Drones y protección de datos: una relación polémica

 

La generalización en el uso de drones aéreos con diversos fines supone un nuevo desafío para los profesionales en la gestión de datos de carácter personal. Estos artilugios aéreos no tripulados van camino de invadir por completo el espacio público, ya sea en tareas de vigilancia o puramente comerciales. Todo esto afecta mucho al derecho que las personas tienen respecto a su imagen y privacidad. Estamos, por tanto, ante un asunto claro de protección de datos.

Has de diferenciar, en este sentido, entre la utilización del dron para uso particular de la realizada con un interés profesional o comercial. Valga como ejemplo, en el primer caso, esa moda que se abre paso de contratarlos para obtener filmaciones de fiestas celebradas al aire libre, como podría ser una boda. En este supuesto, no hay controversia posible, ya que las imágenes pertenecen al ámbito privado y se produce un consentimiento tácito por parte de todos los invitados, que pueden ser filmados sin generar problema alguno.

No ocurre lo mismo cuando el artilugio es utilizado para realizar tareas de vigilancia. Las calles de nuestras ciudades y muchos establecimientos comerciales están llenos de cámaras utilizadas con el propósito de salvaguardar la seguridad de personas y bienes, pero siempre con la advertencia previa de su presencia y la explicación sobre los fines de la grabación. Eso no es posible cuando la cámara está instalada en un dron, que se mueve con libertad por el espacio aéreo y sin avisar a nadie de sus funciones.

Y, además, la imposibilidad de advertir previamente sobre la presencia de un dron tiene difícil solución. Porque las opciones sugeridas son claramente insuficientes o de imposible cumplimiento. Por ejemplo, que el dron emita sonidos o señales lumínicas para avisar de su presencia parece poco eficaz, en un contexto urbano plagado de impactos sonoros y visuales. Y la posibilidad de poner carteles en un espacio acotado en el que actúa el dron parece una solución, literalmente, imposible de cumplir.

En este supuesto, el de la vigilancia, has de tener presente que la entidad contratante del dron asume una serie de obligaciones legales respecto al tratamiento de los datos personales de aquellas personas grabadas durante el vuelo del artilugio. Y lo mismo se puede decir de otro caso similar también en expansión, la utilización del dron por parte de Administraciones Públicas para obtener información actualizada en materia fiscal o urbanística. Funciones como la vigilancia sobre posibles obras sin licencia o los cálculos del catastro.

En el caso del uso comercial, con fines promocionales en reportajes grabados a vista de pájaro, entra en juego otro elemento relevante: la obligación de solicitar la autorización a aquellas personas que aparezcan en el reportaje basado en las grabaciones del dron, ya que esas personas tienen el derecho a su propia imagen e intimidad, que no pueden ser violentadas, sin su autorización expresa, para fines lucrativos ajenos. También, en este caso, el promotor de esa acción comercial es responsable de los datos obtenidos en las grabaciones del dron.

Derecho a la privacidad

También hay un uso posible del dron que puede resultar tan primario como peligroso. Es lo que podríamos llamar el síndrome de la ventana indiscreta. En estos tiempos, ya no hay que estar solo pendientes del vecino curioso, sino también de cualquier artilugio volador que pueda estar grabando a una persona en un espacio de privacidad o una situación íntima. Por ejemplo, cuando toma el sol en su terraza privada y cree estar a salvo de miradas indiscretas y, en realidad, no lo está; dado que el dron ha tomado el relevo del viejo paparazzi, pero con mayor capacidad para la intromisión.

Tienes que tener en cuenta que estas utilizaciones se mueven aún en un escenario de cierto vacío legal. La primera referencia normativa para el uso no militar de estos artilugios fue la Ley 18/2014, de Medidas Urgentes para el Crecimiento, la Competitividad y la Eficiencia. Se trataba de una norma genérica dedicada a impulsar la actividad económica en España y que incluía una referencia a la necesidad de cumplir con la legislación vigente en materia de protección de datos y respeto de la privacidad.

Esta norma ha sido desarrollada, recientemente, por el Real Decreto 1036/2017, de 15 de diciembre, que regula la utilización civil de las aeronaves pilotadas por control remoto (es decir, de los drones); y, en su artículo 26 f), recoge, expresamente, la obligación de “adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en materia de protección de datos personales y protección de la intimidad”. O sea, que las obligaciones están muy claras; pero el legislador las señala de un modo muy genérico, lo cual genera dudas sobre el cumplimiento práctico de la norma.

Probablemente, resulte recomendable aclarar estas dudas mediante la redacción por parte de la Administración de algún tipo de guía para la utilización responsable de artilugios volantes no tripulados. Es lo que hizo el Gobierno británico en 2014 y a través, precisamente, de su agencia oficial de protección de datos; con una referencia expresa y completa a los drones, en una instrucción general sobre la utilización de cámaras en el espacio público.

Hay un último asunto que no podemos pasar por alto. Se trata del cumplimiento de la normativa sobre protección de datos respecto al almacenamiento de las imágenes obtenidas por el dron, que debe ofrecer garantías sobre la seguridad de su almacenamiento y su uso exclusivo para los fines con los que se realizó dicha grabación.

Conclusiones respecto a la protección de datos

Como conclusión, la presencia de drones en los cielos de nuestras ciudades es un caso típico de posible colisión entre la aparición de un nuevo tipo de tecnología y sus implicaciones sobre leyes en vigor. En este caso, las de tratamiento de datos privados (y la imagen de una persona lo es) e intimidad personal. Pero el criterio a seguir está claro: es la tecnología la que debe adaptarse al marco normativo. Y no al revés. Y, en caso de duda, has de contar con el asesoramiento de expertos en materia de gestión de datos.

Datos personales: ¿qué son las brechas de seguridad y cómo actuar ante ellas?

Las brechas de seguridad son errores o fallos de funcionamiento de los sistemas de información que utilizamos a diario. Estos fallos de seguridad pueden ocasionar que terceras personas tengan acceso a nuestra información personal que se encuentra alojada en los sistemas. Algo que, sin duda, es preocupante, desde el punto de vista de la protección de los datos personales.

Por esta razón, nos parece adecuado presentar este artículo sobre las brechas de seguridad, su relación con la protección de datos personales y su diferente tratamiento en la LOPD y el nuevo RGPD.

¿En qué consiste una brecha de seguridad?

Al no existir una definición concreta en el articulado de las normas en las que nos basaremos (sí hay un esbozo en los considerandos del RGPD), ensayaremos una definición propia.

Se trata de los errores, fallos o violaciones intencionales que, producidos en o contra un sistema informático, derivan en la destrucción, pérdida o alteración de datos personales, comunicación o acceso en favor de terceras personas no autorizadas.

Desde el momento mismo en el que se masifican los sistemas informáticos, existen virus y personas que pueden dañarlos o atacarlos, con diferentes propósitos. Al igual que ha ocurrido con los automóviles, los sistemas informáticos han mejorado notablemente su seguridad. Pero esto no quita que sean inmunes a errores o ataques.

El legislador ha intentado contribuir en esta tarea de robustecer la seguridad de sistemas que almacenan datos de carácter personal. Por esta razón, en España (y también en el Derecho de la UE), las leyes sobre telecomunicaciones, sociedad de la información y datos personales contemplan disposiciones relativas al mantenimiento de la seguridad y a la gestión de incidentes.

