26/05/2018

25 de Mayo, la otra revolución

El pasado 25 de mayo fue la fecha de aplicación obligatoria de la nueva normativa de protección de datos personales de la comunidad europea. ¿Sabés cómo afecta a la Argentina? 

Mucho se venía hablando de la nueva reglamentación de protección de datos personales, sancionada el 04 de mayo de 2016, y cuya aplicación comenzó el pasado 25 de mayo, dos años más tarde. En esos dos años corrió mucha agua bajo el puente y todo parece indicar que nadie está dispuestos a tolerar más irresponsabilidades en el tratamiento de datos personales. Todavía sigue caliente el escándalo de Facebook y Cambridge Analytica.

Como se repite hasta el hartazgo, con escasa novedad, los datos son el oro del siglo 21. Eso ya es sabido y solo para tener una idea de la importancia de la información en esta nueva era basta mencionar que en el año 2016 el valor de esos datos representó 300.000 millones de euros, o sea casi el 2% del PBI de la Unión Europea. Para el año 2020 se estima que se duplicará llegando a los 700.000 millones de euros.

Con seriedad y asumiendo la importancia de los datos en el mundo, la nueva reglamentación de protección de datos personales de la Comunidad Europea es de la más estricta del mundo, y se aplica a todas las empresas que operen en Europa independientemente del país de origen o radicación comercial. Por consiguiente, el alcance de la norma llega a la Argentina y debemos entender en cómo nos afecta.

En primer lugar, esta reglamentación la deben cumplir todas las empresas que manejen datos personales de clientes o usuarios europeos y se exige transparencia en recopilar, almacenar y procesar información.

Un punto importante en la normativa es que el consentimiento del cliente para poder recabar su información debe ser explícito, informado y revocable en cualquier momento. El titular de la información puede exigir que la empresa se los entregue en un formato adecuado, reconociéndole expresamente el derecho a la portabilidad de datos.

El derecho a la portabilidad es el que reconoce a las personas obtener los datos que la empresa ha recabado de uno en un formato estructurado, de uso común y de lectura mecánica. Este derecho es más amplio que el derecho al acceso a la información. Es decir, no solo tenemos la posibilidad de saber que datos nuestros las empresas tienen, sino el derecho a que me los den y pueda así, si quisiera, transmitirlos a otra empresa o disponer de ellos como desee.

Sin dudas, las exigencias de la ley obligarán a una redefinición de los Términos de Servicio de las empresas, las cuales deberán prestar atención a dos pilares fundamentales de la norma. El primero de ellos es la privacidad de diseño y el otro, la privacidad por defecto.

La privacidad en el diseño exige que los desarrolladores deben proteger los datos de los usuarios desde la fase inicial, y ello supone extremar las diligencias para que ello se cumpla. En ese sentido, se habla de la necesidad de contar con un especialista en materia de privacidad y protección de datos quién indicará los parámetros a cumplir.  

La privacidad por defecto va de la mano de la privacidad de diseño y exige que el resguardo de los datos personales de los usuarios sea lo más cerrado posible y entonces, sea el usuario quién decida libremente reconfigurar los parámetros para compartir información. Si vamos al caso práctico de Facebook cualquier publicación que hagas debería ser “solo yo” y uno debiera elegir compartirla con amigos o hacerla pública.

Además de los derechos mencionados, la ley exige que las empresas recopilen la menor cantidad de datos posibles, y los suficientes para cumplir con la funcionalidad prevista. A los datos recopilados solo tendrán acceso la mínima cantidad de personas posibles y aquellas que sean imprescindibles. Tampoco se podrán ceder a terceros si esta cesión es innecesaria, no es obligatoria o no esté explícitamente informada y consentida por el interesado. Para ello se pueden aplicar técnicas de seudoanonimización. Los datos se conservarán lo estrictamente necesario. Para finalizar, se prevé el derecho del usuario de conocer los tratamientos de sus datos personales, con información clara, concisa y entendible.

Lo más interesante de la nueva reglamentación son las medidas de cumplimiento, ya que si no existen multas o castigos para compelir, poco significado tendrán los derechos reconocidos. Las multas son severas, pudiendo llegar al 4% de la facturación global de una empresa (o 20 millones de dólares, la cantidad que sea mayor).

También, la reglamentación prevé el principio de responsabilidad activa(accountability), lo que conlleva a que serán las empresas las que implanten procesos internos y deban demostrar el cumplimiento de la norma.

En los próximos días, con el tiempo es que sabremos si los derechos reconocidos en el reglamento se pueden gozar, recordando el 25 de mayo como la fecha de otra revolución, o quedarán juntando polvo.

Te puede interesar
Ultimas noticias