Privacidad y cumplimiento en la era digital: cómo afecta la DMA a su experiencia en línea

Creamos más de 300 millones de terabytes de datos online cada día. La cantidad de datos globales generados anualmente aumentó un 23,71 % en 2023, y se espera que progrese de forma similar en 2024 y 2025.

Gran parte de esta información es creada por y sobre nosotros y nuestras actividades online. Los usuarios buscan cada vez más transparencia en la forma en que las organizaciones recopilan, comparten y utilizan esta información. De hecho, una encuesta realizada a aproximadamente 17.000 consumidores de todo el mundo mostró que:

• El 74 % cree que las empresas recopilan más información personal de la que necesitan
• El 64 % cree que gran parte de las empresas no son transparentes en cuanto al uso de la información personal
• El 79 % confía más en una empresa que explica de forma clara cómo utiliza los datos

Recopilar datos sin límites da lugar a posibles violaciones de privacidad, lo que ha llevado a la creación de leyes de privacidad de datos en todo el mundo para salvaguardar los derechos de privacidad de los usuarios.

Entre ellas se encuentra la Ley de Mercados Digitales, en inglés Digital Markets Act (DMA), que entró en vigor el 1 de noviembre de 2022. El propósito de la DMA es regular las grandes plataformas online y abordar cuestiones relacionadas con la competencia, la protección del consumidor y la privacidad en el sector digital.

En este artículo, examinamos cómo los requisitos de privacidad y cumplimiento de la DMA pueden afectar a la experiencia en línea de los usuarios, así como los pasos que pueden seguir los usuarios para proteger aún más sus datos personales.

La Ley de Mercados Digitales (DMA) es un marco regulatorio destinado a imponer normativas más estrictas a las grandes empresas tecnológicas designadas como guardianes de acceso para promover un entorno digital justo y competitivo, restringir las prácticas desleales de dichos guardianes, y proteger los derechos e intereses de las pequeñas empresas y los consumidores online.

La DMA afecta a los usuarios de la Unión Europea (UE) o el Espacio Económico Europeo (EEE), así como a las empresas que prestan servicio a los usuarios de estas regiones.

Los guardianes de acceso designados en virtud de la DMA son:

• Alphabet (Google, YouTube, Android);
• Amazon;
• Apple (iOS, App Store);
• ByteDance (TikTok);
• Meta (Facebook, Instagram, WhatsApp); y
• Microsoft (LinkedIn, Windows PC OS).

La Comisión Europea también ha identificado 22 servicios básicos de plataforma (CPS, por sus siglas en inglés) que son propiedad y están gestionados por los guardianes de acceso, y a los que afecta la DMA. Entre ellos se incluyen las redes sociales, los motores de búsqueda, los navegadores, los sistemas operativos y los servicios de mensajería con millones o miles de millones de usuarios.

Puede que se designen más empresas como guardianes de acceso y que, con el tiempo, se incluyan más servicios digitales en la lista de CPS.

Los CPS o servicios básicos de plataforma facilitan muchas de las actividades que las personas realizan online cada día. El resultado son los datos que generan y que estas empresas procesan. Muchas personas no son conscientes de la cantidad de datos que generan ni de qué tipo son, o de los que recopilan y utilizan las empresas.

Anuncios online

Las redes sociales ingresan, sólo en España, más de 4.200 millones de euros a través de la publicidad online, y la DMA exige que estas plataformas obtengan el consentimiento explícito de los usuarios residentes en la UE antes de procesar sus datos personales para fines publicitarios en línea.

Esto significa que las plataformas deberán tener mecanismos de consentimiento claros y fáciles de usar y ser transparentes con sus prácticas de tratamiento de datos. También requiere informar a los usuarios de que tienen la opción de rechazar o retirar su consentimiento y de cómo esto afectará a su experiencia en la plataforma.

