Seleccionar página

Este espacio se viste de gala para recibir a una experta en protección de datos: Marina Brocca. Tengo que agradecer enormemente su amabilidad para participar en este ejercicio de preguntas y respuestas. El objetivo es aportar un granito de arena para la comprensión y correcta interpretación del nuevo reglamento europeo relacionado con la ley de protección de datos. Un tema de máxima importancia para todos los que formamos parte de esta gran comunidad 2.0. ¿Quieres saber si tu web cumple con lo requerido por este nuevo marco legal europeo y está preparada para cumplirlo? Acompáñanos en esta amena charla, no te vas a arrepentir.


Aquí encontrarás:
  1. La transparencia y la protección de datos
  2. La protección de datos comienza con el consentimiento
  3. La protección de datos desde un punto de vista técnico
  4. La protección de datos es responsabilidad de todos
  5. Fortalezas y debilidades del nuevo reglamento de protección de datos
  6. El impacto del nuevo reglamento en la web: el problema de la equidad

Carlos Girón: Marina, hay que decirle a nuestras amigas y amigos que este texto tiene su origen en una de las entradas de tu blog. Ahí hablas sobre la ley de protección de datos de manera detallada y precisa. Pero, para ponernos todos en contexto y hablar de lo mismo, sería conveniente hacer un pequeño resumen. Desde tu perspectiva, ¿cuáles son los tres puntos esenciales que debería cubrir un blog para no caer en incumplimiento del reglamento europeo de protección de datos?

Marina Brocca: El nuevo reglamento europeo propone un cambio de paradigma importante respecto al usuario. Se trata de otorgarle más control y poder sobre su propia información personal y eso se traduce en nuevas responsabilidades para todos los que gestionamos un blog o una web. Para cumplir con esa premisa hay tres puntos básicos:

  • Transparencia informativa
  • Consentimiento reforzado
  • Responsabilidad proactiva

CG: Todos estos son conceptos muy interesantes. La transparencia es parte esencial de la web 2.0. - tuitéalo     Hablamos de una red donde siempre hay alguien viendo y buscando. Supongo entonces que es precisamente por eso que hay que buscar que el usuario no dé por hecho nada y obtener su consentimiento explícito. Sin duda una manera de ejercer una responsabilidad proactiva y cuidar de este espacio entre todos. Pero, ¿cómo podemos poner en práctica estos conceptos de manera concreta?

Transparencia, consentimiento y responsabilidad: los pilares del reglamento de protección de datos. - tuitéalo    

Powered by Vcgs-Toolbox


La transparencia y la protección de datos

MB: Vamos punto por punto:

La transparencia:

El punto básico del nuevo reglamento europeo pasa por ofrecer mayores niveles de transparencia. De esta manera, nos insta a todos los prestadores a ofrecer a nuestros usuarios mecanismos informativos suficientes para que toda información y comunicación relativa al tratamiento de datos personales sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. No serán de recibo las webs o blogs que operen encapuchadas, ocultando información básica que los usuarios tienen derecho a conocer, en especial, aquellos aspectos que afectan a la gestión que hagamos de su información personal.

Para las personas que se acercan a nuestra web o blog deben quedar totalmente claros los siguientes puntos antes de que se les requiera cualquier tipo de información personal:

  • Que sus datos personales se están recogiendo, utilizando o consultando.
  • La medida en que dichos datos son o serán tratados.
  • De las posibles consecuencias de no facilitar tales datos.
  • Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
  • La identidad de los destinatarios o las categorías de destinatarios de los datos personales, algo que muy poquitos hacen y que incluye informar de los servicios de terceros que utilices en tu web como hosting, plataforma de e-mail marketing, servicio de captación de leads, etc.
  • La identidad del responsable de la gestión y, si procede, del delegado de protección de datos, otra novedad que hasta ahora no existía porque no existía la figura del delegado de protección de datos.
  • El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto también es una novedad).
  • La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
  • La posibilidad de ejercitar el derecho a presentar una reclamación ante una autoridad de control.
  • La existencia de decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. Otra novedad, dado que no se podrá establecer perfiles para segmentar a menos que se cuente con el consentimiento explícito del usuario.
  • La intención del responsable de transferir sus datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión. Aquí también entran en juego los prestadores que operen en países fuera de la Unión Europea, como Mailchimp, por ejemplo.

La protección de datos comienza con el consentimiento

El consentimiento reforzado:

En el nuevo reglamento de protección de datos, se refuerza la necesidad del consentimiento explícito y se suprime la validez del consentimiento tácito o por defecto. El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.

Las casillas premarcadas o la inacción ya no valen como consentimiento del usuario. - tuitéalo    

Powered by Vcgs-Toolbox

Esto obliga a todos los que tengan una web o un blog a revisar concienzudamente todos los mecanismos de captura de información para asegurarse de que todos y cada uno de ellos, incluyen mecanismos que permitan acreditar el consentimiento expreso, inequívoco e informado del usuario. Debes desterrar por tanto el silencio, las casillas premarcadas o la inacción del usuario al requerir datos personales. Pero allí no acaban las exigencias y es aquí donde surge la polémica para todos los que tenemos un blog con listados de suscriptores. No bastará con acondicionar los nuevos formularios de contacto a este nuevo marco legal, también tendremos que asegurarnos que todos los registros que almacenamos nos han otorgado su consentimiento expreso.

