Privacidad: su defensa en Europa y en Argentina

Con el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) que entra en vigencia desde este 25 de mayo, Europa busca proteger los datos personales en la web para evitar que esta información sea explotada por terceros. Esta iniciativa cobra especial relevancia tras el reciente escándalo derivado de las fallas de seguridad de Facebook que permitieron a la consultora Cambridge Analytica hacer un uso abusivo de los datos de 50 millones de usuarios de la red social para influir en los votantes en favor de Donald Trump durante la campaña electoral de 2016 en Estados Unidos, según recuerda Mariano Baca Storni, fundador y CEO de Inclusion, autor de esta columna de opinión.

Este caso demostró hasta qué punto nuestra información personal online puede verse comprometida y ser utilizada de maneras insospechadas hasta ahora. Esto se debe a que cuando grandes cantidades de datos personales se encuentran con poderosas tecnologías analíticas, existe una asombrosa variedad de oportunidades para el uso indebido de esos datos. Huelga decir que nuestro historial en la web y en las redes sociales involucra grandes cantidades de información recopilada sobre nosotros, como nuestro estilo de vida, intereses, creencias religiosas o políticas y sobre nuestros amigos.

En este contexto, el protocolo GDPR plantea reglas destinadas a proteger la privacidad personal y el intercambio de datos entre países. Este reglamento tendrá que ser acatado por las empresas que operen en la Unión Europea, incluyendo a Facebook, que ya anunció que lo implementará. En esta línea, Twitter, Instagram y WhatsApp ya se están adaptando a las nuevas exigencias.

Los analistas consideran esta normativa tendrá influencia en todo el orbe. A partir de su entrada en vigencia, las redes sociales y las aplicaciones móviles deberán conseguir el consentimiento expreso de los usuarios para usar sus datos; y en el caso de los menores de 16 años, se requerirá el visto bueno de un adulto.

El protocolo busca evitar que los datos de los usuarios puedan usarse sin autorización con fines comerciales, electorales y de vigilancia, por mencionar solo algunos. En especial, busca poner coto a la libertad con que se vienen moviendo los gigantes norteamericanos de Internet (Google, Apple, Facebook, Amazon), que hasta aquí tenían acceso libre a nuestros datos.

La nueva legislación interpreta como "dato" los ítems básicos como nombre, dirección e información bancaria, pero también otros como la dirección IP desde la cual se conecta el usuario a Internet. Entre otras cuestiones, el reglamento plantea elevadas multas ante incumplimientos (de hasta 20 millones de euros o el 4% de la facturación anual de la empresa). Además garantizará los derechos "al olvido", es decir, que las empresas borren de los registros de la web información sobre el pasado de las personas, y el derecho a rectificar información personal inexacta, entre otros.

Se tomó nota

De cara al nuevo escenario, los grandes players tecnológicos ya tomaron nota. Por ejemplo, SAP adquirió Gigya, que es una empresa enfocada en la gestión de acceso e identidades de clientes, e integrará en sus soluciones la plataforma de datos de identidad basada en el consentimiento que elaboró este proveedor.

Naturalmente, este tema se puso en el candelero a partir del crecimiento exponencial de los servicios digitales. Y también por la existencia de ciberdelincuentes que ponen en riesgo los datos personales de millones de personas. Pero, además, los ciudadanos temen quedar en manos de corporaciones y de gobiernos que pudieran hacer un uso abusivo de sus datos.

Un estudio reciente realizado por IDC en España, por ejemplo, indicó que faltando apenas 3 meses para que comience a regir el nuevo protocolo, el 65% de las compañías españolas no podía garantizar su cumplimiento. Entre otras cuestiones el reglamento GDPR indica que las siguientes 3 categorías de organizaciones deberán disponer de un delegado de protección de datos:las compañías que efectúen de manera corriente seguimientos o análisis que permitan armar perfiles de usuarios, las entidades públicas y las compañías que procesen datos personales en gran escala en categorías especiales, como datos biométricos, antecedentes penales, religión, ideología política, origen étnico, orientación sexual y de salud, entre otros.

Está claro que las empresas europeas deberán prepararse para dar respuesta a esta normativa y, si bien este reglamento es coercitivo solo en el ámbito de la UE, las organizaciones argentinas que tengan sucursales en el Viejo Continente o procesen y almacenen datos personales sobre ciudadanos europeos también tendrán que cumplir con sus pautas.