad de realizar una “protección de datos desde el diseño y por defecto”.

Esto, que bien puede sonar a chino si lo oyes por primera vez, no quiere decir otra cosa que se debe diseñar cómo se van a tratar los datos a la hora de realizar una actividad o prestar un servicio, con carácter previo a la realización de dicha actividad o a la prestación de dicho servicio, de modo que, una vez realizado este diseño de los protocolos para el tratamiento de los datos, se produzca, por defecto, una garantía de protección suficiente de los datos personales recogidos para esa actividad.

Evaluación de impacto relativa a la protección de datos

La evaluación de impacto es, en esencia, el mismo análisis de riesgos que ya hemos mencionado, pero con algunas particularidades pues se realizará cuando sea probable que un tipo de tratamiento (sobre todo si utiliza nuevas tecnologías) por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Esta evaluación de impacto se realizará con carácter previo al tratamiento y podrá englobar varios tratamientos parecidos que entrañen riesgos similares.

Por último, cuando de dicha evaluación se desprenda que el tratamiento podría entrañar un alto riesgo si el responsable no toma las medidas necesarias para mitigarlo, se deberá consultar a la autoridad de control antes de proceder a realizar dicho tratamiento para que esta considere si es viable o no.

Notificación de las violaciones de seguridad

Cuando un responsable del tratamiento sufra una violación de seguridad, que ocasione la destrucción, pérdida o alteración de datos personales o la comunicación o acceso no autorizado a los datos, ésta deberá ser notificada a la Agencia Española de Protección de Datos dentro de un plazo máximo de 72 horas.

Además, cuando la violación de seguridad pueda entrañar un alto riesgo para los derechos o libertades de los interesados se les deberá informar también a ellos de que se ha producido dicha violación de seguridad.

Delegado de protección de datos

Por último, una de las figuras protagonistas desde la entrada en vigor del RGPD, ha sido la del delegado de protección de datos, el cual actuará cuando se realicen determinados tratamientos de datos. El nombramiento de esta figura podrá ser voluntario, aunque existen ciertas organizaciones y empresas que, por el tratamiento que realizan, están obligados a tener un delegado de protección de datos.

El artículo 34 de la LOPDGDD hace una lista bastante exhaustiva que podéis consultar con los tipos de tratamientos que implican la necesidad de nombrar un delegado de protección de datos.

La obligación de informar a los usuarios del tratamiento de sus datos

En base al principio de transparencia encuadrado en el RGPD como uno de los principios relativos al tratamiento, a la hora de acceder a cualquier dato de carácter personal habrá que informar al interesado, entre otras cosas, de que se están utilizando sus datos, quién lo está haciendo, con qué fin y durante cuanto tiempo. Esta información deberá ser clara y veraz y estar en todo momento a disposición del interesado para que pueda comprobarla.

Para hacer esto posible, se realizará por parte del responsable una acción efectiva de informar al interesado a través de lo que se conoce como un “deber de informar” que contendrá toda la información básica que se indica en los artículos 13 y 14 del RGPD y 11 de la LOPDGDD.

En primer lugar, deberán indicarse los datos del responsable del tratamiento para que el afectado sepa en todo momento quién es la persona, física o jurídica, que va a tratar sus datos.

De igual modo, si ese responsable tiene un delegado de protección de datos también le informará al afectado de la existencia e identidad del mismo.

Por otro lado, se señalará la finalidad del tratamiento, es decir, el fin de la recogida de los datos. La finalidad no será la misma para todas las actuaciones de una empresa y, por tanto, habrá que definirla bien para cada actividad de tratamiento. Así, por ejemplo, un colegio recabará los datos de sus alumnos con la finalidad de realizar una formación educativa, mientras que por otro lado tendrá acceso a los datos de sus empleados para la finalidad de la realización de nóminas.

Además, se le indicará al interesado cual es la base jurídica para realizar dicho tratamiento pudiendo ser ésta el consentimiento, la ejecución de un contrato, una obligación legal del responsable, la persecución de intereses vitales del afectado o de terceros, el interés público, o el interés legítimo del responsable.