CG: Antes de seguir con los puntos Marina me gustaría que nos dijeras algo más sobre este último tema que has tocado. ¿Cómo se resolvería esto desde un punto de vista técnico y más concreto en nuestros espacios en la web?

La protección de datos desde un punto de vista técnico

MB: Para los registros nuevos, es bastante sencillo: solo debes incorporar un check box, es decir, incluir una casilla en cada formulario de un sitio web en internet o cualquier otra declaración o conducta que indique claramente que el usuario acepta la propuesta de tratamiento de sus datos personales para una finalidad concreta que le hayas indicado. El problema surge con los anteriores registros de los que no tienes consentimiento expreso dado que la antigua LOPD no lo exigía.

Este es el punto más crítico porque no quedará más remedio que realizar una acción destinada a conseguir ese consentimiento, de lo contrario cualquier usuario del que no puedas acreditar consentimiento expreso supone un peligro para ti y tu negocio. Por tanto, no bastará solo hacerlo bien, debe tener la capacidad de demostrarlo, como en el caso del consentimiento. En el nuevo reglamento se insiste en la necesidad de poder acreditar el consentimiento: “Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento”.

En lo relacionado con protección de datos “en la abundancia está la virtud”. Marina Brocca - tuitéalo    

Powered by Vcgs-Toolbox

Yo siempre digo a mis clientes que, en protección de datos, “en la abundancia está la virtud”.  ¿Esto qué significa? Que cuantas más evidencias de cumplimento dejes mucho mejor, porque tras pasarme horas y horas leyendo expedientes sancionadores, he descubierto que la diligencia es la clave, es decir, que hayas informado hasta aburrir y que puedas acreditarlo. Algo que el nuevo reglamento no hace más que reforzar.

Ese es el factor es clave de mi trabajo de adecuación legal de una web o blog: consiste justamente en asegurarme de que no haya ningún cabo suelto en las diferentes fases del proceso de captura y gestión de datos personales y que se vea con claridad que mis clientes son extremadamente rigurosos en materia de transparencia.  He de decir que gracias a esta filosofía que yo llamo de “extrema transparencia “caigo fatal al 80% de los webmaster que tienen que implantar mis recomendaciones, pero que sin duda les libraran de muchos disgustos (aunque nunca vayan a tener constancia de ello).

CG: Me queda muy claro ahora. La transparencia tiene un precio y supone un esfuerzo por parte de quienes queremos estar en las redes generando contenido. Esto, por supuesto, tiene que ver también con la responsabilidad y creo que es justo ahí donde nos habíamos quedado: la responsabilidad proactiva.

La protección de datos es responsabilidad de todos

Responsabilidad proactiva:

MB: Si somos sinceros y nos quitamos las máscaras, pocos se preocupan de la seguridad de los datos que recogen y almacenan. Y menos en el mundo blogger. Tenemos una cultura un poco anarquista en lo referente a la protección de datos, cómo si pudiéramos hacer y deshacer sin ninguna norma, sin ningún control. De hecho, llega tan lejos el anarquismo que se venden y compran leads, bases de datos, etc., como si se tratara de productos sin ninguna importancia.

El nuevo reglamento de protección de datos hace énfasis en la prevención más que en la reacción. - tuitéalo    

Powered by Vcgs-Toolbox

El nuevo reglamento europeo quiere limitar estas prácticas y regular el uso que se hace de la información personal de otros, por eso, se hace especial hincapié en la prevención en detrimento de la respuesta reactiva, te pide que te ocupes de tomar la iniciativa en la defensa de la privacidad en lugar de reaccionar cuando ya se ha producido una brecha o una vulneración de derechos. Por tanto, deberás adoptar medidas para demostrar que estás cumpliendo con el Reglamento, tendrás que ser tu quien aporte “la carga de la prueba”. Esto da lugar a un capítulo entero de medidas y obligaciones prácticas, que será la parte que más contribuya a proteger los datos.

CG: Esta información no tiene desperdicio Marina. Debo insistir en lo relevante que resulta el hecho de que este marco jurídico ejerza también una función pedagógica: la de aprender a ser responsables de este espacio virtual que es tan nuestro. No obstante, me gustaría preguntarte lo siguiente: ¿Te parece que este reglamento deja alguna laguna? ¿Cuál sería su punto fuerte y cuál el más flaco?

Fortalezas y debilidades del nuevo reglamento de protección de datos

Sin duda el punto más fuerte pasa por la mayor soberanía del usuario frente a su propia información personal. Hemos visto cómo hasta ahora muchas empresas han abusado de la confianza de clientes y usuarios realizando toda clase de prácticas desleales para conseguir ventas a cualquier precio, incluido el spam. Personalmente creo que todo profesional que trabaja en entornos digitales debe asumir la responsabilidad de proteger adecuadamente los datos que le son confiados y garantizar esa confianza.