La seguridad en la LOPD

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, es la norma “madre” en España, en materia de protección de datos. Tiene, por finalidad, proteger las libertades y los derechos fundamentales de las personas, en su privacidad, honor e intimidad.

Sin embargo, esta Ley Orgánica no regula totalmente lo referente a los fallos de seguridad que afectan a los datos personales.

Desde luego, hay referencias a la seguridad, pero tienen que ver más con la prevención que con su tratamiento. Así, el artículo 9º establece ciertas obligaciones, que corresponden a los responsables de los ficheros y encargados del tratamiento, tendentes a garantizar la seguridad de los datos personales y evitar su alteración, pérdida o acceso no autorizado.

En la misma línea, el artículo 42 (h) establece que es una infracción muy grave mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

La cuestión en el nuevo Reglamento General

En 2016, el Parlamento y Consejo Europeo aprobaron el Reglamento General de Protección de Datos, con los siguientes objetivos fundamentales: (i) unificar las normas sobre protección de datos en los países miembros de la Unión Europea; e (ii) introducir principios, derechos, figuras y requisitos que se estaban haciendo necesarios, debido a la vertiginosa evolución de las nuevas tecnologías.

La Unión Europea dio a los Estados miembros un plazo de dos años para adaptarse al nuevo Reglamento, pues el RGPD entrará en vigencia el 25 de mayo de 2018.

Te aclaramos que el Reglamento General modificará o complementará las disposiciones de la LOPD. Esto puede traer inconvenientes prácticos en muchos aspectos, pero no cuando se trata de brechas de seguridad (te recordamos las lagunas existentes en nuestra Ley Orgánica).

El Reglamento General ha regulado cómo deben actuar los responsables del tratamiento de datos personales cuando existe una violación de seguridad. A continuación, lo abordamos de forma más detallada.

Artículo 33 del RGPD

Se establece una regla general de mucha importancia: el responsable del tratamiento debe notificar la brecha de seguridad a la autoridad de control, cuando este hecho implique un riesgo para los derechos y libertades de las personas físicas. La notificación debe realizarse dentro de las 72 horas desde que se tuvo constancia de la violación.

En España, la autoridad de control es la Agencia Española de Protección de Datos.

Los pasos del procedimiento de notificación

1. Ocurrido el incidente de seguridad, el responsable del tratamiento de datos en la organización debe registrarlo e indicar lugar, fecha y hora de la detección. También se deberán registrar los equipos y sistemas que se vieron afectados.

En las organizaciones públicas o empresas que han designado un Delegado de Protección de Datos (figura creada por el Reglamento General), él será el encargado de llevar el registro.

2. En segundo lugar, se debe determinar si la brecha de seguridad constituye un riesgo para los derechos fundamentales y libertades de las personas físicas cuyos datos personales se estaban tratando. ¿Cuándo ocurre esto? Veamos algunos ejemplos:

– Si puede provocar daños y perjuicios físicos (por ejemplo, discriminación, pérdidas financieras o daño a la reputación).

– Cuando se pueda privar a las personas del ejercicio de sus derechos o del control de sus datos personales, por revelar circunstancias como su origen étnico,su  filiación política, su militancia sindical, su vida sexual y sus datos genéticos, entre otros.

– Cuando los datos revelen situaciones personales (situación económica, condiciones de salud, datos sobre desempeño en el trabajo…).

– Cuando los datos sean de personas vulnerables (en especial, de niños).

3. Cuando existen los riesgos descritos anteriormente, debes realizar la notificación a la AEPD, dentro del plazo de 72 horas. La notificación dependerá del responsable del tratamiento o, si corresponde, del de seguridad o del delegado de protección.

Esta notificación debe incluir la naturaleza de la brecha de seguridad, las categorías de datos y la cantidad de afectados. También contendrá las medidas adoptadas para resolver el problema y, si corresponde, las tomadas para reducir los efectos negativos.

¿Se debe notificar al afectado?

Las brechas de seguridad deben ser notificadas a los afectados, sin dilación y según establece el Reglamento General. Sin embargo, para no alterar su tranquilidad, el responsable del tratamiento no está obligado a informar si: (i) previamente a la violación, se han adoptado medidas que protegen a las personas, como el cifrado; (ii) cuando no hay posibilidad de que el riesgo se materialice; y (iii) cuando la notificación individual implique un esfuerzo desproporcionado y pueda hacerse una comunicación pública.

En definitiva, el RGPD aumenta las garantías respecto a las brechas de seguridad.

 

Fintech y protección de datos

Las empresas fintech, al ser innovadoras, se mueven en determinadas zonas grises, en cuanto a la regulación en materia de protección de datos. Este es el motivo por el que ha habido una cierta polémica, que se intenta atajar con la promulgación del Reglamento Europeo de Protección de Datos (RGPD), el cual elimina ciertos márgenes de interpretación. En este artículo te damos más detalles acerca de cómo conseguir la armonización e indicamos las pautas que tienes que seguir para adaptarte.

La protección de datos en las fintech

La legislación de referencia está formada por la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE), la Ley Orgánica de Protección de Datos (LOPD) y el Reglamento Europeo de Protección de Datos (RGPD). Es importante indicar que, si bien las dos primeras llevan más de quince años de vigencia, el RGPD será obligatorio a partir del 25 de mayo de 2018. En cualquier caso, este tipo de empresas ya se ha puesto en el punto de mira de la Agencia Española de Protección de Datos (AEPD), por alguna contratación fraudulenta.

Hemos de señalar que el modelo de negocio de estas empresas no presenta ningún problema en sí mismo y es totalmente lícito. El único inconveniente consiste en la seguridad. La mayoría de empresas de tecnología financiera está formada por comparadores, plataformas de crowfunding o compra a través de teléfonos móviles, por poner algunos ejemplos. Es importante destacar que, en los próximos años, van a ser más los negocios de este tipo que operarán; y se calcula que, en pocos años, este sector manejará un volumen de datos mayor que el de la banca tradicional.

Hemos de recordar que la reforma legal que despliega el RGPD introduce la obligatoriedad del consentimiento explícito y solo se puede invocar el interés legítimo en los casos de deudas o impagos. Por lo tanto, para conseguir ese consentimiento, las empresas del sector están introduciendo nuevas técnicas, con el fin de cumplir con lo establecido en la ley. De todas formas, es muy importante que recuerdes que la legislación comunitaria prioriza la autorregulación sobre otros aspectos.

Estos son los elementos más importantes que tienen que considerar las empresas de este sector de actividad para cumplir con los nuevos preceptos de la legislación comunitaria. No se invalida lo esencial que ya establecía la LOPD, pero, al aumentar los supuestos, es probable que tengas que incluir información adicional.

La utilización de sistemas de comprobación por parte del RGPD

Para comprobar que es el usuario quien quiere realizar el pago o la contratación y no está siendo suplantada su identidad, se introduce un sistema suplementario de comprobación de identidad. La doble identificación, aunque no es estrictamente obligatoria, sí que te permite aportar seguridad en esa zona gris que sigue habiendo y puede invalidar una transacción, si no hay garantías.

Lo más habitual es que se envíe un código al teléfono móvil o correo electrónico, que tendrás que introducir para confirmar la operación. Este es el sistema que han adoptado comparadores de seguro, empresas financieras y determinados ecommerces de retail.

