Para muchos era cuestión de tiempo, pero ya estamos en vísperas de despedir otro de los grandes hábitos españoles en relación con los consentimientos en Internet: el “seguir navegando”, una fórmula con la que todo internauta ha convivido al entrar en una página web por primera vez.

La AEPD mantuvo viva la esperanza para la industria del marketing digital cuando, en un primer momento, sostuvo el criterio de que ciertas acciones del usuario, como seguir navegando, podían constituir un elemento válido para la instalación de cookies no técnicas en su dispositivo. De esta forma, incluso en el contexto del RGPD y su modo de regular los consentimientos, en España había perdurado una manera de recabar consentimientos desterrada de otros países de la Unión Europea, que entendían que navegar no era una acción afirmativa suficientemente clara.

Todo esto cambió hace pocos meses, cuando la AEPD decidió revisar su guía para el uso de cookies, obligada en cierto modo por el Comité Europeo de Protección de Datos: a partir de entonces, las cookies no esenciales solo pueden instalarse previo consentimiento inequívoco del usuario, lo que casi siempre se traducirá en un botón de aceptación. Además, y en la medida en que dicho consentimiento debe ser libre, la AEPD recuerda que los llamados “cookie walls”, los banners persistentes que impiden al usuario interactuar con la web hasta que no acepte las cookies, tampoco son una forma válida de recabar la debida autorización.

Este cambio de criterio ha venido acompañado de diferentes sanciones por incumplimientos relativos al uso de cookies, impuestas a empresas como Twitter e Iberia, ambas por importe de 30.000€. Si a ello le sumamos la tendencia de los principales navegadores, con Google anunciando su intención de que su navegador, Chrome, se una a Firefox y a Safari y bloquee las cookies de tercera parte, el uso de esta tecnología se enfrenta a un panorama complicado.

En todo caso, la AEPD ofreció un período de gracia para que los titulares de webs procediesen a regularizar el uso de las cookies, en caso de que usaran «cookie walls» o el famoso «seguir navegando»… y el plazo se agota, pues finaliza este 31 de octubre. Todo aquel que siga usando estas fórmulas a partir del próximo lunes, estará en riesgo de ser objeto de sanción.

Pero no todo es negativo, ya que regularizar esta situación no es excesivamente complicado, si se tiene voluntad de hacerlo. Por eso, queremos recordar unas pequeñas pautas para poder abordar esta labor, y evitar así un disgusto en forma de notificación:

• El primer paso es identificar las cookies de nuestra web. Es conveniente aprovechar esta labor para cribar cookies innecesarias, ya que es normal que muchas hayan caído en desuso… o que ni siquiera sepamos de dónde provienen.
• El segundo paso consiste en clasificar las cookies: averiguar qué hacen, para qué finalidad, de quién son… y dividirlas en técnicas (esenciales para garantizar una adecuada navegación por la página web) y no-técnicas (de publicidad o de analítica, por ejemplo).
• Realizada esta clasificación, toca establecer una nueva fórmula para legitimar el uso de las cookies no técnicas: dar al usuario la posibilidad de que las acepte a través de una clara acción afirmativa, como puede ser marcar un “Acepto”. Pero hay matices: la aceptación en bloque no puede ser la única opción, tampoco podemos obligar al usuario a “aceptar” si quiere visitar nuestra web, y toda aceptación debe ser informada, es decir, dando al usuario la posibilidad de acceder a nuestra política de cookies de manera sencilla.
• Además, para reforzar la transparencia y la libertad en la aceptación de las cookies, el usuario debe poder controlar qué cookies quiere que se instalen en su dispositivo. Es aquí donde entran en juego las opciones de configuración: ya no basta con recordarle al usuario cómo puede cambiar las cookies en los diferentes navegadores, hay que facilitarle métodos sencillos que le permitan controlar esas acciones sin esfuerzo. Las posibilidades son variadas, si bien la más común es ofrecer consolas de configuración más o menos granulares, para que el usuario decida cuáles quiere instalar (se puede ofrecer una clasificación individualizada, pero es preferible agruparlas en base a su tipología o su origen, por ejemplo), que permitan rechazarlas todas con solo pulsar un botón (¡recodad que las casillas premarcadas son ilegales!).
• Y, en cualquier caso, no debemos olvidarnos de la necesidad de conservar evidencias de esa decisión del usuario, no solo para mantenerla en futuras visitas, sino para acreditar que se ha cumplido con la normativa de protección de datos y que el uso de las cookies ha sido efectivamente consentido.