Asimismo, habrá que señalar el plazo de conservación de los datos. Antiguamente estos plazos permanecían indeterminados y se conservaban los datos indefinidamente. Hoy en día no es válido ese argumento de muchas empresas de “no sé cuanto tiempo voy a necesitar disponer de estos datos, mejor me los guardo por si acaso”. No, si no se tiene un conocimiento preciso del tiempo que se va a necesitar conservar los datos puede señalarse algún criterio que determine su eliminación, como puede ser, por ejemplo, un mes desde la solicitud de baja del servicio.

Por otra parte, un asunto de gran importancia es la información al afectado de la posibilidad de ejercer sus derechos, cómo hacerlo y ante quién. Esto es lo que antiguamente se conocía como derechos ARCO por tratarse de cuatro derechos: de Acceso, Rectificación, Cancelación y Oposición. Sin embargo, con el RGPD pasaron a ser muchos más: derecho de acceso, rectificación, supresión, limitación del tratamiento, a la portabilidad de los datos, de oposición y a no ser objeto de decisiones automatizadas.

Adicionalmente, se debe informar al afectado de que puede presentar una reclamación ante la autoridad de control que en el caso de España es la Agencia Española de Protección de Datos (AEPD).

Sin embargo, aquí no queda todo pues para aquellas ocasiones en las que se vayan a ceder los datos personales de un tercero, también se deberá informar al interesado sobre quién será el destinatario de esos datos. Del mismo modo, si se realizaran transferencias internacionales de datos, se deberá informar al afectado. Asimismo, si resultara que se realizan decisiones automatizadas o se elaboran perfiles de los interesados, deberán los interesados ser informados de estos hechos.

Por último, también puede suceder que dicho tratamiento sea necesario por tratarse de un requisito legal o contractual, en cuyo caso se deberá informar al interesado de esta obligación y de las posibles consecuencias que puede conllevar el hecho de que no facilite sus datos.

En resumen, informar, informar, informar…

Como hemos comprobado, por tanto, la necesidad de informar a los afectados sobre los datos que se tratan y porqué supone que se cambien todas las clausulas de información a los interesados y se vuelva a recabar aquel consentimiento que se obtuvo antaño y que hoy en día está incompleto y desfasado. Cumplir con este deber es tedioso y puede parecer un esfuerzo desproporcionado para algo que no creemos que sea tan importante, pero leyendo las guías que pone la AEPD a disposición de los ciudadanos y siguiendo el esquema que aquí hemos visto, se hace relativamente fácil, así que ¡no lo dejes pasar!

Bases legitimadoras para el tratamiento de datos de carácter personal

Para que se pueda realizar el tratamiento de los datos personales hay que tener en cuenta, en todo momento, que se deberá disponer de la legitimidad necesaria para poder tratar dichos datos personales.

Como ya hemos comentado en otras entradas, no puede suceder que se traten los datos de todo el mundo, sin ton ni son, sino que, como veremos, cualquier persona que realice un tratamiento de datos personales debe estar “autorizado” (por decirlo de alguna manera) a realizar dicho tratamiento. Para ello dispone la ley de unas bases de legitimación concretas que se encuentran encuadradas en el artículo 6 del RGPD.

En primer lugar, existe legitimación para el tratamiento cuando el interesado (la persona cuyos datos se están recabando) da su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.

Sin embargo, este consentimiento expreso del interesado tiene sus matizaciones. Anteriormente a la entrada en vigor del RGPD y la LOPDGDD, se recogía el consentimiento de los interesados mediante formularios con casillas premarcadas de aceptación del tratamiento de los datos, mientras que hoy en día el interesado debe realizar una clara acción afirmativa al tratamiento de sus datos. Se descarta así, por tanto, el consentimiento tácito (no me quejo de que tratan mis datos y de este modo consiento tácitamente que lo hagan) y las cláusulas premarcadas en los formularios (por ejemplo, las típicas casillas de “acepto el envío de comunicaciones comerciales a través de la newsletter” que antes venían marcadas por defecto y tenías que realizar una acción efectiva de desmarcarlas).