Notificación de ataques

En el caso de que una empresa reciba un ataque informático, tiene la obligación de informar a dos instancias distintas, para tomar decisiones a corto plazo que impidan problemas más graves. Si, en cualquier página web, recibir un ataque informático es problemático, lo es mucho más cuando se están gestionando dinero o datos personales sensibles.

La información acerca de los ataques se tiene que ofrecer, en primer lugar, a la AEPD, que ha de saberla durante las 72 horas posteriores a la incidencia; y, en segundo lugar, a los usuarios de la página web. De esta forma, se tomarán las medidas necesarias para evitar que se reproduzca.

Información del tratamiento de datos

Hemos de informar detalladamente al usuario del tratamiento de los datos que vamos a hacer, lo que incluye las siguientes cuestiones. En primer lugar, hemos de facilitar la información acerca de los datos que vamos a utilizar. En segundo lugar, indicaremos la finalidad de su tratamiento (para qué los queremos). Finalmente, tenemos que señalar un periodo de destrucción, que no se debería demorar, salvo razón justificada.

Todas estas medidas tienen el objetivo de ofrecer al usuario más información y garantías y te recomendamos que prepares un formulario en el que se incluya el texto genérico, cuando el usuario se dé de alta. De esta forma, ahorrarás tiempo.

Nombramiento del Delegado de Protección de Datos (DPO)

El Delegado de Protección de Datos (DPO) es una figura que prevé el RGPD de manera genérica, pero en las empresas fintech tiene una especial importancia, por el uso intensivo de datos que se produce. Tienes que tener en cuenta que es el encargado de supervisar el cumplimento de lo establecido en la ley y, en caso de duda, es el DPO quien hará de punto de enlace con la AEPD para tomar decisiones.

La figura del DPO no tiene por qué pertenecer a la empresa, en especial, en compañías de pequeño tamaño; pero es imprescindible que reportes con el encargado cada cierto tiempo, para comprobar que estás cumpliendo con la normativa.

Qué datos genéricos has de incluir

Aunque ya lo deberías saber, aún existen empresas que olvidan la inclusión de determinados datos básicos. Queremos recordar que es imprescindible que la empresa incluya sus datos de contacto, un aviso legal, las condiciones generales de contratación, la información acerca de las cookies y la política de privacidad.

También tienes que incluir una referencia a los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) de los usuarios, lo que ya se establecía en la LOPD.

Conclusión

Las empresas fintech tienen que realizar un trabajo adicional para adaptarse a lo que requiere la legislación de protección de datos y, si se trata de pymes, es probable que el periodo de adaptación sea complejo. Una consultoría especializada te puede ayudar a realizar la transición, con garantías, para cumplir con el RGPD. Contacta con ella y te informarán con más detalle acerca de las posibilidades.

 

Algoritmos predictivos y protección de datos

En los últimos años, el sector empresarial y comercial ha comenzado a desarrollar y utilizar sistemas de predicción inteligente en base a tecnologías de Big Data. El Big Data es una ingente masa de información sobre clientes o personas particulares que se procesa a través de algoritmos predictivos.

La realidad actual se construye a partir de sistemas informáticos que se apoyan en modelos matemáticos para dar sentido al gran volumen de datos que procesa, aprender de ellos y ser capaz de realizar predicciones o detectar tendencias.

Una definición más técnica y algunos ejemplos

Podemos definir los algoritmos predictivos como unos modelos matemático-estadísticos que, a partir del análisis de los datos que recogen, son capaces de identificar oportunidades y riesgos.

Si te paras a pensar, hay multitud de sistemas de predicción sencillos que ya conoces y de los que te sirves a diario. Por ejemplo, cuando utilizas tu coche, dispones de información sobre cuándo debes comprobar la presión de los neumáticos o realizar un cambio de aceite.

En entornos más complejos, los informes sobre criminalidad de personas particulares pueden ser usados para predecir si volverán a delinquir o utilizar los datos sobre la estructura de la ciudad y organizar las rutas de los coches patrulla de la policía.

Al más puro estilo cinematográfico, esto ya se veía en la película Minority Report, en la que aparecía Tom Cruise y se presentaba un mundo futurista, muy cercano ya al presente y con un sistema informático que era capaz de predecir asesinatos y delitos de todo tipo.

En el campo médico, la utilización de estos algoritmos es capaz de cruzar las informaciones del historial médico de un paciente, para prevenir enfermedades o incluso ataques cardíacos.

Los algoritmos pueden utilizarse en multitud de campos, como la prevención de catástrofes naturales o persecución del fraude fiscal.

¿Cómo puede beneficiar esta tecnología a mi negocio en materia de protección de datos?

Si todavía no has oído hablar del Big Data, debes saber que es una de las piedras angulares en la gestión de información y atención comercial a clientes de cualquier tipo de negocio o empresa, por pequeña o grande que sea.

La utilización de algoritmos para dar sentido a toda la información que posees de tus clientes, incluidos los datos personales, es vital para dar forma a una estrategia digital de comercio.

Debes prestar especial atención a cómo almacenar y gestionar los datos de tus clientes

Existen una ley y diversas normativas que regulan la confidencialidad y seguridad con la que debes tratar la información de tus clientes, ya que, en muchas ocasiones, aparecen datos de carácter personal sensibles.

La LOPD (Ley Orgánica de Protección de Datos), que, hasta ahora, regulaba la forma en la que las organizaciones deben gestionar los datos de sus clientes o usuarios, será modificada en 2018.

¿Cómo puedo adaptarme a los cambios en el marco legal derivados del RGPD?

El próximo 25 de mayo de 2018, entrará en vigor el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016; relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

El Reglamento General de Protección de Datos (RGPD) sustituirá a la LOPD, que regulaba este marco legal hasta el momento.

Si no posees los conocimientos legales suficientes, es vital que acudas a servicios profesionales especializados en esta materia

Requisitos al operar en la gestión de los datos personales

– Recoger y almacenar los datos de carácter personal consentidos por el titular.

– Formularios legales que especifiquen, inequívocamente, la finalidad y utilización de dichos datos.

– Permisos y consentimiento de acceso por parte de terceros.

– Análisis de riesgos a la hora de gestionar los datos. Medidas de seguridad y mecanismos para la protección de los datos.

– Posibilidad de de rectificación, cancelación u oposición por parte de los clientes o usuarios.

¿Puedo comprar bases de datos y mailing para mi campaña?

En el entorno comercial, la recopilación de datos se utiliza para orientar estrategias de marketing personalizadas para cada cliente. El objetivo es ofrecer ofertas e información de calidad, según el perfil de cada usuario, para adaptar las campañas y aumentar el volumen de negocio.

Recopilar los datos de tus clientes o usuarios puede ser una tarea titánica y lenta, por lo que muchas empresas deciden comprar bases de datos con un gran volumen de información sobre clientes de diversos tipos.

Este tipo de acciones es desaconsejable y, a continuación, te explicamos los motivos

1- Marco legal:

Hasta ahora, la LOPD impedía, categóricamente, el envío de comunicaciones comerciales a través de medios electrónicos y sin un consentimiento explícito previo.

2- Fiabilidad de las bases de datos:

Cuando compras una interminable lista de direcciones de email, ¿están en uso? ¿Su titular utiliza esta dirección de correo con frecuencia? ¿Dónde vive dicha persona y cuál es su capacidad adquisitiva?

