Como ya hemos comentado anteriormente en Nuestros Datos Seguros, uno de los principales objetivos de la ley europea GDPR, en vigor desde el 25 de mayo del 2018, es reforzar la protección de nuestros datos personales.
Según esta misma norma, entendemos por datos personales “cualquier información relativa a una persona física viva identificada o identificable”. Esto incluye también los datos anonimizados o cifrados, siempre que puedan ser utilizados para volver a identificar a una persona. Son este tipo de datos los que protege la RGPD.
Una protección legal que, tres años después de su entrada en vigor, se está revelando muy necesaria, sobre todo viendo el auge (y la falta de control) del lucrativo negocio de la recolección y venta de datos personales.
El gran mercado de los datos personales: un negocio en auge, una amenaza creciente
Aunque es cierto que grandes empresas tecnológicas como Google o Facebook llevan años basando su negocio en utilizar nuestros datos personales de manera legal y consentida para ofrecernos una experiencia publicitaria más personalizada, existe un gran mercado ilegal de venta de exhaustivos perfiles con infinidad de datos personales obtenidos de forma dudosa.
Ante este mercadeo de datos personales, algunos legales y otros ilegales, muchos usuarios se pueden preguntar si es algo que debemos aceptar por el mero hecho de compartir algo voluntariamente en la red. También pueden surgir dudas sobre qué problemas acarrea compartir contenidos o informaciones que, de entrada, parecen inofensivas.
Para responder a la primera duda, hay que aclarar que, según la Ley Orgánica de Protección de Datos (LOPD 2018), que da cobertura en España a la norma europea RDPG, aunque compartamos nuestros datos personales voluntariamente en Internet nadie puede usarlos si no hemos dado nuestro consentimiento explícito.
El problema es que, ante la infinidad de mensajes que recibimos diariamente instándonos a aceptar las condiciones de privacidad, la mayoría de usuarios los aceptamos sin leer. Y esa es la manera más fácil de poner en riesgo nuestros datos, que podrán pasar a manos de terceros sin nuestro conocimiento. De esta manera damos permiso para hacer negocio con nuestros datos de forma legal, pero sin la seguridad de que nuestra privacidad no se vea comprometida.
Además, es un error pensar que, como simples usuarios desconocidos, si compartimos información o contenido “inofensivo” (por ejemplo las fotos de una cena, o nuestras búsquedas en Google y las páginas visitadas) nuestros datos personales están a salvo y estamos fuera de peligro. Y es que el problema no son los datos aislados, sino su correlación, es decir, el cruce de estas publicaciones inofensivas con nuestros datos personales. Mediante potentes herramientas de machine learning, este cruce de datos permite obtener un perfil detallado de los usuarios que no solo se vende como valiosa información publicitaria, sino que permite deducir comportamientos comerciales.
¿De qué hablamos cuando nos referimos a datos de carácter personal?
Para saber qué es lo que esta regulación busca proteger, es necesario tener claro a qué tipos de datos nos referimos.
Se considera un dato personal cualquier información referida a personas físicas (no jurídicas) que permita la identificación de una determinada persona. Hablamos, por ejemplo, del nombre y apellidos, la dirección o el teléfono, pero también de fotografías, firmas, correos electrónicos o datos bancarios.
Lo habitual es que esta información de carácter personal esté almacenada y organizada en bases de datos, en ficheros no automatizados (soporte físico o papel) o en ficheros automatizados (en soporte informático) cuya seguridad y protección es vital.
Además, y con el objetivo de aplicar diferentes niveles de protección, la ley clasifica los datos en tres categorías: nivel básico (nombre y apellidos, teléfono, fotografías, etc.); nivel medio (datos de hacienda pública, datos de gustos y preferencias, solvencia patrimonial y financiera, etc.); y nivel alto (ideología política, afiliación sindical, creencias religiosas, origen racial, salud, vida sexual, etc.).
La obligación de proteger los datos personales: ¿a quién afecta?
Existe la falsa creencia de que únicamente las empresas tecnológicas deben cumplir las obligaciones de la Ley Orgánica de Protección de Datos (LOPD 2018) referidas a los datos personales de los usuarios.
Pero la realidad es que esta norma es de obligado cumplimiento para todas las personas físicas (particulares y autónomos) o jurídicas (empresas, sociedades mercantiles, asociaciones, fundaciones, organismos públicos…) que tengan en su posesión datos de carácter personal de personas físicas.
Como excepción, quedan excluidos de la ley las personas físicas que dispongan de datos para “actividades exclusivamente personales y domésticas” (una agenda personal con direcciones personales), y también los datos relativos a personas fallecidas.