Esto permitirá que los usuarios tengan el control de sus datos y tomen decisiones informadas sobre si dar su consentimiento para que se recopilen sus datos y sobre cómo se pueden utilizar. Por ejemplo, los usuarios pueden dar su consentimiento para recibir anuncios personalizados basados en sus datos o recibirán anuncios que puedan no interesarles.

Combinación de datos personales

Muchos de los guardianes de acceso tienen varias plataformas básicas que se incluyen en virtud de la DMA, y puede que un único usuario utilice varias de ellas. La DMA prohíbe que los guardianes de acceso combinen los datos personales recopilados en una plataforma con aquellos recopilados en otra o con los recopilados mediante otro servicio suyo o de cualquier tercero con el que trabajen.

Esto significa que, por ejemplo, Meta, propietaria de Facebook, Instagram y WhatsApp (todos ellos CPS), no puede combinar los datos personales de un usuario que utiliza dos o las tres plataformas, para la elaboración de un único perfil.

Cambio de plataformas

La DMA obliga a que los guardianes de acceso habiliten la portabilidad de datos, que es un derecho en virtud de las leyes de privacidad de datos. Si un usuario desea pasarse a otra plataforma de redes sociales, puede solicitar sus datos personales en un formato fácil de usar y transferirlos a la plataforma sin sanciones, lo que le da libertad para elegir a los mejores proveedores de servicios según sus necesidades.

Competencia justa

Por ahora, Google Search es el único motor de búsqueda online que la DMA ha designado como servicio básico de plataforma, y podrían producirse cambios importantes para los usuarios en función de los cambios que Google tenga que hacer.

Un cambio esencial podría ser lo que Google Search muestra en las clasificaciones. La DMA exige que los guardianes de acceso no puedan favorecer sus servicios propios por encima de los de otros. Esto significa que Google no puede priorizar sus propios productos, como Google Analytics, en las clasificaciones de búsqueda de forma predeterminada ante otras plataformas de análisis al mostrar los resultados de una búsqueda de productos.

Cambio de motores de búsqueda

Al igual que los usuarios de las redes sociales tienen la opción de cambiar fácilmente de plataforma, los usuarios pueden cambiar a otro motor de búsqueda. En virtud del requisito de portabilidad de datos de la DMA, Google debe permitir que los usuarios transfieran sus datos de Google Search a otro motor de búsqueda. Por ejemplo, el historial de búsqueda o las preferencias de un usuario en Google Search podrían transferirse a otro motor de búsqueda como Bing o DuckDuckGo, lo que garantizaría la continuidad de la experiencia del usuario.

Consentimiento explícito

Los guardianes de acceso deberán obtener el consentimiento explícito de los usuarios en todos los sitios web y plataformas en los que muestren anuncios, ya sean sus propias plataformas o las de terceros. En línea con el Reglamento General de Protección de Datos (RGPD), la DMA dicta que no se puede asumir el consentimiento mediante casillas marcadas previamente o por omisión. Los guardianes de acceso, y las empresas que utilizan sus servicios para anunciarse, tendrán que ofrecer una elección clara a los usuarios, normalmente a través de un banner de consentimiento de cookies para solicitar permiso para recopilar determinados tipos de datos. También hay nuevas restricciones en las funciones relacionadas con la publicidad, como la creación de perfiles y el retargeting.

Transparencia

La transparencia va unida al consentimiento explícito, ya que los usuarios deben saber qué están consintiendo y qué opciones tienen. En lugar de ocultar estos detalles en condiciones de servicio interminables, necesitarán tener una política de privacidad y una política de cookies de fácil acceso y comprensión. Esto ayudará a tomar medidas para asegurar que los usuarios no hagan clic a ciegas en ‘Aceptar’, sino que tomen una decisión informada sobre sus datos.