No tiene ninguna utilidad adquirir una base de datos sin conocer la respuesta a estas y otras preguntas, así que lo que, en principio, puede parecer una inversión interesante se termina convirtiendo en un gasto innecesario de recursos.

3- Las cuentas trampa:

Son cuentas de correo electrónico que no se utilizan desde hace mucho tiempo y los proveedores de servicios de email (Gmail, Hotmail o Yahoo) han creado para detectar este tipo de actividades o envíos masivos sin sentido.

Digamos que es una alternativa de autocontrol y calidad que llevan a cabo los grandes proveedores de email.

Si has comprado una base de datos y envías tus emails a estas cuentas, Gmail o Hotmail pasarán a identificar tu negocio como un generador de spam o correo basura.

4- Alto índice de rebote:

Al realizar envíos de información a cuentas inexistentes, nunca obtendrás una respuesta ni pondrás en marcha un proceso de compra, ya que la persona a la que crees enviar la información nunca habrá existido.

Además, puedes recibir una valoración negativa por parte de los proveedores de correo electrónico, que pasarán a categorizar tus emails como correos basura.

Como puedes comprobar, no es sencillo gestionar el uso de bases de datos y algoritmos predictivos. La necesidad de cumplir el RGDP es incontestable, para una correcta aplicación de las estrategias comerciales. Acudir a empresas especializadas es la mejor elección para aprovechar el potencial de esta tecnología.

 

¿Qué cambios se han producido en la política de software no deseado de Google?

Controlar las aplicaciones que tenemos en nuestro teléfono móvil y el acceso de estas a nuestros datos privados y su tratamiento es un trabajo que cada usuario debe permitir. Desgraciadamente, en la actualidad, existen diversas aplicaciones que usan nuestros personales para geolocalizarnos sin nuestro consentimiento; aunque, poco a poco, todas estas apps o funcionalidades, muchas de ellas de Google, tienden a adaptarse a las nuevas normativas surgidas, como el RGPD.

A este respecto, a finales de 2017, el popular buscador publicó en su página web una nota en la que informaba de los cambios que había realizado para actualizar a la nueva normativa su política de software no deseado. Todas las modificaciones están pensadas para cumplir la normativa europea que se aplicará en los países miembros de la Unión Europea desde este mes de mayo.

Los cambios más importantes en la política de software no deseado de Google para cumplir el RGPD

​Uno de los cambios más importantes de la actualización de esta política es que, desde ahora, cualquier aplicación que trate datos personales de los usuarios sin su consentimiento se considerará software malicioso. Entendemos, en estos casos, como datos personales, por ejemplo, la IP, su nombre, sus gustos o sus preferencias.

Entre otros cambios, hemos de destacar que, en el supuesto caso de que la aplicación trate o transmita datos que no tengan nada que ver con su funcionalidad, se debe informar a cada usuario de este hecho. Además de recoger, expresamente, su consentimiento para realizar este tratamiento.

Los cambios que se han aplicado afectan a la mayoría de las funcionalidades de la aplicaciones. Además, la empresa especifica que, en el caso de que se detecten, se analicen o se notifiquen errores, la información no podrá salir del dispositivo sin haber contado con el consentimiento del usuario.

Otra de las medidas más importantes de las que el gigante ha informado es que la actualización de la nueva política afectará a las apps disponibles en Google Play como a las que no están en dicho espacio, lo que obligará a las externas a cumplir los cambios mencionados.

Consecuencias de no cumplir la nueva política de software no deseado en materia de RGPD

Incumplir estas actualizaciones podrá dar lugar a avisos sobre la idoneidad de las aplicaciones en materia de seguridad, publicándose en Google Play Protect o en las páginas de descargas un aviso sobre el peligro de estas apps.

Aunque el popular buscador ha comenzado a exigir a las aplicaciones que estén informando ya a los usuarios de los tratamientos de sus datos, todavía no se han definidlo los contenidos informativos ni la manera correcta de mostrar la información.

Cómo informar a los usuarios tras la entrada en vigor del RGPD

Con la entrada en vigor del RGPD, se deben tener en cuenta unos importantes requisitos para informar al usuario, en los que se incluyen la identidad de la persona encargada de velar por el cumplimiento de la privacidad, los fines para los que se tratan los datos, el destino de los datos, informar a los usuarios sobre si sus datos saldrán de su país, información de sus derechos o hasta el plazo en el que se conservarán los datos (entre otras medidas). Toda esta información se deberá dar al usuario en dos partes: la primera, facilitando la información básica; y, la segunda, donde se explique la información en el RGPD.

Además, por otra parte, se obliga al usuario que consienta el tratamiento de todos sus datos. Es decir, la norma a aplicar recoge que, al obtener el consentimiento del usuario, este debe comunicar su conformidad de forma libre e inequívoca.

Como en el caso de la información para el usuario, la recogida, cuando se consiente el tratamiento de datos, todavía no ha sido definida por la empresa; por lo que debemos esperar a que los desarrolladores de las aplicaciones anuncien sus prácticas, para confirmar que los cambios son acordes a la normativa europea.

No obstante, en relación con el consentimiento, la compañía estadounidense sí que ha afirmado que los datos tratados han de guardar relación con la aplicación. Es uno de los requisitos del RGPD: únicamente es válido el consentimiento del usuario para varios fines marcados. En el momento en el que se recogen los datos del usuario, se recogerá el consentimiento por separado para cada fin.

¿Qué ocurre con la comunicación de datos tras la puesta en marcha del RGPD?

En cuanto a la comunicación de datos, se habla de que, para poder comunicarlos, también se debe contar con la necesidad de tener el consentimiento del usuario. En este caso, es importante no solo que se recoja el consentimiento; sino que, además, se debe informar de la posibilidad de que los datos sean tratados fuera de la Unión Europea, recogiendo también la autorización para la transferencia internacional.

Esta actualización de políticas se inspira, sin lugar a dudas, en los principios que recoge el Reglamento de Protección de Datos a aplicar en la UE desde mayo de 2018, tanto en privacidad como en su diseño, teniendo en cuenta la protección de los datos personales desde el momento en el que se diseñan las aplicaciones; así como el tratamiento de los datos necesarios para la finalidad que se persigue, que, en este caso, corresponde a la aplicación.

 

En resumidas cuentas, la actualización de la política de software no deseado o malicioso de Google es una buena medida por parte de la compañía estadounidense para afrontar los efectos del RGPD, puesto que los usuarios pueden permitir o controlar el uso de sus datos por parte de las aplicaciones que se instalan en su teléfono móvil. En relación con esta actualización al nuevo Reglamento de Protección de Datos en Europa, incorpora muchos conceptos nuevos y novedades. No obstante, todavía estamos a la espera de que la compañía nos comunique cómo informará y recogerá estos consentimientos de los usuarios; para saber si se ajustan o no a la norma, cuyo objetivo máximo es proteger al usuario de los abusos de las aplicaciones. Así, se pretende evitar las indefensiones derivadas del tratamiento de los datos.

 

La importancia de formar a los empleados en la protección de datos

Con cierta frecuencia, en las empresas, nos centramos en que, de cara a cumplir la protección de datos, únicamente los trabajadores de interlocución son los que deben asumir la función de preservar los datos. Estos trabajadores pueden ser los abogados, los responsables administrativos o incluso los propios informáticos de la corporación. Muchos de estos trabajadores se sienten ‘incomprendidos’ en sus corporaciones, puesto que su tarea consiste únicamente en garantizar que se cumpla la ley; y, próximamente, el nuevo RGPD, el cual implanta una serie de obligaciones a sus compañeros que no suelen entender y pueden llegar a parecer molestas.

