2018: Eclosión de la privacidad

Cuatro estaciones de escándalos, reclamaciones, legislación e iniciativas privadas.

Poca duda queda de que el año 2018 se ha ganado su puesto en la historia de la protección de los datos personales. Aún así nos ha parecido útil hacer un pequeño esfuerzo de síntesis y aunar los hitos más significativos del año que ahora se cierra (brechas de seguridad, denuncias, escándalos, ¡legislación!…).

También consideramos importante mencionar que muchos de nosotros hemos escogido el 2018 para embarcarnos en nuevas iniciativas empresariales con la aspiración de empujar a algunas industrias, o a la sociedad en su conjunto, a otro nivel en términos de democratización de los datos, descentralización de la identidad, data ethics, o mero cumplimiento regulatorio.

En nuestro caso, con PrivacyCloud, a todo ello se suma no haber podido resistir la tentación de redefinir los modelos de negocio que sustentan la mayor parte de nuestras experiencias digitales.

Todas ellas, brechas de seguridad, reclamaciones, escándalos, legislación de envergadura histórica, y nuevas iniciativas privadas, siguen a continuación en orden cronológico, con un collage de titulares clave aportando un resumen visual en nuestra infografía de “las cuatro estaciones” (anexa aquí a modo de referencia futura y disponible a quien la quiera).

Por último, a dichos titulares de impacto eminentemente global (con vínculos de referencia facilitados mayoritariamente en inglés) hemos añadido en esta versión española un bloque específico de noticias relevantes en el ámbito nacional. A ello:

2018: La eclosión de la privacidad

Febrero

• Wibson, con el apoyo de Telefónica, lanza un “mercado de datos personales” basado en blockchain, siguiendo los pasos de iniciativas anteriores en el ámbito de la gestión de información personal como Citizen.me, Digi.me, People.io, o Datum.

Marzo

• Facebook protagoniza todas las portadas con el escándalo de Cambridge Analytica, afectando a 87 millones de usuarios.

Mayo

• El Reglamento general de protección de datos de la Unión Europea (“GDPR” en su acrónimo inglés) entra en vigor el 25 mayo
• La organización sin ánimo de lucro NOYB (“None Of Your Business”) presenta reclamaciones contra Facebook, Whatsapp, Instagram, y Google (Android) bajo el amparo del nuevo GDPR (ante las agencias de Francia, Bélgica, Austria y el estado de Hamburgo, además de arrastrar con ello a la agencia irlandesa)
• Under Armour hace pública una brecha de seguridad afectando a 150 millones de personas en Estados Unidos.

Junio

• Facebook sufre la mayor brecha de seguridad de su historia, afectando a 120 millones de personas, gracias a una aplicación móvil (Nametests) que hace uso de su sistema de acceso universal (“login con Facebook”)
• España: La Agencia Española de Protección de Datos investiga la APP de LaLiga que usa el micrófono del móvil para detectar la piratería de partidos
• Adidas confirma una brecha de seguridad afectando a una cantidad potencial de “millones” de usuarios de sus servicios de comercio electrónico en Estados Unidos
• La California Consumer Privacy Act (“CCPA”) queda aprobada el día 28.

Julio

• PrivacyCloud (constituida el 8 de marzo) lanza su primera aplicación móvil el 14 de julio, superando las dos mil instalaciones en sus mercados piloto (España e Irlanda) en una sola semana.

Agosto

• Google se enfrenta a un escándalo global por la forma en que sus aplicaciones móviles recaban el histórico de ubicación geográfica de los usuarios haciendo caso omiso de las preferencias seleccionadas.

Septiembre

• Facebook sufre una nueva brecha de seguridad afectando a 50 millones de personas
• Presentación de la primera demanda privada contra Google a tenor de las revelaciones relativas al histórico de ubicación
• Una nueva versión de Google Chrome (69) obliga a los usuarios a sincronizar sus navegadores con sus cuentas de Google, resultando en una protesta generalizada y su consiguiente enmienda
• La agencia francesa de protección de datos (CNIL) formaliza su primera advertencia firme contra una empresa de tecnología publicitaria (AdTech): el DSP Vectaury hacía uso del protocolo de la IAB para la gestión del consentimiento (amonestación hecha pública el 9 de noviembre)
• Tim-Berners-Lee anuncia el lanzamiento de Inrupt, una iniciativa privada construida sobre Solid, la plataforma de descentralización de la web arrancada varios años antes desde el MIT
• Hu-manity.co hace pública una nueva aplicación móvil para la gestión de datos personales bajo la idea de ostentar “el derecho a la propiedad privada sobre tus datos”.

Octubre

• Google anuncia el cierre de su red social Google+ después de sufrir una segunda brecha de seguridad anteriormente oculta y afectando a 50 millones de usuarios.
• ESPAÑA: FACUA denuncia a Facebook (filtración de datos de 50 millones de usuarios) y Google (Google+) ante la AEPD

Noviembre

• Facebook confirma la contratación de una empresa de lobby político para vincular la percepción social negativa sobre sus prácticas a las argucias del billonario George Soros
• Una filtración independiente sobre Facebook muestra que los gestores de la red social barajaron seriamente la venta de datos de sus usuarios como modelo de negocio
• Registro de denuncias formales contra Criteo, Experian, Quantcast, Tapad, Acxiom, Oracle y otros actores clave en AdTech por parte de Privacy International
• La cadena de hoteles Marriott desvela la mayor brecha de seguridad de la historia, afectando a 500 milliones de personas
• España: Aprobada la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales y, con ella, llegada la polémica asociada a la introducción de una enmienda otorgando cierta laxitud a los partidos políticos.

Diciembre

• Una investigación confirma que Facebook violó sus propias normas de gestión de datos de clientes en favor de algunos de sus principales clientes, permitiendo empresas como Apple, Amazon, Sony o Netflix leyeran, editaran o borraran mensajes privados.

***

De todo menos aburrido. Y cabe preguntarse: ¿continuará la tendencia en 2019? ¿Será éste el año en que las autoridades supervisoras toman el timón en la aplicación efectiva del RGPD? ¿Serán capaces de doblegar a la industria publicitaria digital (AdTech) para tapar la peor gotera a día de hoy existente en la propagación de sus garantías? ¿Nos toparemos con semejante reacción en cadena con la llegada del futuro Reglamento “ePrivacy”?

Una cosa sí parece cierta sobre el año entrante, con independencia del músculo o la voluntad de los organismos encargados de hacer cumplir el nuevo marco jurídico: Las empresas y gobiernos recabarán aún más datos sobre una cantidad creciente de personas y, para bien o para mal, con o sin nuestro conocimiento, esos datos condicionarán la mayor parte de nuestras interacciones digitales.

Queda aún pendiente de esclarecer si seguiremos anquilosados en un modelo en que cada organización estructura su propia copia y versión de dicha información, o si por el contrario comenzaremos a avistar un mundo en el que sean los usuarios quienes toman el control, manteniendo “una sola copia de sí mismos” y exponiendo los datos que resulten pertinentes a cada interacción.

Entre tanto, os deseamos un estupendo fin de año y un feliz comienzo para 2019.