Todos esos consentimientos que en un momento fuero correctos, actualmente hay perdido toda validez y deben volver a ser recabados de acuerdo a las nuevas exigencias indicadas en la normativa en vigor. ¿Te acuerdas hace aproximadamente un año cuando empezaron a llegar masivamente emails de gente pidiéndote que les dieses de nuevo el consentimiento para el envío de comunicaciones electrónicas o para mantenerte en su base de datos? Pues era por esto…

Aunque recabar el consentimiento sea un acto tedioso, siempre será lo más seguro para una empresa a la hora de tratar datos de los afectados. En cambio, existen otra serie de supuestos que permiten el tratamiento de los datos del interesado sin que sea necesario que este dé su consentimiento expreso, bien porque sería excesivo recoger dicho consentimiento, o bien porque puede resultar imposible o de difícil consecución.

Por tanto, existen algunas bases legitimadoras distintas del consentimiento. Una de ellas consiste en el tratamiento necesario para ejecutar un contrato. Obviamente si voy a contratar la prestación de unos servicios, la empresa con la que contrato tendrá que saber como mínimo mi nombre y DNI para poder dar forma al contrato así como cualquier otro dato mínimamente indispensable para realizar la prestación del servicio.

Asimismo, se está legitimado para el tratamiento de datos cuando el mismo sea necesario porque exista una ley aplicable que obligue a que se recaben ciertos datos como puede ser la Ley de Prevención de Blanqueo de Capitales y Financiación del Terrorismo, o la Ley de Prevención de Riesgos Laborales, entre otras. Aquí también se encuadraría el registro de la jornada que ahora está tan de moda.

También es posible el tratamiento sin necesidad de recabar el consentimiento cuando aquel sea necesario para proteger intereses vitales del interesado o de otra persona. Este sería el ejemplo de una persona que se encuentra en estado crítico y es llevada al hospital. Claramente la persona que le atiende mientras se desangra no le va a decir “disculpe, hasta que no me firme este consentimiento no le puedo atender”. De igual modo sucedería si se diesen circunstancias de catástrofes naturales o epidemias.

Por otro lado, se pueden tratar datos personales cuando dicho tratamiento sea necesario para cumplir con alguna misión de interés público como pueden ser fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, entre otros.

Por último, es posible recabar los datos cuando el tratamiento sea necesario para satisfacer intereses legítimos de la persona que los va a tratar y siempre que sobre este interés no prevalezcan los intereses o derechos y libertades del interesado. Este sería, por ejemplo, el caso de una persona que va a un restaurante y a la hora de pagar pide que le hagan una factura y el camarero le pide unos datos para ponerlos en la misma. Obviamente no le va a recabar el consentimiento para ese mero trámite.

Sin embargo, este interés legítimo de responsable no es el salvavidas al que agarrarse cuando no se disponga de otra base legitimadora para el tratamiento. Habrá que realizar un verdadero acto de ponderación entre los intereses perseguidos por el responsable y los de los afectados.

A modo de resumen, el consentimiento del afectado sería, por llamarlo de algún modo, la base legitimadora comodín: cuando no se pueda encuadrar el tratamiento en ninguna de las otras bases legitimadoras, se deberá proceder a la firma de dicho consentimiento.

Por todo ello, si realizas el tratamiento de datos y el mismo no se puede encuadrar dentro de alguna de las bases legitimadoras mencionadas, seguramente sea un tratamiento ilícito, aunque siempre puedes subsanarlo mediante la firma de un consentimiento expreso del afectado.