Pese a que la protección de datos debe ser la premisa más importante en las empresas, normalmente, las grandes compañías son las que se toman más en serio este hecho, debido quizá a su alto volumen de datos; pero, a su vez son las que tienen más complejidad para organizarse o comunicarse internamente, debido a su tamaño: contraseñas que saben varios empleados y que no existan copias de seguridad o documentos con información confidencial compartidos en la compañía (y al alcance de cualquier empleado o persona). En cambio, las pequeñas y medianas empresas tienen más fácil la tarea de la protección de datos, además de la de la formación de los empleados, puesto que su tamaño y jerarquía facilitan la comunicación entre jefes y empleados.

No obstante, dentro de toda la cadena, es el usuario siempre el más débil. El empleado, si no ha sido perfectamente formado en las materia, puede llegar a cometer graves errores y poner en riesgo a la compañía, por su desconocimiento. En este caso, las empresas no deben echar en cara al empleado los errores cometidos en la protección de la información; sino que deben formarlo adecuadamente, para evitar o subsanar estos fallos (algunos frecuentes) que se cometen.

Por ello, a continuación, te mostramos una serie de pautas que deben tener en cuenta los empleados de la empresa.

Pautas principales a seguir en la formación de empleados sobre protección de datos: así se cumplirá el nuevo RGPD

Además de informar a los empleados, se les debe formar en diferentes aspectos, como la seguridad de la información y protección de la información. Además, se deben actualizar las diferentes estrategias a lo largo del tiempo: no hablamos de que los siguientes conceptos (que, a continuación, te mostramos) sean estáticos, sino de que varíen a lo largo del tiempo.

A continuación, todas las pautas a tener en cuenta:

Pantallas de ordenadores

Las pantallas o los monitores de los trabajadores que contienen datos personales no deben estar visibles para el personal no autorizado de la compañía.

Documentos en papel: claves en la protección de la información

Estos documentos que contengan datos privados (de todo tipo) no deben estar sobre la mesa o el mostrador ni tratarse de cualquier forma (tanto en el transporte como a la hora de su eliminación). Por otro lado, el trabajador debe ser consciente de que la protección de la información debe ir más allá de la permanencia en su puesto de trabajo, por lo que también la garantizará cuando permanezca fuera.

Formación de empleados, más allá de la usabilidad de las aplicaciones informáticas

Las empresas invierten mucho tiempo y recursos en formar a sus empleados para el manejo de diferentes aplicaciones informáticas. Las compañías deben hacer hincapié en un uso correcto de estas en la protección de los ficheros o datos personales. Es mejor, por ejemplo, cerrar la sesión de la aplicación, si nos ausentamos del puesto unos minutos.

Impresoras compartidas

Si se usan varias impresoras, los empleados deben garantizar que no se impriman documentos que puedan estar, posteriormente, olvidados en las impresoras.

Contraseñas: vitales para cumplir el nuevo RGPD

Los empleados no deben tener escritas las contraseñas en sus puestos y, en especial, en su entorno laboral.

¿Cómo actuar en caso de incidencias?

En el supuesto caso de que se produzca una incidencia en la cual se comprometa la seguridad de la información, el empleado debe tener claro que esta se debe poner en conocimiento de los responsables de seguridad.

Copias de soporte

Por último, en cuanto a las copias de soportes de los ficheros (automáticos o en papel), estas deben responder a fines concretos y contar con la autorización de los responsables de los ficheros o del delegado de la compañía. La empresa puede establecer autorizaciones genéricas por funciones, puestos o perfiles profesionales, siempre teniendo en cuenta la sensibilidad de los datos.

 

Lo mejor: la formación presencial para cumplir el RGPD

Los expertos señalan que lo ideal para que los trabajadores tengan en cuenta cómo cumplir con el nuevo Reglamento es que la formación de los empleados debe ser presencial y no a base de circulares o documentos que los propios empleados es posible que ni lean. En sesiones presenciales formativas, los trabajadores pueden preguntar sobre las dudas o cuestiones que les interesen, así como contar con ejemplos prácticos.

Además, esto consigue (independientemente del tamaño de la empresa) que el trabajador vea que, al ser presencial la formación, es un tema delicado e importante para la compañía. Por otro lado, es importante (como decíamos al principio) que estas sesiones se den una o varias veces al año, para actualizar diferentes conceptos y ‘poner al día’ a los empleados en materia de seguridad de datos.

Qué se busca tras una formación de empleados en la empresa

Mayormente, se buscan tres premisas principales:

Contar con empleados concienciados con la materia.

– Definir las obligaciones de la privacidad en el puesto de trabajo del empleado.

– Contar con un mayor flujo de consultas en situaciones cotidianas en las que un consultor, además, puede detectar los problemas fácilmente desde el exterior de la compañía.

 

 

En definitiva, los trabajadores deben contar con los conocimientos necesarios en protección de datos y realizar una formación de empleados acorde a la capacidad y las necesidades de la empresa. Así, evitaremos sanciones administrativas por posibles incumplimientos de los datos personales o quejas de los usuarios. De cara a la nueva aplicación del RGPD (que entra en vigor en el mes de mayo de 2018), es vital conocer las últimas novedades en la materia.

 

¿Conoces el derecho de cancelación de datos o al olvido?

El derecho de cancelación de los datos está reconocido en la normativa de protección de datos y supone, en la práctica, la posibilidad de rescindir o anular el acuerdo entre un ciudadano y una empresa o entidad por el que se había autorizado a esta la utilización de datos personales con unos fines concretos.

Si tienes una empresa o manejas, habitualmente, datos personales, lo ideal es que profundices todo lo que puedas en el conocimiento del nuevo Reglamento General de Protección de Datos (RGPD), ya que su incumplimiento conlleva graves sanciones económicas. Además, no importa si cometes el fallo sin mala intención o se trata de un error informático. El peso de la ley caerá, igualmente, sobre ti.

Si, por el contrario, eres un usuario o cliente, gracias a esta normativa, tus derechos se ven reforzados y dispones de mayores garantías y procedimientos para que tus datos personales no se utilicen sin tu consentimiento o conocimiento.

¿Qué pasa con los datos de los antiguos clientes de una empresa?

Este derecho se puede hacer efectivo, por ejemplo, en los casos de los antiguos clientes de una empresa que solicitan la supresión de la información relativa a su identidad y el cese de cualquier uso posterior. La ley marca que solo puede hacer la solicitud de la cancelación la persona titular de los datos.

Armonización europea de la protección de datos

El nuevo RGPD armoniza la legislación sobre protección de datos de toda la Unión Europea y entra en pleno vigor el 25 de mayo de 2018. Las empresas, tanto las europeas como aquellas que interactúan con clientes europeos, se enfrentan, a partir de esa fecha, a nuevos y exigentes requisitos.

Quizás el mayor impacto inicial se sentirá en la forma de recopilar datos. El registro de información personal (nombre, correo electrónico, etc.) es una parte esencial de casi todas las estrategias de marketing de las empresas.

Sin embargo, el RGPD establece requisitos estrictos. A partir de ahora, es necesario un consentimiento expreso para el uso de esos datos con un fin concreto. El consentimiento tácito ya no es válido.

