Sergio Maldonado, CEO de PrivacyCloud: “Muchas empresas no saben el paradero de los datos facilitados por sus clientes”

226
Sergio Maldonado

El CEO de PrivacyCloud está claro que es un abogado con un perfil diferente, especializado en lo que antes se llamaba Ciberderecho. Después de trabajar un tiempo en un despacho londinense, se especializó en comercio electrónico y protección de datos. En 2006 creó la empresa Divisadero, que posteriormente vendió, para fundar Sweetspot. Desde marzo de 2018 es el responsable de PrivacyCloud, una compañía dedicada a los datos en entornos digitales y a la tecnología del marketing.

¿Qué recuerdos tiene de su primera experiencia empresarial?

Antes de fundar en 2006 Divisadero, yo trabajé como abogado experto en Derecho Informático. Estaba muy metido en lo que podríamos llamar privacidad y entornos electrónicos. Entonces, Divisadero se creó como una empresa para el análisis de datos. Ayudábamos a los anunciantes y a las empresas a optimizar sus activos digitales, sin depender de terceros. Después me fui a otra empresa, Sweetspot.

¿Cuál es el objetivo prioritario de la nueva criatura, PrivacyCloud?

Poner en marcha dos aplicaciones de consumidor: iRule, que ya está disponible, y otra que saldrá en unos meses sobre gestión de identidad descentralizada. A más largo plazo crearemos una plataforma alternativa al mercado publicitario actual. El plan de Privacy Cloud es a diez años, pero esta plataforma estará ya funcionando en 2023.

“Nadie está en disposición de decir que cumple con el RGPD. Hay muchas variables. Cumplir es saber definir tus riesgos y gestionarlos”

Preservar la privacidad y evitar que los datos no puedan utilizarse sin el consentimiento del titular parece una misión imposible.

Esa percepción es correcta. Hay un cierto pesimismo. La gente asume que cuando comparte información, esa información ya no puede controlarla. Pocas empresas están preparadas para cumplir con el deber de transparencia, llevándolo más allá del maquillaje. Se limitan a aparentar ese cumplimiento, marcar una serie de requisitos de información básica y añadir la casilla de cumplimiento establecida. Por lo tanto, yo soy escéptico. La mayor parte de las empresas ni siquiera, con la mejor intención, son capaces de saber a dónde han ido a parar los datos que les ha facilitado el cliente.

Por lo tanto, la indefensión es manifiesta…

Hay empresas que venden datos a terceros. Es un negocio. No hay detrás ningún plan siniestro.  Algunas aplicaciones móviles encuentran aquí su modus vivendi y al final deciden que les merece la pena vender datos a terceros porque los consideran poco identificativos. Su modelo de negocio originalmente era el publicitario, pero si no les funciona, entran en ese mercado de venta de datos. Al final, a través de ese jueguecito gratuito de la aplicación del niño se termina vendiendo datos a otras plataformas en el mercado publicitario.

“El estudio del INE me parece bien, pero las operadoras telefónicas nos tendrían que haber pedido consentimiento”

¿Esta práctica está muy extendida?

El problema es en muchas ocasiones se pierden los datos que llegan a las empresas.  El dato se dispersa. Sin embargo, sabemos que ese trasvase de datos existe, porque de otra manera no podría suceder con tanta precisión la persecución que vivimos con el remarketing de campañas de productos. No debería saberse que hemos comprado tal o cual producto, si no fuera porque existe ese intercambio de datos entre terceros.

¿Qué función desempeña en todo esto el Reglamento General de Protección de datos?

El RGPD no marca con una línea roja lo que se puede o no se puede hacer. Ese reglamento permite establecer una gestión de riesgo, donde el principal elemento de la normativa es la responsabilidad proactiva. Es decir, tú te cocinas tu gestión y tú te la meriendas. Decides dos cosas: qué medidas vinculas a la gestión de los riesgos que has identificado y cuando llama a tu puerta la Agencia de Protección de Datos tienes que demostrar que has aplicado medidas adecuadas a los riesgos que hayas identificado previamente. Nadie está en disposición de decir que cumple con el RGPD. Hay muchas variables. Cumplir es saber definir tus riesgos y gestionarlos. Nunca tienes la certeza de que no vaya a pasar algo que implique una responsabilidad.

