El caso de Cambrige Analytica, empresa que ocupó información personal de los usuarios de Facebook para hacer anuncios políticos en las elecciones presidenciales norteamericanas del 2016, puso en evidencia la vulnerabilidad del sistema actual.
Incluso en nuestro país, miles de usuarios comenzaron a cuestionar la información que le otorgaban a desconocidas aplicaciones a través de las redes sociales. Tanto en el contexto internacional, como nacional, se comenzó a trabajar en normas legales que protejan a los usuarios.
Una ley de resguardo
En Europa, situaciones como esta pronto podrían evitarse gracias al cambio de reglamentación de la Unión Europea. La norma comenzó a regir este 25 de mayo, y regula la forma en que las organizaciones usan y almacenan la información personal.
La regulación se centra en la privacidad y los derechos de los ciudadanos de la UE para proteger su privacidad.
Esta acción se está replicando en Chile, donde ya fue aprobada (tras una serie de modificaciones realizadas por la Cámara de Diputados) la Ley de Protección de Datos Personales. Ahora solo resta la comunicación al Ejecutivo del gobierno del Presidente Piñera para que la norma sea promulgada.
¿En qué se centran estas regulaciones?
Cristián Cabezas, Solutions Director en Dimension Data Chile, explica que “en el caso europeo las regulaciones se centran en los derechos de los ciudadanos, pero dado la naturaleza global de los negocios, estas normas pueden tener un impacto en las empresas de todo el mundo».
Las organizaciones que no cumplan estarán sujetas a sanciones que irán de forma escalonada. La nueva ley comprende 99 artículos, cada uno con subcomponentes, en donde los ciudadanos de la UE tienen derechos específicos enumerados en relación con su privacidad y su información de identificación personal.
Las organizaciones ahora tienen la responsabilidad de demostrar consistentemente que están protegiendo esos derechos, lo que puede ser muy similar a lo que suceda en el resto del mundo en un futuro cercano, según el experto de Dimension Data Chile.
Los 5 derechos
En resumen, estas normas resguardan 5 derechos:
- Derecho a ser olvidado. Conocida formalmente como el «derecho a borrar», esta disposición otorga a las personas el derecho de solicitar que su información de identificación personal sea eliminada o eliminada «sin demora indebida».
- Derecho a optar por no participar. Quizás se considere más acertadamente una cuestión de opción, la regulación requiere que los individuos den su consentimiento de forma activa para compartir su información personal con una organización. Este mandato va más allá de lo que muchas empresas están acostumbradas a considerar como consentimiento, ya que señala específicamente que «el silencio, las opciones pre-marcadas o la inactividad» no constituyen consentimiento.
- Derecho de acceso. En cualquier momento, las personas pueden solicitar y recibir información que detalle qué datos personales se procesan y con qué fines. Este derecho ayuda a las personas a garantizar la recopilación y el procesamiento legal de su información personal.
- Derecho a la portabilidad de datos. Las personas no solo tienen derecho a acceder a sus datos, sino que también tienen derecho a usar sus propios datos personales en múltiples servicios. Por ejemplo, el usuario de un servicio de transporte tiene derecho a solicitar que sus datos se transmitan directamente a un servicio competidor, y un cliente bancario puede solicitar que su información se comparta con una empresa de planificación financiera.
- Derecho a oponerse. En cualquier punto, los ciudadanos de la UE pueden objetar que la organización maneje sus datos personales. La regulación menciona específicamente el marketing directo y el perfil como usos de datos personales a los que los individuos pueden oponerse. Al recibir una objeción, las organizaciones deben proporcionar documentación sobre cómo se procesa y utiliza la información personal, lo que requiere una evaluación oportuna de qué datos se recopilan, dónde se encuentran y cómo se usan en cualquier momento. Si el individuo solicita que se eliminen sus datos, las organizaciones no solo deben hacerlo, sino también demostrar que los datos solicitados ya no se utilizan.