Combinación de datos personales

Otra forma en que la DMA pretende reforzar la privacidad de los usuarios es restringir la forma en que los servicios centrales de la plataforma comparten y utilizan los datos que recopilan de los usuarios. Antes, si alguien daba me gusta a una página relacionada con ‘entrenar en casa’ en Facebook, puede que empezara a ver anuncios sobre equipamiento para entrenar en Instagram. Con las normas de la DMA, Meta, que posee tanto Facebook como Instagram, no puede compartir datos libremente entre las dos plataformas para recomendar anuncios sin el permiso explícito del usuario.

Si a alguien le gusta una página de salud y bienestar en Facebook, ya no producirá una avalancha de anuncios sobre batidos de proteínas en Instagram a menos que el usuario lo haya aceptado. De esta forma se reducen los anuncios personalizados inesperados o no deseados y se da a los usuarios más poder de decisión sobre el uso que se hace de sus datos.

Recopilación de datos

Los navegadores pueden recopilar una serie de información de los usuarios, como el sistema operativo, la dirección IP, el historial de actividad en línea, los datos de relleno automático, el historial de descargas y las contraseñas.

La DMA hace hincapié en la privacidad de los datos, lo que significa que Chrome y Safari, los dos navegadores identificados como servicios centrales de plataformas, deben mejorar la privacidad de los datos de los usuarios en la UE. Los usuarios deben estar informados y se debe obtener su consentimiento explícito antes de recopilar sus datos personales.

Competencia justa

Uno de los requisitos clave de la Ley de Mercados Digitales es obligar a que los guardianes de acceso mantengan una competencia justa. En el caso de navegadores web como Chrome y Safari, esto significa que deben garantizar un tratamiento igualitario para todos los sitios web y servicios basados en navegadores.

Complementos o extensiones

La DMA exige que los guardianes de acceso garanticen la interoperabilidad con servicios de terceros. Esto podría requerir que Chrome y Safari cambien sus sistemas para permitir una mejor integración con aplicaciones o extensiones de terceros.

Ley de Mercados Digitales y sistemas operativos: Google Android, iOS, Windows PC OS

Tiendas de aplicaciones de terceros

La DMA tiene como objetivo promover la competencia justa y abordar las preocupaciones sobre prácticas monopolísticas. Actualmente, plataformas como iOS de Apple tienen un gran control sobre la distribución de aplicaciones, siendo la App Store el único canal desde el que los usuarios pueden descargarlas. Los usuarios de Android pueden instalar aplicaciones de fuentes de terceros (además de Google Play Store) mediante un proceso denominado transferencia local, pero esto plantea problemas de seguridad y puede hacer que los dispositivos de los usuarios sean vulnerables.

Sin embargo, la Digital Markets Act podría introducir cambios que permitan la existencia de tiendas de aplicaciones alternativas, lo que ofrecería a desarrolladores y usuarios más opciones y más seguridad. Esto podría acabar con el dominio de ciertas plataformas y crear un mercado de aplicaciones más competitivo. Aunque aún no se han especificado los detalles y las normativas de las tiendas de aplicaciones de terceros en virtud de la DMA, la ley muestra un cambio hacia un ecosistema de aplicaciones más abierto y competitivo en el mercado europeo.

Aplicaciones preinstaladas y ajustes

La DMA se está centrando en las aplicaciones preinstaladas y los ajustes predeterminados, que desde hace tiempo dan una ventaja local a los sistemas operativos. Normalmente, estos sistemas incluyen aplicaciones preseleccionadas y ajustes que hacen que los usuarios utilicen los productos y servicios propios del sistema operativo. Incluso hay usuarios que no pueden eliminar algunas aplicaciones de sus dispositivos.

La Ley de Mercados Digitales de la UE facilitará a los usuarios la eliminación de aplicaciones preinstaladas que no deseen y el cambio de los ajustes de fábrica que podrían dirigirlos a un servicio concreto. Por ejemplo, los usuarios podrán cambiar de Apple Maps a Google Maps sin problema. La DMA también introduce pantallas de elección para servicios clave, lo que permite que los usuarios seleccionen sus aplicaciones preferidas durante la configuración.

