lunes, 19 de septiembre de 2016

¿Reglamento General de Protección de Datos de la UE low cost?

    Las empresas deben irse preparando para cuando sea de aplicación el Reglamento General de Protección de Datos de la Unión Europea.
    ... La AEPD está comprometida con conseguir que la aplicación del RGPD se produzca con pleno respeto a sus disposiciones y, al mismo tiempo, con ofrecer la mayor flexibilidad posible...
    Esta cita está extraída de la nota de prensa titulada Implicaciones prácticas del Reglamento General de Protección de Datos para entidades en el periodo de transición. En ella la AEPD destaca aspectos que hay que empezar a tener en cuenta; y entre ellos cito:
    1. El consentimiento.
      • A partir de mayo de 2018 sólo serán válidos los tratamientos de datos cuando las personas hayan prestado un consentimiento conforme al considerando 25 del RGPD.
    El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. ... El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. ...
    1. La Información
      • Las empresas han de cumplir con cuestiones a las que actualmente no les obliga la legislación vigente, por ello se les recomienda que se vayan adaptando progresivamente para cumplir entre otros con el considerando 39 del RGPD.
    Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. ... Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. ...
    La AEPD sugiere algunos medios para empezar a cumplir con la obligación de informar, tal y como se refleja en el artículo publicado en elEconomista.es titulado Protección de Datos aconseja ajustarse al nuevo Reglamento.
    Este periodo transitorio debería ser utilizado por las organizaciones para realizar una adaptación progresiva por varias vías. Por una parte, muchas organizaciones pueden proporcionar esa información adicional sin costes o esfuerzos excesivos utilizando para ello sus páginas web o aprovechando los canales de comunicación regulares que puedan mantener con sus clientes. Estas buenas prácticas contribuirían a reducir el número de casos en que las cláusulas informativas presenten carencias cuando el Reglamento sea de aplicación.
    La información general puede ser realizada a bajo coste (low cost) desde una página web estática accesible por todos los clientes; pero personalmente creo que muchas organizaciones deberán implementar un portal web dinámico que permita a todos y cada uno de los clientes saber en todo momento qué tratamientos de todos los posibles que realiza la empresa se están realizando con sus datos. Además, el consentimiento y la información deben ser coetáneos, ya que el RGPD requiere que el consentimiento sea informado.
    "El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen,..."
    ¿Se puede considerar un consentimiento informado el que se dio tácitamente antes de la aplicación del RGPD? o ¿bastaría con publicar en una página web lo que la organización hace con los datos a día de hoy para cumplir con el RGPD? Desde mi punto de vista, no y no. Primero, porque fue un consentimiento tácito y no sería válido; segundo, porque cuando tácitamente fue prestado no hubo información de la finalidad para la cual se recogían los datos. Luego, la información ha de ser previa al consentimiento, y no al revés.
    Desde mi punto de vista, tampoco sería válido que la organización aproveche este periodo transitorio para publicar en su web todo tipo de tratamientos de datos que considere que podría realizar en un futuro para que así se considere lícito un hipotético tratamiento en base a que ya lo tenía previsto o lo venía realizando antes de la aplicación del RGPD.
    Esta cuestión ha suscitado cierta controversia en colectivos legales y técnicos donde se preguntan si habría que renovar todos los consentimientos tácitos, y mi respuesta es que si.
    Yo ni como ingeniero ni como abogado se que están haciendo con mis datos las operadoras telefónicas, entidades financieras, centros comerciales, ... Lo que si se es que seguro que soy un cliente más que alimenta el volumen de datos de algún Big Data desconocido para mi y que potencialmente podría reportar cuantiosos beneficios directa o indirectamente a sus propietarios, a la vez que perjudicar mis intereses personales.
    Creo que la finalidad del RGPD es devolver el control sobre los datos personales al titular de los mismos y para ello se hace inevitable que todas las organizaciones soliciten expresamente mi consentimiento, una a una y tratamiento por tratamiento, informándome previamente de qué datos recogen y con qué fin lo hacen.
    También hay que tener en cuenta que la autorización según el RGPD se da en un instante de tiempo y para una finalidad concreta, si la finalidad cambia o se modifica de forma sustancial, deberán de volver a recabar el consentimiento explícito. Junto con el consentimiento se debería de guardar la versión de la información que se suministró al usuario; y no debería de haber ninguna cláusula legal que indique que la información sobre el consentimiento será la vigente en una página web, salvo que previamente se recabe el consentimiento expreso de la modificación de la misma a todos y cada uno de los titulares de los datos.
    Inevitablemente, llegamos a un complejo sistema informático de gestión de consentimientos y esto ya no es low cost.
    La UE parece centrarse en proteger la privacidad de sus ciudadanos, mientras que algunos estarían dispuestos a vender sus datos por el módico precio de 694€ anuales. Bien mirado esto son casi 58 €/mes con los que podrías pagar el ADSL de tu hogar. Un análisis rápido del coste/beneficio creo que podría ser favorable a esta hipótesis.
    Para las operadoras europeas es una nueva oportunidad de dar un valor añadido a sus clientes. Según el siguiente artículo publicado en elconfidencial.com
    Parece que pretenden crear una gran base de datos en tiempo real que contendrá toda la información sobre sus clientes: localización, información sobre pagos que hacen, ‘apps’ que consumen, películas que ven, música que escuchan en 'streaming'... todo.
    ¡Un “gran hermano” que nos va a proteger de los norteamericanos!.
    Si esta nueva base de datos la hacen antes de la entrada en vigor del RGPD, bastará con un consentimiento tácito de sus clientes. Quizás en este momento, les baste con una nota en una factura, una ventana emergente, una carta que diga que si no te niegas serás incluido, ... Pero si así fuera, cuando empiece a aplicarse el RGPD no será válido su tratamiento y deberían de solicitar una autorización expresa e informada.
    Las operadoras demuestran que recogen muchos más datos de los que necesitán para dimensionar la red o gestionar sus servicios (v.g. apps que consumes o películas que ves) , y son muchos los interrogantes que surgen.
    ¿Agrupan todos los datos de todos sus clientes en una base de datos altruistamente con la única finalidad de evitar que las empresas americanas hagan uso de ellos?

No hay comentarios:

Publicar un comentario