Vigilancia de la protección de datos

Ahora, las empresas deben tener una actitud vigilante respecto al uso que hacen sus empleados de los datos personales de sus clientes. La responsabilidad última del error recae en ellas, con independencia de que haya habido un fallo humano.

En lo que respecta al consentimiento, este debe darse de las siguientes maneras:

– Mediante un acto afirmativo claro que establezca una indicación libre, específica, informada e inequívoca del acuerdo del interesado con el procesamiento de datos personales relacionados con él.

– En el caso de que tengas una empresa, cada vez que solicitas datos, necesitas el consentimiento. Un único consentimiento no cubre todas los propósitos y debes dar explicaciones de lo que planeas hacer con ellos.

– La nueva legislación también agrega nuevos requisitos de autorización parental para la recolección de datos de los niños menores de 13 años, mientras que categorías especialmente sensibles, como origen étnico, creencias religiosas, afiliaciones políticas, información médica y orientación sexual, requieren un consentimiento todavía más explícito.

Formularios

Para muchas empresas, todos los cambios que introduce el RGPD pueden obligarles a cambiar sus procedimientos de acopio de datos; como, por ejemplo, los formularios de registro de clientes en bases de datos. Si tienes una empresa, ya no podrás confiar en el consentimiento implícito. De acuerdo con la ley, la inacción por parte de un usuario no supone el consentimiento.

Además, si eres un cliente, ya no es lícito que te “engañen” con el lenguaje enrevesado de un formulario o documento de política de privacidad. Ahora los textos deben ser de fácil acceso y simples de leer y entender. Esto incluye una explicación acerca de cómo se procesarán, legalmente, tus datos.

Forma de consentimiento

Cómo obtener el consentimiento es algo que puede incluir, entre otras, las siguientes fórmulas:

– Una declaración escrita incluso por medios electrónicos.

– Una declaración oral.

– Marcar una casilla en un sitio web.

El derecho al olvido

El derecho al olvido es el que todo ciudadano tiene a que se eliminen sus datos de un determinado lugar de almacenamiento. También es conocido como derecho de cancelación o a la supresión y está contemplado en el artículo 17 del RGPD.

Establece que, en ciertas circunstancias, una persona puede presentar una solicitud al controlador de datos (normalmente, una empresa), para que elimine su información personal o evitar un procesamiento posterior de esa información. El derecho a borrar se aplica cuando:

– La información personal deja de ser necesaria para el fin con el que fue recopilada en un principio.

– El individuo retira, específicamente, el consentimiento para el procesamiento (y, si no hay otra justificación u otro interés legítimo, para el procesamiento continuo).

– La información se ha tratado incumpliendo la ley.

– Los datos deben borrarse para que el controlador cumpla con las obligaciones legales (por ejemplo, la eliminación de ciertos datos, después de un período de tiempo determinado).

Si una de las condiciones anteriores se aplica bajo este derecho, es responsabilidad del controlador eliminar los datos sin demora indebida; y, específicamente, dentro de un mes, a menos que se apliquen circunstancias específicas.

En los casos en los que los datos personales se han compartido con terceros o puesto a disposición del dominio público, el RGPD establece que es responsabilidad del controlador de los datos dar los pasos para informar a otros medios de la solicitud de borrado y exigirles cumplir con la eliminación.

Equilibrio

El derecho al olvido debe estar equilibrado con la libertad de información y el interés público. Las excepciones y razones para negarse a cumplir incluyen:

– El derecho a la libertad de expresión e información.

– Cumplimiento de obligaciones legales o autoridades oficiales.

– Motivos de salud pública o la realización de una tarea de interés público.

– Archivar con fines de interés público, investigación científica, investigación histórica o análisis estadístico.

– Si es necesario para el ejercicio o la defensa de reclamaciones legales.

El mayor desafío relacionado con el derecho de cancelación de los datos es que los controladores de la información (normalmente, las empresas) tienen la responsabilidad de sopesar esta solicitud, para equilibrarla con otros derechos e intereses en competencia. No obstante, en la mayoría de los casos, tomarás la decisión acertada, aplicando el sentido común.

 

Cómo usar Mailchimp sin afectar la protección de datos

Si eres una empresa y quieres realizar envíos masivos de correos electrónicos para publicitar tus productos o servicios, Mailchimp es una de las herramientas más efectivas. Con ella puedes llevar a cabo campañas de email marketing con las que impulsar tus ventas, conseguir más clientes y suscriptores o aumentar la autoridad de tu marca.

Cumplir con las leyes de protección de datos

Los envíos que realices deben hacerse conforme a la Ley Orgánica de protección de datos (LOPD) y al nuevo Reglamento General de Protección de Datos (RGPD), que entró en vigor en mayo de 2016 y que, tras un periodo de dos años de progresiva adaptación en los países de la Unión Europea, tendrá aplicación plena a partir del 25 de mayo de este año.

Cumplir con los requerimientos que marca esta normativa exige importantes esfuerzos por parte de las empresas y, por eso, estas requieren, en muchas ocasiones, los servicios de una consultoría de protección de datos para resolver las dudas que surgen entre los trabajadores, llevar a cabo acciones formativas para el personal y asesorar a la figura del delegado de protección de datos.

Incluir una política de protección de datos cuando usas Mailchimp

¿Debes incluir una política de privacidad cuando usas esta plataforma? Una respuesta simple: sí.

En relación al aspecto legal, la mayoría de los países tienen algún tipo de regulación de privacidad que se extiende a la web y sanciones de unas cuantías que pueden oscilar entre los 900 y 600 000 euros por cada dato mal tratado, y tres niveles de sanción: leve, grave y muy grave.

En el caso de España, que se rige por una normativa armonizada con la del resto de la Unión Europea, la legislación en esta materia es una de las más restrictivas del mundo. Además, con la entrada en vigor del RGPD aumentan las restricciones hasta el punto de que una empresa solo puede utilizar los datos personales para enviar publicidad cuando el destinatario haya autorizado el envío explícitamente, bien por correo electrónico o bien a través de un audio grabado.

Para los servicios de boletines y correo en general, la empresa está obligada a contar con una autorización expresa de los destinatarios del envío de los correos electrónicos (sistema opt-in). Además, ahora, estas personas tienen derecho a saber cómo se manejan sus datos privados (correo electrónico, nombres…).

¿Exige que publiques una política de privacidad para tu boletín informativo?

Sí y no. Esta plataforma exige en sus términos de uso el cumplimiento de las leyes de privacidad en España. Por tanto, debes indicar claramente por escrito cómo piensas utilizar los datos recopilados. Además, debes obtener el consentimiento expreso para transferir datos a esta plataforma, cumplir con todas las regulaciones y con las leyes de protección de datos, comunicación electrónica y privacidad que se aplican a los países donde envías cualquier tipo de correo electrónico a través de ella.

En esta línea, debes recopilar, almacenar, utilizar y transferir todos los datos relacionados con cualquier individuo, de conformidad con todas las leyes y normas en esta materia, y contar con los permisos necesarios para permitir que Mailchimp reciba y procese datos y envíe comunicaciones a esa persona en tu nombre.

En caso de incumplir estas condiciones, el responsable serás tú y no la plataforma de email marketing, porque al darte de alta debes aceptar indemnizar y eximir a esta herramienta de cualquier pérdida, incluidos los honorarios de los abogados que resulten de tu incumplimiento de cualquier parte de estas garantías.