Al final, son cinco pasos sencillos, pero que pueden evitar que nos expongamos a una situación de incumplimiento; máxime, habida cuenta de que el incumplimiento de esta normativa es muy visible, y por tanto mucho más fácil de detectar por las autoridades que otras obligaciones que se gestionan de manera interna.

Y recordad, si hacer esto supone un problema, ¡también se puede prescindir de ellas! La propia AEPD apuesta por esta fórmula, que llevamos aplicando desde hace años en nuestra propia web… y, visto el panorama, no parece descabellado que las páginas web vayan aligerando el uso de las cookies a un corto-medio plazo…

El dinero ha obedecido desde su origen a una finalidad eminentemente práctica, no en vano en su inicio el “salario” era, literalmente, sal, ya que ¿había algo más práctico que pagar con el mejor medio para conservar alimentos?

Con la mejora de las comunicaciones crecieron las relaciones comerciales y fue necesario buscar nuevas formas de “dinero”, nuevamente más prácticas y más seguras (imagínense ser rico y tener que almacenar toneladas de sal: reconocerán que es poco manejable y seguro… sobre todo, si llueve). Así, se pasó a los metales preciosos, a acuñar moneda, al dinero fíat, y más adelante a apuntes meramente electrónicos.

Esta tendencia en búsqueda de una forma de “dinero” útil y práctico encaja ahora con la aparición de las criptomonedas y de las fintech, un paso más en la evolución del concepto de dinero para que sea más útil en un entorno online y que utiliza el blockchain para otorgar mayor seguridad. El objetivo es lograr un sistema más práctico y seguro pero, ¿lo es en realidad? ¿Viene para convivir con otras formas de moneda, o para reemplazarlas y suponer la desaparición del dinero físico?

Me permito empezar por el final, quizás para remarcar algo quizás obvio: las criptodivisas no reemplazarán al dinero fíat, pero sí se instaurarán como un modelo alternativo, eficiente y fiable. Buena muestra de ello es que las principales entidades financieras de nuestro país harán una prueba de dinero digital tokenizado, o que los principales bancos centrales del mundo exploren la posibilidad de una moneda digital que coexista con el efectivo.

Sin embargo, en estos momentos la población alberga dudas sobre este tipo de activos, principalmente porque no existe una normativa consolidada que te haga sentir “seguro” al usar una moneda virtual. Pero que no contemos con una regulación clara y específica no quiere decir que no existan normas aplicables a los nuevos negocios financieros… simplemente tenemos que recurrir, por analogía, a las normas creadas para los sistemas financieros tradicionales; y eso, como es lógico, provoca no pocas fricciones.

Mientras la legislación se endurece y trata de adecuarse a los cambios tecnológicos, lanzar una ICO (Initial Coin Offering) y una dApp, montar un sistema de juego online o apuestas deportivas con Bitcoin, operar una plataforma de trading con cripodivisas de terceros o crear un sistema de pagos con monedas digitales, aunque técnicamente sea relativamente sencillo, supone un riesgo muy elevado sin una adecuada planificación y una estrategia legal clara: al fin y al cabo, ¿moverían ustedes su carro de sal sin tratar de informarse previamente sobre si va a llover, o si siquiera existe un camino transitable?

Aunque la normativa fue creada, originalmente, para la banca o los fondos de inversión, operar con criptoactivos se ve afectado por leyes como la que regula la prevención de blanqueo de capitales, que exige conocer con detalle al cliente (KYC), o la que obliga a declarar el origen de los fondos para poder desbloquearlos (modelo 720 de Hacienda si se encuentran en un wallet en el extranjero); pero también por otros aspectos relacionados con los deberes de información, sujeción a normativa de registros públicos y cumplimiento normativo sectorial o fiscal. Y si a estas alturas se están plantando constituir una sociedad en Estonia, con su ciudadanía virtual y demás ventajas, para librarse de todo esto… me temo que no basta.

Utilidad y utilidades

El auge de los mecanismos privados de cotización ha propiciado que el valor de mercado de muchos criptoactivos haya crecido muy rápidamente. De ahí que se hayan convertido, entre otras cosas, en un importante valor refugio o en un nuevo filón para la especulación.