Mensajería entre plataformas

Para reducir los monopolios, promover la competencia y ofrecer más opciones a los usuarios, la DMA exige que los guardianes de acceso garanticen la interoperabilidad con servicios de terceros. Esto significa que los servicios relacionados gestionados por terceros deben poder comunicarse e integrarse con las CPS de los guardianes de acceso.

El requisito de interoperabilidad tiene grandes implicaciones para las aplicaciones de mensajería WhatsApp y Messenger, que son servicios centrales de plataformas en virtud de la DMA. Los consumidores que utilizan servicios de mensajería de terceros como Signal o Telegram podrán chatear con usuarios en WhatsApp o Messenger sin tener cuentas en estas plataformas y viceversa.

WhatsApp y Messenger son propiedad de Meta, que parece estar tomando medidas para implementar este requisito. En septiembre de 2023, se observó una función de «chats de terceros» aún sin uso en las versiones de desarrollo de WhatsApp. Sin embargo, este requisito de la DMA ha abierto un debate sobre la posibilidad de que afecte al cifrado integral de WhatsApp, un distintivo de sus medidas de seguridad.

Mientras que la Ley de Mercados Digitales de la UE se esfuerza por mantener a salvo los datos personales y garantizar la privacidad del usuario, siempre es buena idea que usted, como usuario/a, tenga el control sobre sus propios datos y tome medidas para protegerlos.

La DMA dicta que las plataformas solo pueden procesar sus datos para fines específicos si cuentan con su consentimiento explícito. No consentir a cualquier recopilación y/o tratamiento de datos minimiza su huella digital y reduce el riesgo de un uso indebido.

Antes de clicar en «Aceptar» o «Permitir» en los términos y condiciones o banners de consentimiento de cookies, lea lo que está aceptando. Si un sitio web no especifica qué tecnologías recopilarán sus datos, cómo se utilizarán, quién tendrá acceso a ellos o no permite el consentimiento detallado, no cumple con las normativas.

Con el tiempo, las plataformas pueden implementar nuevas funciones o servicios que requieran una recopilación de datos adicional. En virtud de numerosas leyes de privacidad, el usuario debe volver a dar su consentimiento si cambian las condiciones de recopilación y uso de datos, por lo que solo compartirá aquello con lo que se sienta cómodo.

También puede programar una revisión periódica de su configuración de privacidad en los sitios web o plataformas que más utilice. Aproveche la ocasión para retirar los permisos que no esté utilizando o con los que no esté conforme.

La transferencia de sus datos mantiene la competencia entre plataformas. Si encuentra un servicio que se adapte mejor a sus necesidades, que tenga mejores precios o cuyas prácticas de privacidad de datos sean más adecuadas, puede cambiarse fácilmente sin perder sus datos ni enfrentarse a sanciones.

Busque la función «Exportar datos» o similar en los ajustes de su cuenta. Las plataformas compatibles con la DMA y el RGPD deben ofrecer esta opción. Una vez exportados los datos, puede cargarlos en el servicio que elija siempre que permita también dicha portabilidad de datos.

Adopte servicios personalizados que se adapten a sus necesidades y preferencias específicas. Al optar por experiencias personalizadas, puede disfrutar de las ventajas de la personalización sin comprometer su privacidad.

Al registrarse o configurar los ajustes de su cuenta, elija si desea activar o desactivar la personalización. Algunas plataformas ofrecen un cambio sencillo entre experiencias «personalizadas» y «estándar». Seleccione la opción que le sea más cómoda en términos de recopilación de datos.

Los consumidores son más conscientes y les preocupa la privacidad de sus datos más que nunca. Cuando diseñe o actualice sus procesos de tratamiento de datos o la gestión del consentimiento, tenga en cuenta que los usuarios se centran cada vez más en lo que se les pide que consientan y en los permisos que se les pide que concedan; son menos proclives a aceptar que se les limite el uso de las plataformas o servicios que desean, cuando lo desean; y son más reacios a aceptar servicios más «personalizados».