El 25 de mayo es el primer día de aplicación del Reglamento General de Protección de Datos de Europa, también conocido como GDPR, un conjunto de reglas que pueden cambiar fundamentalmente la relación entre las grandes compañías tecnológicas que recopilan datos y los usuarios de los que provienen.

No todo el mundo está listo para GDPR , pero las compañías de Google a Slack han estado actualizando silenciosamente sus términos, reescribiendo contratos y desplegando nuevas herramientas de datos personales en preparación para el cambio masivo en el panorama legal. Hasta ahora, ha sido un gran problema para los departamentos legales, pero a medida que los cambios de política y las peleas contractuales se hacen públicos, también ha comenzado a afectar al usuario medio de la web.

Aún así, para muchos en Internet, GDPR sigue siendo una caja negra de jerga legal y política oscura. Esto es lo que necesita saber al respecto.

¿Qué es el GDPR?

El Reglamento general de protección de datos es una norma aprobada por la Unión Europea en 2016, que establece nuevas reglas sobre cómo las empresas administran y comparten datos personales. En teoría, el GDPR solo se aplica a los datos de los ciudadanos de la UE, pero la naturaleza global de Internet significa que casi todos los servicios en línea se ven afectados, y la regulación ya ha dado lugar a cambios significativos para los usuarios estadounidenses a medida que las empresas se apresuran a adaptarse.

Gran parte del GDPR se basa en reglas establecidas por medidas de privacidad de la UE anteriores como el Escudo de privacidad y la Directiva de protección de datos, pero amplía esas medidas de dos maneras cruciales. En primer lugar, el GDPR establece una barra más alta para la obtención de datos personales que nunca antes hemos visto en Internet. Por defecto, cada vez que una empresa recopila datos personales de un ciudadano de la UE, necesitará el consentimiento explícito e informado de esa persona. Los usuarios también necesitan una forma de revocar ese consentimiento, y pueden solicitar todos los datos que una compañía tiene de ellos como una forma de verificar ese consentimiento. Es mucho más sólido que los requisitos existentes, y se extiende explícitamente a las empresas con sede fuera de la UE. Para una industria que está acostumbrada a recopilar y compartir datos con poca o ninguna restricción, eso significa reescribir las reglas sobre cómo los anuncios se enfocan en línea.

En segundo lugar, las sanciones de GDPR son lo suficientemente severas como para llamar la atención de toda la industria. Las multas máximas por infracción se establecen en el 4 por ciento de la facturación global de una empresa (o $ 20 millones, lo que sea mayor). Eso es mucho más que las multas permitidas por la Directiva de Protección de Datos, y señala cuán serio es que la UE está tomando privacidad de los datos. Google y Facebook podrían soportar una multa así ( ellos tienen antes ), pero sería suficiente para hundir una empresa más pequeña. Si las nuevas reglas de consentimiento piden a las empresas que modifiquen sus políticas de datos, las multas propuestas les dan la motivación para hacerlo realidad.

Lo que es más importante, el GDPR les da a las compañías una fecha límite difícil: las nuevas reglas entrarán en vigencia el 25 de mayo de 2018, así que si no estás siguiendo las reglas ahora, estás en problemas. El resultado ha sido una carrera loca para adaptar las prácticas actuales a las nuevas reglas y evitar una de esas multas aplastantes.

¿Qué va a cambiar?

Los cambios más visibles e inmediatos vienen en Términos de servicio y otras advertencias. La idea de consentimiento del GDPR requiere mucho más que las regulaciones anteriores, lo que significa que las empresas pedirán permiso para recopilar sus datos con mucha más frecuencia. En términos concretos, eso significa mucho más cuadros de “haga clic para continuar”, aunque los requisitos de transparencia significan que el texto puede ser un poco más claro de lo que está acostumbrado.

También habrá más oportunidades para descargar todos los datos que una compañía tiene sobre usted, algo que las compañías ya están comenzando a implementar. Servicios como Google Takeout han existido por un tiempo, y servicios más pequeños como Slack son comenzando a implementar opciones similares para satisfacer los requisitos de portabilidad de datos de GDPR. Eso ayuda de dos maneras: le permite verificar qué empresas están recopilando, y podría ayudar a relajar el dominio de la plataforma al permitirle transferir datos entre redes. Si desea una forma de exportar sus mensajes de Facebook a Ello, los nuevos requisitos de portabilidad garantizarán que haya una manera de hacerlo.