Como consecuencia, hemos asistido en los últimos años a una escalada de creación de tokens, de lanzamientos de ICOs para crear nuevas altcoins virtuales más allá de las ya asentadas Bitcoin (BTC), Etherum (ETH), Dash o Ripple; así como de nuevos sistemas de trading, o nuevos wallets que permitían a los usuarios realizar unas u otras operaciones. Entre sus ventajas, destaca que cumplen su función dineraria… pero sobre todo, que aportan una cierta sensación de anonimato. Ahora bien, que nadie se lleve a engaño: tener, jugar, invertir, tradear o mover criptos cuyo valor va en aumento es estupendo… hasta que se convierten a moneda fíat; y no les sorprenderá saber que la Agencia Tributaria no es muy amiga de los patrimonios no declarados (de hecho, desde 2017 incluye en su Plan Anual de Control Tributario y Aduanero aspectos sobre el control de cripotoactivos; y ayer mismo, el Consejo de Ministros aprobó el Proyecto de Ley de medidas de prevención y lucha contra el fraude fiscal, que pretende un mayor control sobre las criptomonedas, con unas mayores obligaciones de información sobre la tenencia y operativa con monedas virtuales, tanto situadas en España como en el extranjero).

Adicionalmente, este «anonimato» (entre comillas), unido a la poca atención de las autoridades al sector, han propiciado una cierta sensación de impunidad, que se traduce en un aumento sostenido de las denuncias y querellas contra plataformas opacas: estafa, apropiación indebida o administración desleal son tipos delictivos del código penal de 1995 que planean sobre algunas de las plataformas que operaban con BTC en el ámbito de la especulación. La última: el cierre de herramientas como Arbistar 2.0, que supuestamente han dejado a 120.000 usuarios sin sus criptomonedas, con un valor estimado de miles de millones de euros. Spoiler: cuando esto sucede, el legislador suele reaccionar sobrerregulando, ¡prepárense!

Volviendo a la pregunta inicial: desde luego, llegaremos a convivir con cripotomonedas de una forma mucho más accesible y común que la actual. Pero para ello, tanto plataformas y negocios como usuarios de cripotactivos deben buscar y encontrar su sitio en el tablero de juego del mercado y cumplir con las reglas vigentes. Ahora bien, únicamente con plataformas confiables, transparentes para el usuario y con un adecuado encaje legal se podrá llegar a un modelo en el que las cripomonedas formen parte de nuestro día a día. Y en cuanto a los usuarios… me temo que ya se están dando cuenta de que ese completo anonimato, como el frotar, se va a acabar.

Resumiendo: las criptomonedas serán útiles (para varios fines) y seguras (para todos y en todas partes)… o, simplemente, no serán.

En este contexto de permanente emergencia sanitaria en el que nos hallamos, puede parecer imposible extraer un ápice de positivismo. Sin embargo, aunque suene proverbial, las crisis generan oportunidades; y es innegable que esta difícil situación nos ha permitido explorar nuevas fórmulas de trabajo a distancia que, de no ser por la pandemia, no se habrían concretado hasta dentro de una o dos décadas.

Así pues, la pandemia ha servido de ensayo general al trabajo remoto en las empresas: la asignatura pendiente del teletrabajo en España ha sido aprobada, en su mayoría, por empresas y entidades que ya no conciben un modelo organizativo que no prevea la posibilidad de trabajar a distancia. No cabe duda: el teletrabajo ha llegado para quedarse; y, como no podía ser de otra forma, era necesaria una norma que completase el parco artículo 13 del Estatuto de los Trabajadores, que lo regulaba de un modo insuficiente y obsoleto. Por ello, tras largas negociaciones con los agentes sociales, el Gobierno ha aprobado el Real Decreto-ley de Trabajo a Distancia, que publica hoy el BOE y que entrará en vigor dentro de 20 días (aunque sin afectar a las empresas que teletrabajen como medida de contención sanitaria derivada de la pandemia).

En líneas generales, la nueva norma se inspira claramente en el Acuerdo Marco sobre Teletrabajo de la Unión Europea, aunque con ciertas peculiaridades. De entrada, define con más precisión el concepto de trabajo a distancia, planteándolo como aquel que se preste, con carácter regular, fuera del centro laboral (entendiendo como regular un mínimo del 30% de la jornada, en un periodo de tres meses). Por ejemplo, será considerado teletrabajo aquel que se realice fuera de la oficina, al menos, durante día y medio a la semana en un contrato estándar de 40 horas semanales.