Por todo ello, aunque usarla no significa que necesites una política de privacidad, lo que sí implica es que debes cumplir las leyes y decir a tus usuarios exactamente qué haces con sus datos, más aun si se da el caso de que los transfieres fuera de España, como ocurre con esta herramienta, que tiene su base en Estados Unidos.

Adiós a la LOPD: toca prepararse para el RGPD

Si una empresa tiene su sede en la Unión Europea o tiene clientes o contactos en la UE, probablemente ya haya oído hablar del Reglamento General de Protección de Datos (RGPD). Para aquellos que no, decir que es una ley de privacidad de la UE que estará en pleno vigor desde el 25 de mayo, aunque lleva dos años coexistiendo en España con la LOPD. Reglamenta el tratamiento y uso de los datos personales que pertenecen a los ciudadanos de la UE.

Las empresas con base en la UE, así como cualquier persona que procese los datos personales de ciudadanos de esta zona, se ven afectadas por este reglamento, que introduce algunas destacadas novedades.

Si alguna vez recopilas, registras, almacenas, usas o borras datos personales de clientes o contactos, debes tener en cuenta todos los requerimientos necesarios para respetar el derecho a la protección de los datos de carácter personal que tiene todo ciudadano europeo.

En esta plataforma han revisado y actualizado sus procesos y sistemas de datos internos para asegurarse de estar listos para mayo. Pronto publicarán una versión actualizada de su acuerdo de procesamiento de datos para permitir que sus clientes sigan transfiriendo legalmente los datos personales cuando el reglamento entre en vigor.

Desde esta compañía han manifestado su intención de cumplir con la normativa y ayudar a sus clientes a hacer lo mismo. Incluso han creado una guía para ayudar a sus usuarios, que incluye una descripción general de la nueva ley, detalles sobre cómo se están preparando para ella e información sobre cómo asegurarte de que tu uso de esta herramienta es compatible con la ley.

Respeto a los derechos del ciudadano

En un entorno cada día más competitivo y con mayores posibilidades de comunicación gracias a las nuevas tecnologías, resulta esencial poner los límites para que los ciudadanos no vean vulnerados sus derechos fundamentales. De ahí la necesidad que tienen muchas empresas de contar con una consultoría de protección de datos.

La cesión de información y datos de carácter personal resulta, a veces, imprescindible para poder acceder a determinados productos, servicios o entornos. Herramientas como Mailchimp son un ejemplo de ello. Sin embargo, son los titulares de dichos datos los que deben autorizar el uso que se va a hacer de los mismos, según especifica la Ley de protección de datos (LOPD).

 

E-Privacy: todo lo que debes saber

El Reglamento E-Privacy es una de las novedades que verás, en materia de protección de datos, durante este año. No obstante, este es mucho menos conocido, ya que la opinión pública se ha centrado en el Reglamento General de Protección de Datos (RGPD). A pesar de esto, es importante que conozcas de qué se trata; dado que puede afectar, directamente, a tu empresa.

¿Qué es el reglamento E-Privacy?

Este Reglamento tiene que sustituir a la norma que se creó en 2002 y regulaba las comunicaciones a través de la Red. Desde entonces, se han creado numerosas nuevas plataformas de comunicación; y la legislación, en este aspecto, debe reinventarse y adaptarse a los nuevos avances.

La aparición de WhatsApp, Telegram o Line ha hecho que la norma de 2002 esté totalmente desfasada. Son necesarios nuevos procedimientos y protocolos, que nos permitan proteger la privacidad de estos usuarios cuando utilicen este tipo de servicios de comunicación.

Así pues, debes tener claro que este Reglamento impulsa la protección en el ámbito de las comunicaciones electrónicas y la privacidad en Internet. Y esto afecta tanto a los usuarios particulares como a las empresas. 

Acciones que pretende regular este Reglamento

El nuevo Reglamento quiere proteger tanto al usuario particular como a las empresas. Pero sus funciones serán diferentes, dependiendo de a quién haya que proteger.

Usuarios particulares

No es ninguna sorpresa que, en las conversaciones a través de WhatsApp y otras vías de comunicación electrónica, se desvele información muy privada sobre nosotros mismos. Cuando hablas con un amigo o familiar, puedes tocar temas delicados que no querrías que se supiesen. Así pues, según esta nueva norma, quedarían protegidas las siguientes temáticas:

– Experiencias personales.

– Problemas de salud, ya que, como debes saber, estos datos son protegidos especialmente, debido a su importancia y al perjuicio sobre una persona que podrían causar su filtración y difusión.

– Preferencias sexuales dado el grado de intimidad que reflejan estas informaciones.

– Opiniones políticas, que también son consideradas datos de especial protección.

Empresas

En el caso de las empresas, la información filtrada puede tener repercusiones económicas muy importantes. Por ello, el contenido de los mensajes puede revelar datos acerca de empresas, secretos comerciales o documentos confidenciales. Todo ello queda protegido por la nueva Ley de Privacidad de las Comunicaciones Electrónicas.

Metadatos: la novedad de este Reglamento

Los metadatos, por si no lo sabes, son aquellos datos que describen otros datos. Esta información suele estar muy estructurada y describe las características de las informaciones a las que se refiere.

Por ejemplo, pueden arrojar información sobre el contenido, la calidad y muchas más circunstancias. Por tanto, a través de estos metadatos también se podría saber mucha información de los usuarios y sus comunicaciones por vías electrónicas.

En el caso de las aplicaciones de mensajería, los metadatos podrían revelar tus horas de conexión, tu localización… Por consiguiente, esta nueva norma incluye la regulación de estas informaciones, entre sus diferentes secciones.

Así pues, se consideran metadatos aquellos que permiten lo siguiente:

– Saber el origen o destino de quienes se están comunicando.

– Saber dónde está el dispositivo con el que se están comunicando los usuarios o empresas.

– Información sobre las fechas de las conversaciones, así como de su hora y duración.

– Cualquier indicio que permita reconocer el tipo de comunicación. 

Novedades que establece la nueva normativa

Al igual que el RGPD, esta nueva normativa trae consigo una serie de novedades que debes conocer para poder adaptar tus protocolos de comunicación electrónica. Además, siempre es de vital importancia que conozcas tus derechos, para poder defenderlos.

Mismo límite que el RGPD

​De la misma manera que el RGPD, el Reglamento sobre la Privacidad en las Comunicaciones Electrónicas también deberá aplicarse a partir del 25 de mayo de 2018.

Por tanto, si tienes una empresa, lo ideal es que comiences a adaptar tus comunicaciones, a nivel empresarial y personal. Para que te quede más clara la aplicación de esta normativa, vamos a ver, una a una, sus novedades. 

Extraterritorialidad de sus obligaciones

Al igual que ha ocurrido con la creación del RGPD, esta normativa también tiene una aplicación efectiva en todos los países miembros de la Unión Europea. E incluso fuera de ella, ya que su aplicación está ligada a los usuarios de la UE. 

Más servicios de aplicación

Hasta ahora solo se regulaban los emails, SMS y llamadas telefónicas. En esta nueva ley se incluyen las aplicaciones de mensajería, correo web, voz IP, tecnologías device fingerprinting, metadatos e interconexión digital.

Instalación de cookies

Otras de las novedades más relevantes son las que van a incorporarse en la instalación de las cookies y cualquier tecnología similar. El objetivo principal es reducir la saturación de las políticas de cookies de las páginas web.

