Nuevas reglas de juego en la red de redes, cambios, comportamientos, alcances y pormenores.
Por Osvaldo Gallegari*
En la actualidad resulta muy dificultoso mantener a resguardo la información personal y privada, dado que simplemente por un amigo que difunda esta información al cabo de 8 horas da la vuelta al globo. El tema es que dicha información llegue a un público determinado y quede allí, lo cual dista de ser lo deseado por el usuario expuesto, los alcances pueden ser inimaginables o inesperados.
Por suerte la sociedad en general, salvo científicos o especialistas con dones particulares pueden mantener vigente dicha noticia o hecho.
Tal es el caso que surgió en el mundial de Rusia 2018, donde algunas personas jugaron con el idioma gastando bromas de mal gusto en videos caseros, los cuales se viralizaron globalmente en cuestión de horas, llegando a estar en las primeras tapas de los diarios con alcance mundial, lo cual parece ser su nueva forma de dar información.
Esto generó efectos colaterales para dichas personas al regreso a su país, por ejemplo los clientes de uno de estos sujetos dejo de asistir a su comercio por el efecto de rechazo que produjo tal broma.
Ahora bien, pasado dos meses del evento nadie se acuerda del hecho en forma fehaciente, una vaga noción de que se trataba el mismo y al contrario del efecto incial inspira en sus clientes una curiosidad mayor viendo lo que sucedió como algo de importancia, el factor de ello es el recuerdo difuso en la memoria colectiva.
Nada que se viralice permanece vigente si personas o medios lo recuerdan diariamente, hay una frase muy famosa en televisión que es “nadie resiste un archivo”.
Por otro lado las personas ejercen cierto narcisismo o fetichismo al filmar videos propios, es el efecto de la popularidad lo que atrae a hacerlo. Los daños colaterales pueden ser impensados.
Nuevo Reglamento Europeo de Protección de Datos
Con la introducción de las modificaciones de las normas de protección de datos Europea documentamos información de uno de sus países asociados, España. Puede pensarse: ¿En que afecta a Latinoamérica?
10 principales novedades del nuevo Reglamento Europeo de Protección de Datos
1. Nuevos principios
El art. 5 del GDPR contiene la lista de principios a tener en cuenta en el tratamiento de datos personales.
Algunos de ellos ya estaban previstos en la LOPD, pero se añaden otros nuevos.
Principio de Transparencia
“Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”.
Este principio se centra en facilitar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control.
Su materialización conlleva un importante cambio, ya que desaparece la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control.
En el nuevo GDPR se ha definido un “Registro de actividades de tratamiento”.
Este registro se llevará a cabo de forma interna y contendrá, entre otros, los siguientes datos:
- nombre y datos de contacto del responsable del tratamiento
- nombre y datos del Delegado de Protección de Datos
- finalidad del tratamiento
- descripción de categorías del interesado
- descripción de categorías de datos tratados
- las transferencias internacionales de datos
- Principio de limitación de la finalidad
“Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (…).
Estos fines explícitos y legítimos deberán determinarse en el momento de la recogida de los datos.
Minimización de datos
"Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.
En la edad de oro del Big Data este principio obliga a aplicar las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento (Artículo 25.2).
2. Nuevos derechos de los ciudadanos
La Ley Orgánica de Protección de Datos establecía 4 derechos para los interesados: Acceso, Rectificación, Cancelación y Oposición (conocidos en España como derechos ARCO).
- Ampliación de Derechos
- Derecho a la transparencia de la información, (art. 12)
- Derecho de supresión (derecho al olvido), (art. 17)
- Derecho de limitación, (art. 18)
- Derecho de portabilidad, (art. 20)
Por sus importantes consecuencias prácticas analizamos con más detalle el derecho al olvido y el derecho a la portabilidad:
Derecho al olvido
El nuevo GDPR establece que cualquier persona tendrá derecho a que su información personal sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando quien posea esos datos no tenga razones legítimas para retenerlos.
Además obliga a los responsables de los datos que han difundido la información a terceros a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia o réplica de dichos datos.
Su objetivo es conseguir eliminar de la red y de los buscadores cualquier rastro que haya de los datos de la persona que quiere ser “olvidada” de manera definitiva.
Derecho a la portabilidad
En el nuevo GDPR se prevé la posibilidad de transmitir los datos de un responsable a otro, de forma que el interesado tendrá derecho a que los datos personales se transmitan directamente cuando sea técnicamente posible.
Un ejemplo habitual es cuando un particular quiere cambiar de operadora de telecomunicaciones o de compañía de electricidad: la portabilidad permite que los datos personales del particular se transfieran directamente a la nueva compañía escogida, de forma ágil y sencilla para el usuario final.