Además, el teletrabajo será voluntario, reversible y, en ningún caso, la negativa a trabajar a distancia será causa de despido. La empresa facilitará al trabajador los materiales, medios y equipos necesarios para realizar su labor a distancia y deberá sufragar los costes del teletrabajo vinculados al desarrollo de la actividad laboral, que podrán ser fijados por convenio.

Y, como no podía ser de otra manera, todas las personas que trabajen a distancia tendrán los mismos derechos que aquellas que desempeñen sus funciones presencialmente, tales como retribución, estabilidad en el empleo, horario, formación o promoción profesional. Se garantiza, eso sí, la flexibilidad horaria del trabajador, pudiéndose fijar unos tiempos de disponibilidad obligatoria para el empleado; y, a su vez, se mantiene el sistema de registro horario.

Asimismo, la elección de trabajar a distancia deberá materializarse en un acuerdo escrito entre la empresa y el trabajador, que podrá formar parte del contrato inicial o incoporarse mediante anexo en un momento posterior: de hecho, la norma concede un plazo de tres meses para regularizar las relaciones ya existentes. Además, se deberá elaborar una copia básica del acuerdo para su remisión a la oficina de empleo.

Sin embargo, siendo todos estos elementos importantes, hoy queríamos poner el énfasis en otro apartado de la norma cuya aplicación no parece tan clara: se trata del artículo que permite a las empresas adoptar las medidas técnicas que consideren oportunas de vigilancia y control, para garantizar que los trabajadores cumplan con sus obligaciones laborales. Y decimos que su aplicación no parece tan clara, porque exige del previo cumplimiento de un requisito fundamental: respetar los derechos fundamentales de los trabajadores y, en especial, sus expectativas razonables de intimidad en el ámbito laboral. Unas expectativas que, conforme a la doctrina del Tribunal Supremo y del Tribunal Europeo de Derechos Humanos, no pueden ser quebrantadas arbitrariamente por el empresario: dicho de otra forma, el poder de control sobre los medios informáticos de la empresa que el empleado utiliza no es ilimitado, y debe estar documentado.

Para garantizar la licitud de este control empresarial, el empleador debe establecer previamente unas reglas de uso razonables de los medios proporcionados al trabajador, entre las que deben constar las prohibiciones aplicables, las medidas de control a implementar y los medios que vayan a adoptarse para su comprobación. De este modo, si el trabajador incumple estas reglas, conociendo los controles y medidas implementadas, no podrá aducir que su utilización por el empresario quebranta sus «expectativas razonables de intimidad». Por tanto, la solución pasa por redactar (e implementar en la práctica) protocolos claros de información y control, que (no lo olvidemos) deben ser equilibrados, proporcionados y respetuosos con los derechos de los trabajadores.

Concluyendo, la tan esperada regulación se hizo de rogar, pero sin duda, ha llegado para sentar las bases legales a una fórmula hasta ahora, ignorada en España. Ahora, es el turno de trabajadores y empresas para adaptarse a una nueva realidad cuyas bases se están construyendo con rapidez, y en la que el teletrabajo ya no es negociable, sino necesario.

Como dejó escrito, Séneca… “No hay nadie menos afortunado que el hombre a quien la adversidad olvida, pues no tiene oportunidad de ponerse a prueba”.

Aunque suene a tópico, la importancia económica de la publicidad en Internet es innegable: según IAB, el pasado año se convirtió en el canal con una mayor inversión, superando por vez primera a la televisión; y la tendencia, al menos hasta el impacto de la crisis sanitaria en la que estamos inmersos, no es sino ascendente. El motivo de este éxito no se debe únicamente al uso masivo de la Red por parte de los ciudadanos, sino especialmente a la capacidad de impactarles con contenidos publicitarios personalizados, basados en sus patrones de navegación. Y en este escenario, las cookies (y tecnologías similares) juegan un papel esencial.

Consciente de esta creciente importancia, la Agencia Española de Protección de Datos (AEPD) publicó a principios de noviembre del pasado año una nueva edición de su «Guía sobre el uso de las cookies». Sin embargo, fuimos muchos quienes le auguramos un corto recorrido, por un motivo sencillo: se apartaba de las interpretaciones (más restrictivas) realizadas por otras agencias europeas, como la francesa o la holandesa, por poner dos ejemplos.

