Socio del estudio ONTIER. Líder del Área de Gobierno Corporativo y Compliance. Licenciado en Ciencias Físicas, CISA, CISM, CGEIT, ECPD. Director del Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC de la Universidad Autónoma de Madrid.
En las últimas semanas oímos hablar mucho de Facebook, de Cambridge Analytica y de Mark Zuckerberg como si recién se advirtiera de que existe algo maravilloso que es nuestra privacidad y que puede ser objeto de mercadeo.
Se empieza a darse cuenta de que las aplicaciones gratuitas que instalamos en nuestras computadoras, laptops, celulares y otros dispositivos no son, en realidad, tan gratuitas, pues las estamos pagando con nuestros datos. La pregunta a hacerse es ¿cuánto valen nuestros datos? Casi ninguno de nosotros leemos las condiciones de uso o la política de privacidad y le damos alegremente al check de aceptar. Es verdad, es farragoso y cansado leer todos esos documentos, pero deberíamos ser más conscientes de qué implicaciones puede comportar el no hacerlo. Casos como el de Facebook nos obligan a reflexionar sobre qué se está haciendo con nuestra información.
Política de privacidad
LPoco antes de que estallara el escándalo, en España se había sancionado a Facebook y a WhatsApp con 300,000 euros a cada compañía por cambios en su política de privacidad “por el que se actualizaban los términos de servicio y la política de privacidad con el fin de reflejar la integración de nuevas funciones y anunciar que a partir de ese momento los datos de los usuarios serían compartidos con Facebook para mejorar su experiencia de uso” (1). En España la Ley de Protección de Datos está en vigor desde 1992. En octubre del 2015, el Tribunal de Justicia de la Unión Europea ya había dado la razón a un ciudadano irlandés que había presentado un reclamo a la autoridad de su país, indicando que los datos que manejaba Facebook en Estados Unidos no tenían el nivel adecuado de protección acorde a la normativa europea de protección de datos. (2) Podemos pensar que, desde el punto de vista empresarial, las leyes de protección de datos son un corsé que no dejan realizar todo lo que la empresa quiere con los datos de sus clientes, proveedores, colaboradores y otras personas naturales, pero en el mundo digital, al igual que en el mundo real, no todo vale. Casos como el de Facebook nos lo demuestran.
Marco legal
En nuestro país, en julio del 2011, se publicó la Ley N° 29733, Ley de Protección de Datos Personales que en su artículo 1 dice: “La presente Ley tiene el objeto de garantizar el derecho fundamental a la protección de los datos personales, previsto en el artículo 2 numeral 6 de la Constitución Política del Perú, a través de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales que en ella se reconocen”, es decir, obedece a un mandato constitucional.
En primer lugar, remarcar que la norma solo se aplica a los datos personales, siendo estos: “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados” (artículo 2 de la Ley N° 29733), pero hay que remarcar además que la ley especifica que dichos datos han de estar contenidos en un banco de datos personales: “Conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso” (artículo 2 de la Ley N° 29733). Veamos en qué van a cambiar nuestros procesos.
Antes de la Ley de Protección de Datos Personales las organizaciones solo se preocupaban de recabar información, independientemente de la fuente y del medio utilizado, no se preocupaban de si el titular de ese dato era sabedor o no. A partir de la entrada en vigor de la ley debemos armar procedimientos para que antes de recabar ese dato, informemos a la persona interesada para que nos dé permiso, es decir, consentimiento, para poder tratar esa información y le tendremos que explicar qué vamos a hacer con dicha información, si vamos a darla a terceros, etcétera, en definitiva, la finalidad. La legislación para ello nos obliga a inscribir esos bancos de datos indicando qué tipo de datos –no el dato en sí– vamos a tratar y el uso que recibirá. Las sanciones llegan hasta las 100 UIT.
Otro de los procedimientos a seguir al respecto es que cualquier ciudadano podrá dirigirse a nuestra empresa y pedir sobre el tipo de información que se tiene de él, de dónde se obtuvo y qué se hace con ella. La empresa deberá contestarle tanto si existe o no la información.
Los plazos para este ejercicio de derechos por parte del titular del dato se conocen como Derechos ARCO, siendo el acrónimo de Acceso, Rectificación, Cancelación y Oposición. La respuesta para el derecho de acceso ha de ser de 20 días hábiles, siendo solo de 10 días para el resto de los derechos. Para ello, la ley obliga a que en el momento de recoger la información sea indicado al titular adónde podrá dirigirse. Además, establece las medidas de seguridad para proteger la información de la que, no lo olvidemos, somos solo custodios, no propietarios.
Podemos ver, además, que tendremos que afrontar una serie de cambios legales y organizativos, adecuando nuestros formularios y la forma de recoger la información, contratación de personal, contratos con terceros prestadores de servicios, etcétera. Asímismo, se deberá acometer una revisión de nuestros sistemas y files para que en todo el ciclo de vida podamos garantizar la debida seguridad de los mismos.
No olvidemos que la ley aplica tanto a los bancos de datos automatizados como a los no automatizados. Como personas que trabajamos en una empresa hagámonos una sola pregunta: ¿cómo me gustaría que trataran mis datos personales? Si somos capaces de responder a esta pregunta, vamos a ver que el cambio y el nuevo reto que se avecina va a ser mucho más fácil de acometer. ◗
[1] Puede consultarse la sentencia completa en la página web de la Agencia Española de Protección de Datos: http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2018/common/pdfs/PS-00219-2017_Resolucion-de-fecha-02-03-2018_Art-ii-culo-11-6-LOPD.pdf [2]Puede consultarse la sentencia del TJUE en: http://curia.europa.eu/juris/liste.jsf?language=es&jur=C,T,F&num=C-362/14&td=ALL#.
