Asociación Nacional de Anunciantes de Colombia
Calle 98 # 9 - 03 Oficina 606
Bogotá, Colombia

La ley europea que transformará las reglas de juego en internet: GDPR

25 Mayo, 2018

Empresas, servicios y aplicaciones de todo tipo cambian sus políticas de privacidad para ajustarse. 

La última semana probablemente ha recibido numerosos mensajes y notificaciones en sus cuentas de correo, redes sociales, aplicaciones, suscripciones y servicios de streaming. Pero, ¿por qué todos los sitios y empresas en línea están cambiando sus políticas de privacidad? Este no es un momento corriente.

Con la entrada en vigencias de las nuevas reglas de privacidad en Europa, Internet se está sacudiendo. Lo que piden estos mensajes es su autorización para una nueva forma de tratar su información.

Después del 25 de mayo, se espeera que gigantes del internet, como Google, Apple y Facebook, comiencen a regirse por estas normas, que son más estrictas. Por su parte, compañías como Microsoft y Twitter, que ajustaron sus políticas por el reglamento, han anunciado que aplicarán las políticas actualizadas en todo el mundo.

Aunque el Reglamento General de Protección de Datos (GDPR por su sigla en inglés) entró en vigor el 24 de mayo de 2016, empezará a aplicarse desde este próximo viernes. Si bien se trata de un marco legal europeo, la medida refleja un esfuerzo por tratar de ir más allá de las fronteras de la UE y adelantarse a las posibilidades tecnológicas para el uso de información.

Es de resaltar, por ejemplo, que las reglas no solo protegen la privacidad de quienes viven en Europa. El GDPR aplica por ejemplo para una empresa que está en Europa y procesa los datos en otro lugar o estudia la información de usuarios por fuera de la UE.

Tal como lo explica el documento: “La tecnología ha transformado tanto la economía como la vida social, y debería facilitar aún más la libre circulación de datos personales dentro de la Unión Europea y la transferencia a terceros países y organizaciones internacionales, al mismo tiempo que un alto nivel de protección de datos personales”.

A grandes rasgos, ahora quienes recolecten, procesen y usen datos personales tendrán que decir para qué los van a utilizar, durante cuánto tiempo, con quiénes los compartirán, cómo se puede acceder, actualizar o cancelar el servicio, y también tendrán la obligación de notificar por pérdida o filtración de datos.

Los puntos clave del GDPR abordan la transparencia, la claridad, el consentimiento y la información sobre el tratamiento de los datos, entre otros. Se establecen multas por el incumplimiento de las normas y se hace un énfasis importante en la protección de menores, el derecho al olvido y la información sobre salud y datos que permitan reconocer a las personas.

En caso de incumplimiento, el GDPR plantea multas. Las infracciones menos graves serán penalizadas con hasta 10 millones de euros y en el caso de una empresa, hasta el 2 por ciento del volumen de facturación anual. En caso de que las infracciones sean graves, las multas serán de hasta 20 millones euros o hasta el 4 por ciento del volumen de facturación anual.

El tema de la privacidad se ha ubicado dentro de las prioridades de la agenda internacional este año. Prácticamente todos los sitios web, servicios o herramientas que trabajen con datos, y tengan alguna relación con Europa, tendrán que ajustarse a nuevas reglas, que llegan en un contexto de preocupaciones sobre la protección de la información de los usuarios por el escándalo de Facebook - Cambrigde Analytica, y un creciente escrutinio sobre el rol los gigantes de internet en fenómenos como el discurso de odio y las noticias falsas.

La preocupación se recoge en un fragmento del texto del GDPR, que reza: “La tecnología permite ambos las empresas privadas y las autoridades públicas para hacer uso de los datos personales en una escala sin precedentes con el fin de perseguir sus actividades. Las personas naturales cada vez más hacen que la información personal esté disponible pública y globalmente”.

El consentimiento del usuario y otras protecciones
El consentimiento de los usuarios, según el GDPR, debe quedar muy claro. Debe demostrar una “indicación inequívoca” del acuerdo del usuario interesado con el procesamiento de datos personales relacionados con él. Para ello puede aceptarse una declaración escrita, incluso por medios electrónicos, o una declaración oral.

Si bien eso no afecta en mayor medida el ‘si, acepto términos y condiciones’ que muchos usuarios aceptan casi sin leer, las organizaciones que procesan los datos deberán demostrar que el usuario estaba de acuerdo, sabía para qué se iban a procesar sus datos y podía ajustar técnicamente sus preferencias. En el caso por ejemplo de dar permisos en línea, si la solicitud se realiza por medios electrónicos, debe ser “clara, concisa y no innecesariamente perjudicial al uso del servicio para el cual se proporciona”.

La ley es clara frente a que “el silencio, las casillas previamente marcadas o la inactividad no deberían constituir consentimiento”, lo que impide que hayan preferencias 'por defecto' que apliquen indiscriminadamente.

Las organizaciones también tendrán que aclarar y pedir consentimiento para todas las actividades de procesamiento llevadas a cabo con un mismo propósito y cuando el proceso sea para múltiples propósitos, necesitarán el consentimiento para todos ellos.

La ley habla de un principio de transparencia que exige que la información dirigida al público sea concisa, de fácil acceso y fácil de entender. Los términos y condiciones deben ir en un lenguaje claro, sencillo y, además, donde pueda ser visualizado apropiadamente, especialmente en el caso de los niños.

Ahora será relevante que el ‘interesado’ conozca y comprenda por quién y con qué propósito se recopilan sus datos personales relacionados. Por ejemplo en el caso de la publicidad en línea, debe ser claro que los datos son usados para ello. Además, si la compañía desea procesar datos personales para un propósito que no sea el que inicialmente se solicitó, deberá informar sobre ello antes de hacerlo y con la información necesaria.

La protección aplica independientemente de las técnicas, manuales o automáticas, que se utilicen para procesar los datos personales, pero no aplica por ejemplo para la información anónima. Incluso, la reglamentación incluye un esfuerzo por incentivar la anonimización de la información, de manera tal que los datos procesados no permitan identificar al sujeto como tal. De esta forma, la información que es usada para fines estadísticos o de investigación y está correctamente anonimizada no tiene ningún inconveniente.

Frente a los niños, el reglamento dice que merecen una protección específica por poder ser menos conscientes de los riesgos y consecuencias del tratamiento de sus datos personales para sus derechos. Específicamente, la protección aplica al uso de datos personales de menores con fines de comercialización o creación de perfiles de personalidad o de usuario y a la recopilación de datos personales de menores a través de servicios ofrecidos directamente a ellos.

Fuente: http://m.eltiempo.com