Ante las discrepancias entre las autoridades de control, el Comité Europeo de Protección de Datos (CEPD) publicó este mayo una revisión de sus directrices sobre consentimiento, con el objeto de aclarar, especialmente, su interpretación en relación a las cookies… y a la vista de su contenido, era evidente que la Guía de la AEPD tenía que ser corregida. Pues bien, esa actualización ha llegado hoy.

La principal novedad, como era previsible, tiene que ver con la autorización para la utilización de estas tecnologías por parte de los usuarios: mientras que la versión anterior afirmaba que «continuar navegando» podría entenderse como una vía suficiente para aceptar su uso, el nuevo documento introduce un cambio de enfoque radical, y establece, negro sobre blanco, que seguir navegando no es una forma válida de prestar el consentimiento. Todo ello, en línea con las directices del CEPD, que decían lo siguiente (la traducción es mía):

«Conforme al considerando 32, acciones como hacer scroll o deslizar el dedo por una página web, u otras similares, no satisfarán bajo ninguna circunstancia el requisito de una acción clara y afirmativa: tales acciones pueden ser difíciles de diferenciar de otras actividades o interacciones realizadas por el usuario y, por tanto, no bastarán para determinar que se ha obtenido un consentimiento inequívoco».

La consecuencia natural de este cambio de criterio es que la mayor parte de los sitios web transitarán hacia un modelo de aceptación expresa, mediante un botón que el usuario habrá de clicar para consentir el uso de estas tecnologías. Ciertamente, el documento no descarta que otras acciones puedan ser igualmente válidas, pero exige que «las condiciones en que se produzca la conducta ofrezcan suficiente certeza de que se presta un consentimiento informado e inequívoco y pueda probarse que dicha conducta se ha realizado»; por lo que, en nuestra opinión, el botón «Aceptar» va a convertirse en la opción favorita para la mayor parte del mercado.

Otro de los cambios de criterio incluidos en la guía tiene que ver con los llamados «muros de cookies», o «cookie walls», que deniegan el acceso a un sitio web si no se aceptan las cookies. Mientras que el anterior documento los admitía en determinados supuestos, ahora no podrán ser utilizados, a no ser que «se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies». El motivo, nuevamente, son las directrices del CEPD, que recordó que en tales casos «no se permite al interesado una verdadera elección, por lo que el consentimiento no se otorga libremente».

Por lo demás, la nueva versión de la Guía incluye determinadas aclaraciones y puntualizaciones con respecto a la versión anterior, como por ejemplo, que ofrecer al usuario información sobre cómo desactivar las cookies a través de la configuración del navegador no basta para cumplir con la normativa:

«El editor debe ofrecer al usuario, en todo caso, una fórmula para que pueda denegar o revocar el consentimiento prestado para el uso de cookies, a través de su propia página web o, en su caso, facilitar información sobre las herramientas proporcionadas, para la retirada del consentimiento, por los terceros que utilizan las cookies, para que el usuario pueda ejercer su derecho a retirar el consentimiento tan fácilmente como lo otorgó».

Sin embargo, el calado de estas modificaciones no es, ni de lejos, tan relevante como el relativo al consentimiento, que se aleja diametralmente de la interpretación que tradicionalmente venía realizando la AEPD. ¿Que era previsible, a la vista de los criterios de las autoridades europeas? Sin duda; pero aquellas empresas que confiaron en la anterior redacción e invirtieron en modificar sus sitios web para adaptarse a sus directrices estarán, con toda probabilidad (y con razón), indignadas. Por lo pronto, el plazo para adaptarse a esta nueva realidad finaliza el 31 de octubre. ¡Mucho ánimo!

¿Puede tu negocio funcionar sin alojar los datos en un servidor? ¿Acudes a un proveedor para comunicarte con tus clientes? ¿Usas un software personalizado para desarrollar la actividad de tu empresa? Es incuestionable que hoy día la tecnología es un elemento transversal para cualquier negocio. En un mundo globalizado, el concepto de fronteras territoriales es cada vez más difuso y las compañías vuelcan cada vez más su actividad en la vertiente “2.0”, incluso en su rama de negocio tradicional y presencial. Servicios de hosting, software en la nube, mailing, call center, pagos online o contratación electrónica son ya una parte esencial de la actividad económica y, si pensamos en un proveedor tecnológico para proporcionar estos servicios, probablemente se tratará de una empresa de los Estados Unidos.

