Demasiada información: la Expo 2025 y el escaso respeto por los datos personales

Amplia información requerida

Para obtener la Expo ID, necesaria para la compra de entradas electrónicas, los usuarios deben aceptar la “Política de Protección de Información Personal” establecida por la Asociación Japonesa para la Exposición Universal de 2025 (en lo sucesivo, la Asociación). La primera cuestión criticada fue el alcance excesivamente amplio de la información personal recopilada.

Inicialmente, se requería proporcionar información en principio necesaria para la compra de entradas electrónicas, como el nombre, la dirección y el número de tarjeta de crédito, pero también otros datos como la información de ubicación, la información biométrica (fotos faciales, huellas dactilares), la información profesional (nombres de empresas y departamentos), la posesión de certificados de discapacidad, las cuentas y contraseñas de redes sociales, el estado civil o el número de hijos.

La Asociación explicó que la exhaustividad se debía a la necesidad de dar cabida a diversos eventos y al registro de identificaciones para el personal y las partes interesadas, nacionales e internacionales. Sin embargo, la recopilación de información personal de tan amplio alcance suscitó una oleada de comentarios en las redes sociales, que expresaban preocupación y preguntaban cuál era el propósito; muchos declaraban que el requerimiento les provocaba miedo. Después de que el ministro de la Expo, Itō Yoshitaka, se viera obligado a dar explicaciones en la Dieta, la Asociación anunció el 28 de marzo que eliminaría ítems como las huellas dactilares y la información relacionada con las redes sociales de la información recopilada, y que limitaría los destinatarios de la información a los expositores de los pabellones y otros.

La polémica de los datos se extiende a los pabellones

En relación con la propia Expo, también se informó de que el “Osaka Healthcare Pavilion”, establecido por la prefectura y la ciudad de Osaka, recopilaría datos de salud de los visitantes que dieran su consentimiento y se los proporcionaría a algunas empresas patrocinadoras.

La Oficina de Promoción de la Expo de la prefectura y la ciudad había dado por supuesto que no habría ningún problema, ya que los datos proporcionados a las empresas se procesarían para dificultar la identificación de las personas. Sin embargo, se señalaba que incluso los datos procesados podrían utilizarse para identificar a las personas si se cotejaban con los datos originales u otros datos en poder de las empresas.

Posteriormente se revisó la “Política de Tratamiento de la Información Personal” relacionada con el pabellón, y se modificó el uso de esa información del siguiente modo: “No trataremos la información sobre los participantes más allá del alcance necesario para lograr el propósito de uso, excepto cuando lo permitan la Ley de Protección de la Información Personal y otras leyes y reglamentos”. No cabe duda de que esta revisión se debió a las críticas de los medios de comunicación.

Estos casos han puesto de manifiesto la falta de conciencia sobre el tratamiento de la información personal en Japón y la insuficiencia de la normativa legal. Un “desliz” como este, en un evento que está atrayendo la atención mundial, está creando una situación en la que los ciudadanos de países con una alta conciencia de la información personal pueden llegar a sentir una profunda desconfianza.

En Occidente sería objeto de sanción

Veamos ahora la situación en Europa y Estados Unidos. La Unión Europea ha establecido el Reglamento General de Protección de Datos (GDPR), que establece los principios relativos al tratamiento y la transferencia de datos personales, las obligaciones de los controladores y procesadores de dichos datos y su protección. Aunque es una ley de la UE, el GDPR se aplica a todas las empresas que operan en Europa.

En 2019 las autoridades francesas impusieron una multa de 50 millones de euros a Google por infringir el GDPR. Fue el primer caso de sanción contra una gran empresa de TI estadounidense en virtud del GDPR. Aunque no se filtró información personal, se consideró que no cumplía la ley.

En Estados Unidos la Ley de Protección de la Privacidad Infantil en Línea (COPPA) protege a los menores de 13 años. En 2019, la Comisión Federal de Comercio (FTC) y el Fiscal General del Estado de Nueva York presentaron una demanda contra Google y su filial YouTube por violar la COPPA. Se alegaba que YouTube había recopilado ilegalmente información personal de niños en sus canales infantiles sin el consentimiento de los padres, caso que se resolvió con el acuerdo de un pago de 170 millones de dólares.

A la luz de estos ejemplos, el caso de la Expo ID probablemente se consideraría punible. El mecanismo para obtener la Expo ID en la versión inglesa de la página también requiere la aceptación de la política de privacidad. El hecho de que se solicitara la aceptación de la política de privacidad pese a la escasa fuerza de la base jurídica para el tratamiento de la información, y que se asignara de forma tan estricta el alcance de los “intereses legítimos” de los usuarios individuales, que deberían estar ampliamente protegidos, podrían haber supuesto una infracción del GDPR.

Es poco probable que los organismos de protección de datos de la UE y el Reino Unido señalen la Expo ID como un problema o impongan sanciones. Sin embargo, teniendo en cuenta que se trata de una política de protección de datos personales en un proyecto nacional que atraerá a gente de todo el mundo, debería haberse adaptado para cumplir con las leyes de otros países y regiones y para no crear problemas a escala mundial.

La necesidad de alinearse con los estándares globales

En Japón, la revisión de la Ley de Protección de Información Personal de 2015 exige que las empresas privadas, al proporcionar información personal de sus usuarios a terceros, incluyan dicha provisión en sus políticas de privacidad y presenten una notificación previa a la Comisión de Protección de Información Personal del país. Aunque la legislación relacionada con la información personal está avanzando gradualmente para adaptarse a la era de internet, aún no es suficiente.

El marketing encubierto, el acto de promocionar productos y servicios ocultando el hecho de que se trata de publicidad, fue prohibido por la Ley de Premios e Indicaciones Indebidos en octubre de 2023. Hasta entonces el marketing encubierto por parte de personas influyentes se hallaba muy extendido, y las páginas de reseñas y las redes sociales se encontraban inundadas de información poco fiable, algo aún fresco en la memoria. Japón tomó la decisión de regular el marketing encubierto porque era ilegal en muchos países extranjeros; era el único país entre los principales miembros de la OCDE, la Organización para la Cooperación y el Desarrollo Económicos (los 9 países principales por PIB nominal) que no tenía regulaciones sobre marketing encubierto. En una red donde las personas están conectadas entre sí a través de las fronteras, es obvio que el enfoque de un solo país no funciona.

Las encuestas han demostrado que las solicitudes de marketing encubierto a personas influyentes han disminuido desde que se aplicó la ley al respecto, lo que demuestra claramente la eficacia de la legislación. Aunque quedaron expuestos fallos en el sistema de forma involuntaria en el caso de la Expo ID, ha llegado el momento de promulgar leyes que se alineen con los estrictos estándares occidentales con respecto al manejo de la información personal. Al mismo tiempo, se debe mejorar la alfabetización informacional y la conciencia sobre la información personal de cada ciudadano a través de diversas formas de educación. Debemos apresurarnos a identificar los problemas y desafíos únicos de Japón y a examinar la coherencia con las regulaciones legales en el extranjero.

(Artículo traducido al español del original en japonés. Imagen del encabezado: el recinto de la Exposición Mundial de Osaka-Kansai, cuya inauguración está prevista para el 10 de marzo de 2025, en el distrito de Konohana, ciudad de Osaka; fotografía realizada con un vehículo aéreo no tripulado - Jiji Press.)