El nuevo Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea tendrá aplicación efectiva a partir del 25 de mayo e implicará cambios en la forma en que las empresas acceden y utilizan los datos de sus usuarios. La vieja máxima de “si no estás pagando por el producto, tú eres el producto”, podría no sostenerse bajo esta nueva regulación.
El GDPR ha provocado una serie de actualizaciones de las políticas de privacidad de las grandes plataformas tecnológicas, porque involucra a cualquier operador o gran plataforma de internet, sin importar dónde tenga su sede o sus servicios, siempre y cuando maneje datos de personas o instituciones europeas y desarrolle actividad comercial o haga análisis de perfiles de uso de esta información, ya sean con fines comerciales o políticos.
La nueva normatividad exige la privacidad desde el diseño y el consentimiento explícito del usuario para que una empresa pueda usar sus datos personales con fines diferentes a los previstos inicialmente.
Y si bien en los extensas y poco leídos “Términos y condiciones” de los servicios y softwares se suele establecer que damos permiso al proveedor para que utilice nuestra información como le convenga, la GDPR ha generado que varias de las mayores plataformas tecnológicas (como Facebook, WhatsApp, YouTube y Twitter) actualicen sus políticas de privacidad para ajustarse a la nueva norma pues su incumplimiento las expone a sanciones que podrían llegar a $24.3 millones de dólares ($20 millones de euros) o el 4% de su facturación global anual.
Defensa de los derechos digitales
El mes pasado, 14 organizaciones civiles defensoras de los derechos digitales (entre las que estaban Acces Now, de Estados Unidos; SonTusDatos, de México; Asociación por los Derechos Civiles, de Argentina; Fundación Datos Protegidos, de Chile; Fundación Karisma, de Colombia, y Usuarios Digitales, de Ecuador) enviaron una carta abierta a Mark Zuckerberg, CEO de Facebook, para exhortarlo a que esta plataforma digital adopte el GDPR “como un estándar de referencia para los servicios de la red social proporciona en todo el mundo”.
Los firmantes afirmaron que “el tratamiento no regulado de datos personales amenaza el fututo porque expone a los usuarios a vulneraciones de datos personales, robos de identidad, constantes ciberataques y fraudes financieros”.
Dicha solicitud surgió después del escándalo de Cambridge Analytica, empresa que utilizó sin autorización de los usuarios más de 80 millones de cuentas de Facebook para inducir información política a través de técnicas poco claras y de manipulación de los mismos datos personales.
“El monitoreo de los usuarios de internet, basado en perfiles detallados y secretos con algoritmos opacos, representa hoy una amenaza latente: no sólo atenta contra la privacidad del consumidor, sino también es una afectación que va en contra de las instituciones democráticas”, subrayaron.
Se envió copia de la misiva a todos los ministros de Hacienda, de Finanzas, así como a instituciones y organizaciones latinoamericanas dedicadas a la protección de datos personales.
Cabe recordar que en diciembre pasado IT Masters Mag también abordó este tema, en “La prioridad de las empresas en 2018“.
Algunas recomendaciones para el manejo de páginas web
En todo sitio web la redacción de Aviso Legal, Política de Privacidad y Política de Cookies debe ser muy clara, accesible y estar escrita con un lenguaje sencillo. Además, deben incluir un espacio para que el usuario apruebe o rechace los términos.
En estos apartados deben figurar:
- La identidad del responsable de la gestión de datos y, en el caso de que proceda, la del delegado de protección de datos.
- Los datos que se están recogiendo y utilizando.
- La identidad o categorías de destinatarios de los datos personales, esto es, informar de aquellos servicios de terceros que usas en tu página web y que almacenan datos, como por ejemplo una plataforma de email marketing o el hosting.
- El plazo en el que se conservarán los datos personales o, al menos, el criterio para determinarlo.
- La finalidad de la utilización de los datos.
- Si los hay, la existencia de procesos automatizados. Por ejemplo, si se utiliza alguna herramienta de segmentación para la elaboración de perfiles de clientes o usuarios.
- El derecho del usuario a solicitar el acceso, rectificación, supresión o limitación en el tratamiento de sus datos.
Por otra parte, hay que ubicar correctamente todos los elementos informativos, incluyéndolos a pie de página, ya que todos los textos legales deben ser accesibles desde cualquier parte del sitio web.
En el caso de formularios, estos requieren especial atención, pues deben tener el consentimiento expreso del usuario y la aceptación de la Política de Privacidad antes de dejar sus datos. En este sentido, algunas recomendaciones serían: Incluir un checkbox solicitando, de manera explícita, que el usuario acepte la Política de Privacidad. (El checkbox no podrá estar previamente marcado.)
Debe vincularse a la Política de Privacidad y, además, añadir un texto resumen de la misma explicando el tratamiento que se hará a los datos introducidos en el formulario.
Empresas y el GDPR
Los proveedores de IT también están intentando acercar herramientas y recomendaciones para acatar los lineamientos de la nueva regulación. A través de un comunicado de prensa, Microsoft sugiere cuatro pasos a las organizaciones: detectar, administrar, proteger e informar.
- Detectar: es necesario saber si tu compañía maneja datos o relaciones con la Unión Europea para definir si GDPR aplica en tu organización.
- Administrar: revisa qué tipo de datos personales maneja tu organización y los procesos que utiliza. Además, es necesario administrar el acceso a la información para evitar el mal uso de la misma.
- Proteger: la seguridad de la información se ha convertido en un factor esencial para las empresas, pero a partir de esta regulación, las empresas deberán adoptar medidas técnicas para proteger los datos personales.
- Informar: el registro de los propósitos de procesamiento de la información, categorizarla, y el registro de acceso a los datos, requerirán de una auditoría que permita informar de las actividades realizadas en torno a los datos personales, permitiendo así controlar, detectar y evitar violaciones de privacidad.
En tanto, en su más reciente Reporte de Disponibilidad, Veeam indica que 7 de cada 10 organizaciones en México reconocen tener una brecha de protección, que es cuando su tolerancia ante datos perdidos se ve excedida por la falta de habilidad del área de IT para proteger dichos datos con la frecuencia suficiente.
“En términos generales, todo indica que aún hay mucho trabajo por hacer a nivel nacional: es momento de revertir esto. Todas las empresas e instituciones gubernamentales deben ser capaces de garantizar la seguridad de todos los datos personales que recopilen y procesen”, indica Abelardo Lara, Country Manager de Veeam en México. “Dados los tiempos de transformación digital, también es preciso que construyan –y sigan optimizando– una infraestructura enfocada en un manejo inteligente de datos, que habilite la híper-disponibilidad de estos en un ambiente completamente flexible, confiable, eficiente y seguro.”
Lara suma cinco lecciones fundamentales que aprendió Veeam con respecto a lo que las organizaciones deben procurar ante las nuevas exigencias del GDPR:
- Conocimiento de los datos. Estar al tanto de la información personal identificable (PII, por sus siglas en inglés) que la organización recopila y posee, así como quién tiene acceso a ella.
- Gestión de los datos. Establecer reglas y procesos para el acceso y uso de dicha información.
- Protección de los datos. Implementar y garantizar que existan controles de seguridad en marcha para proteger la información y responder ante una posible violación de la seguridad de los datos.
- Documentación y cumplimiento. Documentar los procesos, ejecutar las solicitudes de datos e informar sobre cualquier problema o violación de los datos dentro de las pautas establecidas.
- Mejora constante. Mantener una revisión periódica de los procesos y procedimientos de protección y privacidad de datos, a razón de garantizar la mejora continua.