“En el futuro triunfarán aquellas empresas que demuestren una mayor transparencia”

La legislación europea también marca unas pautas.

Sí. Pero hay algunos derechos, como el derecho al olvido, las transferencias internacionales o el control a terceros países, que están bloqueados. Lo que se ha quedado fuera de la legislación habrá que incluirlo en otro reglamento. En el caso de las cookies, hay una disonancia entre lo que se dice en cada país. Son una broma los faldones y los podads tan absurdos, y que nadie entiende, sobre aceptación de cookies.

¿Qué son realmente y para qué sirven las cookies?

Son un contrato de adhesión que la gente acepta sin entender, porque parece escrito para abogados. Es estúpido. Para mí, eso no es un consentimiento. Lo que estamos proponiendo a las empresas es que no utilicen cookies que no sean exentas. Y a los usuarios les aconsejamos que instalen un sistema que elimina los faldones y permite navegar por internet sin tener que responder a preguntas absurdas.

¿Qué opinión tiene sobre la polémica surgida por el estudio de movilidad que está realizando el INE con la colaboración de varias operadoras telefónicas?

El estudio me parece bien, porque ahorra encuestas y se hace para mejorar nuestros servicios públicos. Pero las operadoras telefónicas nos tendrían que haber pedido consentimiento. Como ha publicado algún medio nacional, las antenas de Orange se estaban utilizando para vender a terceros todo tipo de datos. Orange me hace firmar un contrato de adhesión para telefonía y me dice que el dato será anónimo. Sin embargo, si los venden, pasan a ser seudónimos. Los datos recabados por el INE no son identificativos, pero al relacionar unos datos con otros y cruzarlos, se puede identificar al individuo. Las operadoras, por tanto, deberían haber pedido el consentimiento.

¿Habría que plantear un mayor control del uso, cada vez más extendido, de cámaras identificativas en lugares públicos?

Eso está legislado en el reglamento. Habría que ver si la identidad basada en rasgos videométricos puede estar en manos de entidades con algún tipo de interés legítimo. Una de las bases legales que contempla el reglamento es la del interés legítimo. Creo que el debate tiene que ir un poco más allá. En China el gobierno lo utiliza como elemento de confianza, pero cada uno tiene su cultura. En la nuestra esto me desconcierta, porque aquí podemos ejercer nuestros derechos.

¿Qué nos deparará el futuro en torno a lo que podría llamarse uso y abuso de nuestros datos personales?  

Yo confío en que se imponga la transparencia. Hasta ahora, el individuo era un número más: firma aquí, no te enteras y tiramos para adelante. Pero eso ya se acaba. Las empresas tendrán que decirte la verdad, de forma que tú lo entiendas. Te mandarán un mensaje al móvil diciéndote qué dato te recaban y para qué lo piensan utilizar, si das tu consentimiento. Necesitamos una relación mucho más sincera, de confianza.

“Es un delito aprovecharse de la propiedad intelectual de otros. Hace falta más responsabilidad”

¿Podría establecerse, entonces, una especie de selección natural?

Como cliente y consumidor, tendemos a buscar aquellas empresas que te dan más confianza. Poco a poco, irán desapareciendo las empresas de la vieja usanza y apareciendo otras. Igual que ha aparecido la concienciación medioambiental. Hay ya marcas que comienzan a hacer un marketing limpio, donde no existe la persecución del cliente. Por selección natural, las empresas que triunfarán serán aquellas que demuestren una mayor transparencia.

Finalmente, ¿cómo se explica que la piratería siga siendo un problema tan grave en nuestro país?

Nos quejamos de todo y luego, en nuestra esfera privada, no somos capaces de respetar las cosas que cuestan dinero. Si somos piratas en el ámbito privado, cómo vamos a pretender que no haya corrupción en el ámbito público y en las grandes empresas. No vale eso de que, como se aprovechan de mí, yo también me aprovecho del sistema. Es un delito aprovecharse de la propiedad intelectual de otros y además me parece incoherente. Es que yo soy pequeño y no hago tanto daño… Pero la gran escala sale de ahí. Hace falta más responsabilidad. No todo vale y el fin no justifica los medios.