No obstante, parece que esta relación es cada vez más difícil en lo que a intercambio de datos se refiere. ¡Y no será por falta de voluntad! Pero para cada nuevo intento, los “padres” de la pareja ponen una nueva traba para que el vínculo no termine de afianzarse. El último capítulo se vivió ayer, con la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) que tumbaba la Decisión 2016/1250, de la Comisión, que permitía las trasferencias de datos entre EE.UU. y la U.E. a través del «Privacy Shield».

En esencia, el llamado «Escudo de Privacidad» se configuró como un acuerdo marco entre EE.UU. y la U.E. para permitir que aquellas empresas estadounidenses que se adscribiesen voluntariamente al mismo pudiesen recibir transferencias internacionales sin necesidad de aplicar garantías adicionales. Este ha sido el penúltimo movimiento a través del cual se llegaba a un acuerdo de adecuación para que los States y el Viejo Continente pudiesen regularizar sus transferencias de datos pero, como pasó con el anterior pretendiente, Safe Harbor, la relación no ha resistido el escrutinio judicial.

Los motivos han sido los mismos: querer “ser bueno” a la hora de tratar los datos de los europeos no es sinónimo de poder ser bueno. El TJUE entiende que el compromiso contractual que adquieren las empresas al unirse a Privacy Shield, para asumir obligaciones y medidas de tratamiento de datos acordes a las exigencias del RGPD, queda muy debilitado cuando esas mismas empresas operan en un país cuya administración puede requerirles cualquier información que sus autoridades consideren conveniente; en pro de, por ejemplo, la seguridad nacional.

Al final, esta situación se antoja complicada de resolver, ya que las partes arrastran un problema de base que es muy difícil de superar: la U.E. y EE.UU. entienden la privacidad y la protección de datos de manera muy distinta, y esas diferencias dificultan que la relación entre ambos pueda regularizarse a través de acuerdos marco como Privacy Shield o Safe Harbor, pues no dejan de ser mecanismos bienintencionados, pero cuyo cumplimiento escapa a la capacidad de las empresas que se adhieren a ellos, que deben responder ante todo frente a su normativa local.

Además, parece que Europa está cada vez más decidida a que los datos “circulen en casa”. La vigilancia de los Estados miembros a nivel fiscal, mercantil y societario sobre los grandes proveedores extranjeros es cada vez mayor, y se pretende siga aumentando. ¿Se arriesgarán estos proveedores a perder el trozo de pastel que suponen los países de la Zona Euro?

Por lo pronto, nos toca esperar a conocer la opinión de las autoridades de control y el Comité Europeo de Protección de Datos sobre esta cuestión, pero parece claro que a las empresas con proveedores americanos les tocará, previo período de gracia, revisar su relación con sus proveedores, bien buscando la posibilidad de traer los datos a servidores europeos o bien abordando alguna de las vías de regularización de las transferencias internacionales de datos contempladas por el RGPD.

Y hablando de otras vías de regularización de transferencias internacionales de datos… La propia resolución del TJUE complica otra vía de escape muy utilizada por los proveedores extranjeros de la U.E.: las cláusulas contractuales tipo. Por un lado, el alto tribunal europeo lanza una salvavidas al indicar que las mismas siguen siendo un medio válido de regularización, pues contemplan su invalidez en caso de que el proveedor no tenga garantías de poder cumplir su clausulado y, por lo tanto, se auto-limitan en caso de que haya riesgos palpables de incumplimiento por parte del proveedor. Pero, intencionadamente o no, el TJUE abre un melón que trasciende de la mera relación U.E. – EE.UU., porque… ¿qué posibilidades tiene un proveedor de cumplir con las cláusulas contractuales tipo cuando está sometido a la normativa de países con una marcada política proteccionista y de control, como pueden ser China, Rusia o ciertos países de Oriente Medio?

Parece que Europa pretende cada vez más convertirse en un búnker para la seguridad de los datos de sus ciudadanos, y que los flujos internacionales de datos deberán sustentarse en condiciones y garantías muy marcadas, con poco margen para que los países extranjeros tengan vías de escape a la aplicación integral de nuestra normativa de protección de datos. El pulso lleva produciéndose desde hace años, y este ha sido el penúltimo capítulo.