El consentimiento

Sin lugar a dudas, esta es la novedad más importante de todo este Reglamento. A partir de ahora, existirá un consentimiento más estricto, para poder someter al usuario a la publicidad digital. Esto también es fruto de la interconexión con el Reglamento General de Protección de Datos. El consentimiento, además, deberá cumplir una serie de requisitos.

El primero de ellos es que debe ser un consentimiento libre, pero también específico, debidamente informado inequívoco. Así pues, el usuario deberá manifestar su voluntad mediante una acción afirmativa que no dé lugar a error. Y todos estos consentimientos deberán ser guardados por la empresa, por si le resulta necesario acreditarlos en algún momento.

Email marketing 

La necesidad de que haya un consentimiento explícito obliga a los ecommerces a establecer un nuevo sistema para la captación de clientes, a través de la suscripción y del envío de ofertas comerciales. Por ello, las técnicas opt-in se están aplicando cada vez más.

Esto consiste en que, una vez el usuario se suscribe a tu newsletter, este tenga que recibir un mensaje en el que se le vuelve a pedir la confirmación de la suscripción. De esta manera, te asegurarás de tener un consentimiento totalmente explícito.

La protección de datos se pone más seria

Conforme avanzan las nuevas tecnologías, la protección de datos se hace más estricta. Esto es necesario para salvaguardar la información de usuarios y empresas. Por ello, el reglamento E-Privacy resulta tan importante y necesario hoy en día.

 

El RGPD otorga mayor privacidad a la política de cookies

El Reglamento General de Protección de Datos (RGPD) actualizado nos ha traído una nueva política de cookies. Lejanos quedan los años en los que Internet se instaló en nuestras vidas y dejamos de considerar la cookie solo como una sencilla galleta con trocitos de chocolate.

Quizá te haya sucedido la típica escena en la que alguien te invita a borrar las cookies y te has preguntado: ¿y eso cómo se hace? ¿Sabes lo que es una cookie y para qué se utiliza?

Las cookies consultan la información previa del usuario

La mayoría de usuarios de Internet nos hemos encontrado alguna vez con un mensaje que nos avisa sobre el almacenamiento de cookies en nuestro navegador.

Muchos, probablemente, aceptamos el aviso sin darnos cuenta de lo que estamos permitiendo. Por ello, profundizaremos en qué son y para qué sirven.

Una cookie es un archivo que crea un sitio web. Este contiene pequeñas porciones de datos, que se transfieren entre una fuente de origen y otra de destino. Así, quien emite la información es el servidor en el que está hospedada la página web. Por su parte, el receptor es nuestro navegador.

De esta manera, el sitio web conoce nuestros comportamientos y hábitos y nos puede ofrecer información acorde a ellos. Esto permite que nuestro viaje a través de una página web sea cada vez más personalizado.

Al tiempo, el empleo de cookies hace que nuestra estancia en una web no sea privada y la información que manejemos o por la que naveguemos sea empleada por la propia página web o terceros, según sea el tipo de estos archivos que almacena nuestra información.

El RGPD incide en las cookies

La ley europea sobre tratamiento de datos personales o Reglamento General de Protección de Datos (RGPD) se perfila como un conjunto de normas de la UE que supone la iniciativa más relevante, en cuanto a protección de datos, en veinte años.

La mencionada normativa, entre otras cuestiones, afecta a la política de cookies. En concreto, valora que estas pueden dejar rastros que se conviertan en datos capaces de identificarte y generar un perfil tuyo.

De este modo, en el momento en el que las cookies dispongan de la capacidad de reconocer a alguien, se consideran datos personales.

No obstante, existen cookies que no disponen de esta capacidad o no se han diseñado para ello. Son las que se emplean para publicidad, análisis, encuestas o chats. Las de índole publicitara son, habitualmente, más intrusivas.

Por un lado, las generales siguen el camino de beneficiarte a ti, como internauta, mientras que las publicitarias buscan el lucro de terceros.

La cuestión que tal vez te preguntes es: ¿realmente, estos archivos son inofensivos o intrusos? Hemos mencionado su carácter para reconocer tus pautas de conducta.

¿Cómo favorecer la protección de datos?

Desde el ámbito legal, este hecho puede comprometer tu intimidad y menoscabar tu protección de datos de carácter personal. Y todo ello sin tu consentimiento.

Es habitual que las cookies no tengan su origen en el sitio web por el que navegas. Pueden proceder de terceros que te acechan para cumplir sus objetivos comerciales.

El protagonista eres tú, sin darte cuenta de ello, mientras que terceros se benefician de tu información entre bastidores.

De esta forma, con la aplicación del nuevo RGPD, todos los organismos, compañías o empresas con páginas web que precisen recoger tu información necesitan tu consentimiento expreso.

En el caso de que seas propietario de un sitio web, has de instalar una ventana emergente en la página de bienvenida, la cabecera o el pie de la página. En ella, has de concretar de forma clara, directa e integral que tu site utiliza cookies.

E-Privacidad: más allá del consentimiento implícito

La E-Privacidad que establece el RGPD supone un valor añadido para ti, como internauta. ¿Dónde radica? ¿Cómo te protege?

Las casillas marcadas con antelación ya no son legales y el consentimiento tácito no es suficiente para garantizar la protección de tus datos de carácter personal. En este supuesto y, en especial, si se manejan datos sensibles o protegidos, será imprescindible conseguir tu permiso expreso. Este hecho no ha de dar pie a la libre interpretación.

Otro aspecto a tener en cuenta es que no se pueden enviar mensajes electrónicos solo por haber visitado una determinada web. Siguiendo el RGPD, el consentimiento ha de manifestarse de forma libre, informada, específica y que no dé lugar a dudas o equivocaciones. En este caso, siempre que des tu visto bueno, aceptas que tus datos personales sean tratados.

Por último, tan fácil ha de ser consentir que se trate tu información como retirar dicho permiso. Como usuario, los propietarios de una página web han de favorecer que puedas cancelar tu suscripción a una newsletter, por ejemplo. Asimismo, han de darte la oportunidad de suprimir tus cookies y omitir que te envíen información.

¿Por qué y cómo rendir cuentas?

Al tiempo que una página web adopta estas medidas, ha de tener la capacidad de rendir cuentas. ¿Sobre qué? En relación con los datos que una entidad difunde acerca de los usuarios con servicios de terceros.

Además, el site ha de ofrecer información sobre los lugares del mundo en los que se han compartido tus datos personales.

Por tanto, la política de cookies ha de ser transparente. Cumplir con la normativa e ilustrarte han de ser las señas de identidad del funcionamiento de los datos personales vinculados a una página web.

Una acción afirmativa evidente es otra de sus características. Por este motivo, es importante que la empresa obtenga tu permiso activo y positivo. En cualquier caso, la renuncia a las cookies ha de ser una opción real.

Otro aspecto clave es que has de poder realizar la renovación en el consentimiento cada doce meses, una vez visitada, por primera vez, la web.

En definitiva, la política de cookies renovada nos favorece, como internautas, y nos protege. Todo ello con un fin: amparar nuestros datos e información de carácter personal y nuestra intimidad. Nuestros rastros en Internet ya no podrán ser empleados de forma intrusiva ni serán utilizados por terceros que vulneren nuestro derecho a la privacidad y realizar un viaje seguro a través de la Red.