El año en curso se ha distinguido por la plaga de encabezados relacionados al destape de los malos manejos de información de usuarios por parte las empresas más comunes con alcance global. Desde el robo de datos a Uber en México (Terminando en una recomendación por parte de la PGR), el escándalo de Cambridge Analytica que llevó a una de las audiencias con mayor televisación (O streaming en este caso) de la historia de Estados Unidos hasta el intento de ciberataque al SPEI en que puso en jaque a los bancos mexicanos más importantes. Antes de esto, todos nos considerábamos ajenos a los riesgos que poner nuestros datos en una simple aplicación o página web podía representar, pero, a base de malas noticias hemos podido asimilar la importancia de nuestra información personal y poco a poco le empezamos a dar el carácter patrimonial que merece.
Uno de los primeros pasos para cambiar el terreno de juego lo tomó la Unión Europea, con la entrada en vigor del nuevo Reglamento General de Protección de datos (o frecuentemente mencionado como “GDPR” por las siglas en inglés). Aunque esta norma aplique únicamente a los países comunitarios europeos, también responsabiliza a aquellas empresas internacionales que de algún modo u otro posean datos de usuarios que residan en la Unión Europea.
Durante las últimas semanas, una avalancha de emails notificándonos sobre cambios en las políticas de privacidad, términos y condiciones (Ignorados por inercia) en nuestras aplicaciones frecuentes, no han sido porque sí sino un parteaguas a considerar en materia internacional de protección de datos.
De cualquier manera, seas empresario, emprendedor o únicamente un usuario cotidiano de internet, estar preparado para adaptarse a los nuevos mecanismos de manejo de información personal es un must para no meterse en problemas en el futuro.
Este reglamento cuenta con dos columnas vertebrales: La ampliación del espectro de categorías de datos protegibles y la aseveración de las consecuencias para quienes cometan infracciones relativas a dicha normativa.
Estos son los highlights simplificados a considerar por la entrada en vigor del RGPD:
– El RGPD utiliza el término “Datos personales” a cualquier información relacionada a una persona que pueda identificarla de manera particular (directa o indirecta).
– Aumento en la territoralidad de aplicación: Aunque el reglamento aplique a las compañías que procesen datos personales con ubicación dentro de la UE, también aplicará para aquellas compañías extraterritoriales que otorguen bienes y servicios (Tanto onerosos como gratuitos) a usuarios ciudadanos de la UE, y deberán nombrar a un representante dentro del territorio comunitario.
– Sanciones: Aquellos que incumplan el reglamento, pueden ser impuestos a una multa hasta del 4% del ingreso anual de la empresa o por veinte millones de euros. Esto aplicable tanto a controladores como procesadores de la información.
– Consentimiento: A partir de ahora, la solicitud de consentimiento en los términos y condiciones tendrá que ser clara y legible para el usuario. Quienes requieran el consentimiento tendrán que evitar la utilización semántica jurídica y utilizar un lenguaje común.
– Notificación de filtración: En caso de una filtración de información que pueda resultar en riesgo para los derechos de los usuarios, las compañías o procesadores de información estarán obligados a informar de esta filtración durante las primeras 72 horas después de estar enterados de dicha filtración.
– Derecho al acceso y portabilidad de datos: El usuario tendrá derecho a solicitar una copia electrónica de toda la información que la compañía tenga sobre él, así como confirmación de si su información está siendo procesada, dónde y con qué fines.
– Derecho a ser olvidado: El usuario tendrá derecho a que quien controle sus datos borre por completo su información otorgada y obligue a terceras partes a detener el proceso de su información. A esto se le conoce como “Data erasure”
– Privacidad de diseño: El controlador de informacíon deberá implementar medidas técnicas y organizacionales apropiadas de una manera efectiva para cumplir los requerimentos del reglamento para proteger los datos de sus usuarios.
– Oficiales de protección de datos: A partir de ahora, las compañías tendrán la obligación de mantener de manera interna un registro de los datos e información que manejen de sus usuarios. Para esto, deberán nombrar un OPD (Oficial de protección de datos), el cual podrá ser citado para controladores y procesadores cuyas actividades consistan en procesar operaciones que requieran monitoreo regular y sistemático por datos de larga escala, por categorías especiales o por datos relacionados con procesos penales. Los OPD deberán ser profesionales expertos en la protección legal de datos, podrá ser miembro del staff o un externo, sus datos deberán ser otorgados a la autoridad local de protección de datos y no podrán llevar actividades que puedan resultar en conflictos de interés.
El panorama de desfronterización de las actividades económicas que ha generado el internet, nos obliga a decir que es casi imposible (Incluso torpe) tener una startup o un negocio establecido que pueda operar online y no hacerlo tanto en el país de origen como en Europa.
Aunque México tenga una deuda legislativa en materia de protección de datos, tengo fé en que sin tener que esperar consecuencias mayores nuestros representantes puedan seguir la tendencia europea del momento, para asegurarle tanto a las empresas como a usuarios una certeza legal más realista y amplia del manejo de los datos e información. De manera independiente a las acciones de las autoridades, considero pertinente que las empresas mexicanas empiecen a enfrentar el escenario global del comercio online para actuar con competencia y responsabilidad.
El RGPD representa un punto de partida para un nuevo camino, aunque esté tomando a muchos por sorpresa, será el que nos lleve a una sociedad globalizada y armónica que de la importancia necesaria a la información personal para la protección actualizada de la esfera jurídica de los individuos.
Para más detalles, recomiendo sumamente visitar la página oficial de la Comisión Europea relativa a las reformas en materia de protección de datos: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-refor…
Por Gonzalo Rovira Plancarte.