Toma conciencia de lo que estás permitiendo

Todos los prestadores de servicios de redes sociales “gratuitos” que te encuentras por internet llevan años trabajando para nosotros de un modo que parece casi altruista. ¿De qué vive el pobre de Google? Nos permite buscarlo todo, encontrarlo todo, y no nos pide nada a cambio. ¿Y qué hay de Mark Zuckerber? Nos crea una plataforma increíble para conectarnos a unos con otros y ni siquiera nos pide una suscripción pagada ni nada. Además gracias a su plataforma puedo conectarlo todo, mi familia, mis aficiones, puedo poner mis fotos, enseñaros a mi perro, a mi gato, deciros donde trabajo e incluso haceros partícipes del nuevo coche que me he comprado y de donde voy a pasar las vacaciones. Y todo al módico precio de concederle el acceso a todos mis datos personales. Casi nada.

Monetizar un servicio ya no está de moda, ahora uno de los activos más valiosos para una empresa u organización son los datos personales. Cualquiera diría que en el futuro veremos a estas típicas personas con carteles de “COMPRO ORO” diciendo en su lugar “COMPRO DATOS”.

Esto ha supuesto que muchas empresas se hayan dedicado durante años a recabar con avidez datos personales de sus clientes y a abusar del uso de los mismos.

Pero la cosa empeora con el uso de la tecnología. El hecho de que se recopilen datos dentro del entorno digital de una manera fácil y rápida supone que, sin darte cuenta, le estés cediendo tus datos personales a una empresa, que puede que a su vez se los ceda a otra que le presta el servicio, la cual, a su vez, puede que tenga los servidores en otra empresa que a lo mejor ni siquiera los tiene ubicados en un país seguro. O sea, que vete tú a saber donde acaban tus datos y en manos de quien.

Y lo peor es que todo esto que estamos hablando puede incluso suceder aunque no estés contratando nada ni hayas realizado una acción efectiva para prestar tus datos. Hoy en día te metes en una web y ya te sale el típico aviso de cookies que a todos nos molesta, que nadie se lee, y que pocos saben lo que hace realmente. Y no es que sea sencillo aclarar lo que es una cookie resumiendo la explicación en el sentido de en qué consiste una cookie en concreto, pues hay tantas y de tantos tipos, que directamente las aceptas y sigues navegando para poder comprarte ese bolso que has visto a mitad de precio. A ti que no te molesten con tonterías de galletas ni de nada.

Sí, mejor sigue comprando mientras Google Analytics va recavando información sobre cuánto tiempo pasas tú (sí, tú) en esa página web y lo que te interesa de ella para así poder recomendarte servicios y productos similares y mejorar tu experiencia global en internet. Que majos.

Y es que, cuando parecía que está fiesta iba a acabar, apareció como invitado especial el gigante del Big Data, aquel capaz incluso de cambiar el curso de una campaña electoral.

¿Y qué me dices de tu móvil? ¿Te has fijado en que cada vez que te descargas una aplicación tienes que aceptar una y mil historias de permisos para que accedan a tu galería, a tu cámara, a tu micrófono, a tu ubicación…? Y todo esto (según dicen) para poder proporcionarte el servicio que prestan con normalidad. Claro, porque obviamente es muy necesario que la app de nutrición que me acabo de descargar acceda a mi ubicación ¿cómo va a saber sino cuánto quiero adelgazar?

Sin embargo, no todo son malas noticias. También hay que ser conscientes de que, gracias al almacenamiento de nuestros datos, cambian las tendencias de mercado al reflejarse con mayor claridad y rapidez las necesidades de la mayoría y, hay que tener en cuenta que también gracias a ello se generan productos o servicios que suponen más beneficios que perjuicios supone el hecho de que sepan que soy mujer, que me quiero comprar ese bolso, que vivo en España, y que estoy intentando tener una correcta nutrición.

Por todo, es importante encontrar un equilibrio y permitir el uso consciente de nuestros datos personales pero teniendo siempre presente el hecho de que nadie nos regala nada, del interés que tiene el uso de nuestros datos por parte de cualquier empresa y de que dicho uso no puede ser arbitrario ni hacerse de cualquier manera.

En definitiva, tanto la cesión de nuestros datos por nuestra parte como el uso por parte de las empresas o entidades debe hacerse con cabeza y con respeto a la normativa vigente y a los límites impuestos.

Entérate de lo que estás haciendo.