Además de incorporar estos nuevos derechos, el GDPR también exige que se creen procedimientos visibles, accesibles y con un lenguaje sencillo para facilitar al interesado el ejercicio de sus derechos. Además tendrá que ser posible a través de medios electrónicos como indica el Considerando 59.
3. Ampliación del deber de información
Nuestra legislación actual establece que a la hora de recoger el consentimiento de los interesados se les debía informar de la persona responsable del fichero, de la existencia de los ficheros inscritos en el Registro General de Protección de Datos, de la finalidad de la recogida de los datos y de la posibilidad de ejercitar los Derechos ARCO.
Desde mayo de 2108, además de estos datos, el Reglamento exige la obligación de informar sobre nuevos aspectos:
- Se tiene que explicar la base legal para el tratamiento de los datos
- Se debe informar acerca del periodo de conservación
- Se debe informar acerca de la posibilidad de hacer reclamaciones
- Se debe informar de los demás derechos que incorpora el nuevo RGDP
4. Obtención del consentimiento para el tratamiento de datos
La actual LOPD exige el consentimiento inequívoco de los interesados para el tratamiento de sus datos. No obstante, si los datos recabados no son especialmente sensibles (como por ejemplo los datos biométricos), se admite que dicho consentimiento pueda ser tácito.
El GDPR mantendrá los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco.
Sin embargo, como novedad respecto de la LOPD, el nuevo GDPR indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad.
Nota importante
El silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento
Por otra parte, otras de las novedades importantes es en relación con el tratamiento de datos de menores.
En España, la LOPD establece, salvo excepciones legales, la posibilidad de recabar datos personales de mayores de 14 años sin necesidad de obtener el consentimiento de sus padres.
Desde mayo de 2018 no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.
¿Hay que obtener el consentimiento explícito de clientes ya existentes según el nuevo GDPR?
Uno de los aspectos que está provocando mayor debate es la forma en que se van a regular los consentimientos de clientes o usuarios obtenidos con anterioridad a la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos.
En este sentido, el nuevo GDPR es tajante: si el consentimiento no se encontraba claramente identificado o se basó en formas tácitas o por omisión, deberá volverse a solicitar.
Habrá que tenerlo muy en cuenta, porque el tratamiento de datos sin el consentimiento de los usuarios se entiende como una infracción muy grave según el nuevo reglamento.
Conclusión parte I
En América en general se ven reflejados estos cambios y muchas veces obligados por los sitios web de origen internacional, los cuales despliegan ventanas emergentes con avisos de utilización de cookies en sus páginas.
Si bien las redes sociales son marcadores actuales de tendencias últimamente han tenido una retracción importante como es el caso de Facebook® al conocerse robo de información personal por agencias de inteligencias, algo cercano a lo obvio pero con las últimas denuncias en elecciones presidenciales tomo vigencia la protección individual. Igualmente como hemos comentado en artículos anteriores hay una gran distancia entre las personas que administran las redes y la gente común. Si alguien discute por ejemplo una filtración en Twitter ® tiene que aplicar recursos muy costosos para elevar una información a la justicia.
Uno de los factores que impulso a la Comunidad Europea fue la hegemonía del buscador Google respecto a la parcialidad o no en los resultados de búsqueda, los cuales hacían temer una dirección en el posicionamiento del mercado, una lucha de poderes y gobierno entre: donde está la información, quien la ve y quien la consume.
Igualmente Europa al frenar el monopolio de los buscadores sentó un precedente legal en la gran red de redes, si bien no se detuvo hubo un freno considerable, simplemente con ver gran cantidad de empresas adoptar la postura de “Cubrirse” al indicar que su sitio posee “Cookies” los cuales podrían recabar sus datos personales, lo bueno es que antes se hacía y no lo informaban y ahora lo dicen y lo hacen.
En la parte II veremos los siguientes temas Obtención del consentimiento para el tratamiento de datos | Establecer acciones y medidas de seguridad|. Evaluación de impacto del tratamiento de datos personales |Comunicación de fallos a la autoridad de protección de datos | La Figura del Delegado de Protección de Datos |Las autoridades de protección de datos
Glosario de abreviaturas:
LOPD: Ley Orgánica de Protección de Datos
GDPR: Reglamento General de Protección de Datos
Los sitios, información y productos mencionados son sitios y productos registrados de sus propios autores, se refleja información de sitios confiables con amplia reputación.
*Para más información comunicarse con el autor de estos artículos escriba a [email protected]
Deje su comentario