Los cambios más importantes ocurrirán detrás de escena. El GDPR también establece reglas sobre cómo las empresas comparten los datos una vez que se han recopilado, lo que significa que las empresas deben reconsiderar cómo abordan los análisis, los inicios de sesión y, sobre todo, la publicidad. Un único sitio podría tener fácilmente 20 socios de orientación publicitaria, a menudo invisibles para la persona cuyos datos se comparten. Pero el GDPR agrega nuevos requisitos complejos para cualquier empresa que obtenga datos de los usuarios de segunda mano, lo que requiere mucha más transparencia sobre lo que una empresa está haciendo con sus datos. Como resultado, todos esos socios deben ser puestos al descubierto, y sus contratos deben ser reescritos para cumplir con el GDPR. Eso significa desenterrar un sistema notoriamente desordenado que se basa en la idea de que no hay costo para compartir datos.

Reescribir esos contratos no es tan simple como agregar algunos cuadros de diálogo “Estoy de acuerdo”. Hay asuntos políticos difíciles en juego, como si los editores retener el control de sus datos de audiencia o si las redes publicitarias como Google pueden a cuestas en los formularios de consentimiento de los editores . Cuando hablé con Shannon Yavorsky, un abogado que ha estado siguiendo los requisitos de GDPR en Venable, ella dijo que los clientes estaban particularmente bloqueados por la cuestión de quién sería responsable si se violaban los datos de un socio que compartía. “Me preguntan todo el tiempo, ¿cuál es el estándar del mercado?”, Dice Yavorsky. “Simplemente no lo sabemos”. No ha habido ninguna penalización, por lo que no sabemos cómo se verá el cumplimiento. “No hay una solución obvia a ninguno de esos problemas, y los desacuerdos subyacentes se desatarán mucho después de la fecha límite de mayo.

¿Esto realmente hará que la recopilación de datos en línea sea menos espeluznante e invasiva?

Es muy temprano para decirlo. Sabemos más o menos cómo es el cumplimiento, pero aún no sabemos cómo será el cumplimiento o cuán agresivos serán los reguladores de la UE. La conclusión más simple es que las infracciones serán mucho más costosas, y ese costo se extenderá mucho más a través de la red. Será más costoso compartir datos de los usuarios, y los sitios probablemente tratarán de conformarse con menos socios, lo que ciertamente sería una victoria desde una perspectiva de privacidad. Regulaciones como esta tienden a afectar más a las pequeñas empresas, por lo que el GDPR también podría inclinar la balanza aún más hacia los grandes jugadores como Google y Facebook, incluso cuando el conjunto general de datos se reduce.

La regla también podría crear una división entre la Unión Europea y el resto de Internet. Hasta ahora, la mayoría de las compañías han apuntado a un conjunto único de reglas de privacidad para todos los usuarios, razón por la cual muchos usuarios estadounidenses están notando nuevas características de privacidad y términos de servicio. Pero en muchos casos, aún es más fácil dividir los datos de la UE, lo que podría dar lugar a que los usuarios europeos vean una Internet significativamente diferente del resto del mundo.

Por otro lado, sería difícil hacer una recolección de datos Más espeluznante en este punto. Gran parte de Internet se basa en el intercambio gratuito de datos de usuario, especialmente la bola de pelo gnarly que es la industria de la publicidad dirigida . Eso tiene consecuencias políticas reales: la NSA puede usar el mismo sistema para rastrear usuarios a través de la web , y las empresas políticas como Cambridge Analytica pueden usarlo para silenciosamente individualizar subgrupos particulares . Hemos pasado los últimos 15 años pensando en cosas lucrativas para hacer con esos datos, en el supuesto de que siempre se podrían compartir libremente. El GDPR está comenzando a retroceder, pero los cambios más profundos tardarán años en desarrollarse, lo que posiblemente rediseñe la web tal como la conocemos.

Actualización 25 de mayo, 9:49 a.m. ET: Esta historia se ha actualizado para reflejar el lanzamiento de GDPR.