Por mucho que la Unión Europea presuma de contar con una de las legislaciones más avanzadas del mundo en materia de protección de datos, la realidad es que, en el terreno digital, los ciudadanos seguimos estando desprotegidos frente al poder omnímodo de las grandes tecnológicas.
La reciente maniobra de Meta —el conglomerado que engloba Facebook, Instagram y WhatsApp— para entrenar sus modelos de inteligencia artificial con los datos públicos de sus usuarios sin un consentimiento claro es solo el último ejemplo de un patrón cada vez más evidente: las grandes plataformas no respetan el espíritu del Reglamento General de Protección de Datos (RGPD), y lo hacen con total impunidad.
El RGPD: una ley que suena bien, pero que llega tarde
Desde su entrada en vigor en mayo de 2018, el RGPD (Reglamento UE 2016/679) ha sido presentado como un escudo contra los abusos en el tratamiento de datos personales. En teoría, consagra principios sólidos: consentimiento informado, derecho al olvido, minimización de datos, transparencia y responsabilidad. Sin embargo, a la hora de la verdad, la mayoría de los usuarios europeos apenas nota su impacto.
¿Por qué? Porque mientras el RGPD exige transparencia y consentimiento explícito, muchas empresas han aprendido a bordear sus requisitos sin quebrantar formalmente la ley. Lo hacen valiéndose de formularios opacos, términos legales ambiguos, procesos disuasorios y, sobre todo, de la inacción (o lentitud) de las autoridades de control.
Meta y el consentimiento encubierto
El caso de Meta es paradigmático. En lugar de preguntarnos directamente si queremos que nuestros datos se utilicen para entrenar su IA, nos envía un correo confuso, repleto de eufemismos (“mejoras de la IA en Meta”) y con un procedimiento enrevesado para ejercer nuestro derecho de oposición.
Este diseño no es casual: es lo que se conoce como un “patrón oscuro”, una técnica diseñada para reducir la probabilidad de que el usuario actúe. En lugar de un botón visible con una pregunta directa —“¿Desea que usemos su información pública para entrenar nuestros modelos de IA? Sí / No”— se nos exige navegar formularios, rellenar campos, confirmar por correo… todo ello con el claro objetivo de disuadir.
Y lo más preocupante: se acogen al “interés legítimo” como base jurídica para justificar el uso de nuestros datos. Pero el artículo 6.1.f del RGPD establece que ese interés no puede prevalecer sobre los derechos y libertades fundamentales del interesado. ¿De verdad alguien puede creer que una empresa valorada en cientos de miles de millones de dólares tiene más derecho a usar nuestras publicaciones públicas que nosotros a decidir sobre ellas?
No es solo Meta: un patrón sistémico
Sería ingenuo señalar solo a Meta. Google, Amazon, Microsoft, TikTok, X (antes Twitter)… todas, sin excepción, han desarrollado sus propias estrategias para maximizar la recopilación de datos mientras minimizan el consentimiento real. Lo hacen introduciendo configuraciones por defecto invasivas, escondiendo opciones de privacidad, rediseñando sus interfaces para dificultar el control del usuario o adoptando mecanismos de consentimiento por capas tan difusas como inútiles.
Incluso cuando la ley les alcanza, las sanciones económicas llegan con años de retraso. Para entonces, el daño ya está hecho, los modelos ya están entrenados, y los beneficios —financieros y estratégicos— ya han sido absorbidos. El coste de la multa, por grande que parezca (véase el caso de la multa de 1.200 millones de euros a Meta por la transferencia de datos a EE.UU.), no representa más que una fracción del valor generado.
El problema del tiempo (y la impunidad)
La lógica empresarial digital funciona en ciclos de semanas o meses. Las investigaciones regulatorias, en cambio, tardan años. Este desfase temporal convierte el cumplimiento en una cuestión estratégica: las empresas simplemente “juegan con el reloj”, sabiendo que incluso si vulneran la ley, las consecuencias llegarán demasiado tarde para tener un efecto reparador.
Es como si un ladrón pudiera robar un banco, invertir el botín, generar rendimientos durante cinco años, y entonces —si acaso— devolver solo el capital original. En ningún otro sector se toleraría semejante abuso estructural.
¿Y el consentimiento informado?
La piedra angular del RGPD es el consentimiento informado, libre, específico y revocable. Pero, ¿cuántas veces al día hacemos clic en “aceptar cookies” sin tener la menor idea de a qué estamos accediendo? ¿Cuántas veces una app nos “pide permiso” de forma engañosa, o nos redirige a una pantalla ininteligible para ocultar sus verdaderas intenciones?
El consentimiento ha sido secuestrado por el diseño manipulativo. No se trata de un “sí” auténtico, sino de un consentimiento fabricado a base de fatiga, ambigüedad y urgencia. Mientras tanto, los datos fluyen, los modelos se entrenan, y nuestras voces quedan reducidas a estadísticas.
¿Qué soluciones tenemos?
En este contexto, el ciudadano tiene pocas herramientas reales. Podemos:
- Denunciar ante la autoridad de control (como la AEPD en España), aunque el proceso es largo y muchas veces estéril.
- Cambiar configuraciones de privacidad, sabiendo que muchas ya son irreversibles o ineficaces.
- Dejar de usar estas plataformas, lo cual es una opción teórica pero social y profesionalmente impracticable.
La verdadera solución no es individual, sino estructural. Necesitamos:
- Una revisión del RGPD que cierre las grietas del “interés legítimo” y refuerce la obligatoriedad del consentimiento explícito.
- Sanciones más rápidas y proporcionales, capaces de impactar realmente en la cuenta de resultados de las grandes tecnológicas.
- Una agencia europea de supervisión tecnológica con capacidad transnacional, recursos técnicos y autoridad efectiva.
Conclusión: la libertad digital no se defiende sola
No podemos seguir aceptando que las empresas más poderosas del mundo decidan cómo, cuándo y con qué fines se usa nuestra información personal. Si Europa quiere liderar el modelo digital basado en derechos, debe hacer mucho más que redactar buenas leyes: tiene que hacerlas cumplir, con decisión y sin miedo.
Porque de lo contrario, la historia volverá a repetirse: cuando las normas empiecen a aplicarse de verdad, ya será demasiado tarde. Y entonces descubriremos, una vez más, que mientras nosotros leíamos la letra pequeña, ellos ya estaban entrenando la siguiente generación de algoritmos con todo lo que dijimos, escribimos, compartimos y olvidamos.