Las nuevas responsabilidades que nos exigen, por otra parte, suponen más competitividad, una clara ventaja a la hora de consolidad el comercio digital. ¿Qué sería de todos nosotros si nuestros usuarios no tuvieran elementos para sujetar su confianza? - tuitéalo     Debes, por tanto, perderle miedo a la legalidad, perderle miedo al compromiso con tus usuarios, perder el miedo a ofrecer garantías y avanzar a una cultura digital que propicie espacios respirables de confianza donde todos podamos operar con mayor tranquilidad.

Para avanzar hacia una mejor cultura digital hay que perderle el miedo a la legalidad. - tuitéalo    

Powered by Vcgs-Toolbox

Otra gran ventaja es que este nuevo marco permitirá diferenciar a prestadores serios y confiables de top-manta digitales que se esconden en el anonimato para cometer sus fechorías y atropellar a usuarios. Esta misma semana justamente, me he topado con uno de esos portales cuyo negocio radicaba en vender materiales de otros, así, por la cara, sin permiso ni contemplaciones. Ese tipo de prácticas es que la es necesario desterrar y es el objetivo prioritario de esta nueva regulación.

Todavía es pronto para establecer más valoraciones y conocer a fondo sus implicaciones, hay puntos un poco complejos de ejecutar, como la figura del delegado de protección de datos, las certificaciones que al parecer se van a requerir y que puede dar lugar a un mercado de oportunistas, y algunos otros aspectos como la supresión del deber de notificar ficheros, que no tengo claro que sea una buena medida. En cualquier caso, tenemos hasta mayo del 2018 para cambiar el chip y empezar a poner en orden nuestra casa digital.

Una última curiosidad. El nuevo reglamento prevé también la posibilidad de requerir indemnizaciones a los damnificados en materia de protección de datos, algo que no contemplaba la actual LOPD, esto puede generar un negocio peligroso que propicie la aparición de oportunistas caza indemnizaciones. Así que es mejor no tentar a la suerte y no darles la menor oportunidad.

El impacto del nuevo reglamento en la web: el problema de la equidad

CG: Ahora que lo mencionas me surge una duda importante. Uno de los aspectos que debe cuidar el legislador al realizar su trabajo es el de favorecer la equidad con las normas que diseña. En este caso está claro que para cumplir con lo que nos cuentas podemos contar con profesionales como tú para garantizar que no hemos dejado alguna ventana abierta para esos oportunistas o para no caer en errores involuntarios. Pero, ¿el reglamento contempla segmentos o casos que permita diferenciar los tipos de proyectos en la web?

Es decir, ¿se valora igual al comerciante que pide datos tan sensibles como los números de tarjeta de crédito que a quienes simplemente comparten sus textos y quieren hacerlos llegar a los interesados vía una newsletter sin ánimo de lucro? Está claro que todos debemos cambiar el chip, como dices, para poner en marcha una actitud de responsabilidad proactiva. Pero me queda la duda de si esto no pone en desventaja al creador de contenidos que quiere forjarse una comunidad de lectores frente a otro tipo de proyectos dirigidos de manera completa y directa a la venta por Internet. ¿Qué puedes decirnos al respecto?

MB: El nuevo reglamento diferencia claramente los diferentes tipos de tratamiento, como bien señalas, no es lo mismo requerir un correo electrónico que datos sensibles o especialmente protegidos. También establece diferentes exigencias para quienes gestionan enormes volúmenes de datos de quienes no. No se pueden equiparar las obligaciones de Facebook con las tuyas o las mías, hasta allí podíamos llegar. De hecho, a estas empresas se les pide la elaboración de un informe de impacto sobre la privacidad de sus respectivas plataformas.

A mayor tratamiento de datos mayor exigencia legal. Marina Brocca - tuitéalo    

Powered by Vcgs-Toolbox

Otra exigencia es la privacidad por defecto, es decir, todas las aplicaciones que gestionan datos personales tienen que tener por defecto las máximas condiciones de privacidad y que el usuario las vaya flexibilizando si así lo desea. Ahora mismo ocurre todo lo contrario, cualquier red social tiene por defecto la exposición completa de tus datos y es el usuario quien tiene que ir capando o restringiendo determinados segmentos de su información. Más exigencias: la figura del delegado de protección de datos que se exige a empresas de más de 250 empleados solamente. En conclusión: a mayor tratamiento de datos, mayor exigencia legal. ¿Lógico no?

CG: Me queda mucho más claro ahora Marina. Muchas gracias por tu tiempo y por compartir esta información con todos. Estoy seguro de que habrá muchas más preguntas e inquietudes entre quienes buscarán mejorar sus webs para cumplir con la normativa relacionada con la protección de datos. Así que no queda sino invitarles a visitar tu blog y ponerse en contacto contigo para profundizar en cada caso particular. Porque sin duda la responsabilidad es común, pero para ejercerla hay que ir caso por caso. Yo, sin duda, soy el primero de la lista para poner a punto mis rincones en la web. ¡Hasta la próxima!

Pin It on Pinterest