Las principales obligaciones impuestas por la LOPD 2018
Las obligaciones referentes al almacenaje y tratamiento de los datos personales en la LOPD 2018 se pueden resumir en:
Calidad de los datos: no se puede pedir de todo y sin justificación
Aunque la ley obliga al consentimiento de los usuarios y a que sean informados adecuadamente acerca de qué datos van a ser recopilados y para qué, hay que tener claro que eso no implica que se puedan recolectar todo tipo de datos sin una justificación.
Los datos personales sólo podrán ser solicitados y almacenados cuando sean pertinentes y adecuados en relación al ámbito y la finalidad de su uso. Es decir, no se puede recopilar información ni usarse para finalidades incompatibles con dicho ámbito, y además debe ser borrada cuando haya dejado de ser necesaria. Por ejemplo, un banco no puede solicitar ni almacenar información sobre ningún dato que no tenga que ver con la actividad financiera de su cliente.
Este principio no aplica en el caso de los datos de nivel medio y alto, ya que está prohibido el almacenamiento de datos personales sobre ideología, religión, creencias, vida sexual, etc.
Derecho de información: comunicando al detalle el qué y para qué
Una vez tenemos claro que no se puede pedir permiso para la recolección de cualquier tipo de datos, la ley contempla la obligación de informar a los usuarios de los datos que finalmente se han recopilado.
Las obligaciones de información incluyen la comunicación de la existencia del fichero de datos, de la identidad del propietario del fichero, así como de la finalidad de la recopilación de los datos y las consecuencias en caso de negativa a suministrarlos. También hay que informar del plazo de conservación de los datos.
Consentimiento del usuario: explícito e inequívoco
Una de las obligaciones clave de la LOPD 2018 es la necesidad de que la empresa que va a tratar los datos personales disponga del consentimiento inequívoco, explícito y consciente del usuario.
Disponer de datos personales sin esta autorización expresa es uno de los más graves incumplimientos de la ley.
Además, este consentimiento no es para siempre: puede ser revocado con una causa justificada.
Cesión de datos a terceros con permiso expreso
Disponer de datos de carácter personal implica por defecto la aplicación del deber de secreto profesional, una obligación que se mantiene vigente incluso al finalizar la relación del usuario con la empresa responsable del tratamiento de esos datos.
En relación a esto, uno de los aspectos más delicados es el acceso de terceros a nuestros datos. Esto es algo que dificulta el control de nuestra privacidad, y por lo tanto es imprescindible que se nos comunique esa cesión a terceros, a la cual debemos dar permiso expreso.
Registro de actividades: documentando el flujo de datos personales
Anteriormente había que notificar a la AEPD la creación de los ficheros de datos personales. En su lugar, actualmente existe la obligación de disponer de un registro de las actividades de tratamiento. Es decir, como primer paso para cumplir la normativa vigente hay que documentar el flujo de los datos personales (la entrada, el tratamiento y los cambios en el tiempo).
Este registro, además, puede ser muy útil para empresas y organizaciones como herramienta de control interno, además de servir como prueba del cumplimiento de la ley.
Seguridad de los datos: garantizando la integridad de nuestros datos
La seguridad es una cuestión amparada también por la LOPD .
Cuando una empresa rata los datos personales, y por tanto sensibles, de un usuarios, es imprescindible la adopción de medidas organizativas y técnicas que garanticen la seguridad de esa información, por lo que respecta a su alteración, pérdida y acceso no autorizado.
Esta obligación es incluso más importante cuando se trata de datos de nivel medio y alto, y es necesario informar a los interesados de dichas medidas.
Además, y al igual que con el registro anteriormente mencionado, la ley exige la existencia de un Documento de Seguridad en el que se detallen las medidas de seguridad aplicadas.
Derechos ARCO: controlando nuestros datos personales
Por último y aunque se cumplan todos las obligaciones anteriores por parte de las compañías que solicitan nuestros datos es importante recordar que existen los llamados derechos ARCO es decir el derecho de acceso, de rectificación/modificación, de cancelación y de oposición. Estos derechos ya estaban contemplados en la anterior ley, y son los que permiten a los usuarios tener el control sobre sus datos personales. Son los derechos fundamentales referentes al amparo de nuestros datos personales, y es la base sobre la que se sustenta la RGPD, que es una ampliación y actualización de estos derechos.
Es importante saber que en caso de no cumplimiento de estos derechos, o de demora en la aplicación de las peticiones de la persona interesada, esta puede dirigirse a la Agencia de Protección de Datos Española (AEPD).
En conclusión por tanto y como hemos visto a lo largo de este artículo, los usuarios estamos doblemente protegidos: por un lado por las obligaciones legales impuestas a las compañías que utilizan obtienen nuestros datos y, por los derechos que amparan al usuario a la hora de decidir lo que quiere hacer o no con sus datos personales.
