¿Te mudarías a una casa con muros transparentes? ¿Permitirías que cualquiera pudiera escuchar todas tus conversaciones, incluidas las que mantienes con tus mejores amigos o tu terapeuta? Probablemente no. Sin embargo, es muy probable que de hecho permitas algo parecido.
En el mundo actual, cada vez más personas se mueven por el espacio digital y, a su paso, van dejando huellas de información. Las empresas que trabajan con datos se nutren de esos rastros. Registran la información que buscas en Internet, los artículos que lees, intentan averiguar tus intereses, tu religión, tu sexualidad, tu estado de salud, tu nivel de ingresos. Y luego, basándose en estos datos, intentan venderte algo. O intentan venderte a alguien (es decir, vender tu información a otras empresas u organizaciones).
Para proteger los derechos e intereses de la ciudadanía, la UE ha puesto en marcha el Reglamento General de Protección de Datos (RGPD). Creado a partir de 7 principios, su objetivo es proteger a los internautas en sus expediciones en línea y poner límites a los sitios web que engullen los datos personales que dejan a su paso.
¿Cuáles son los 7 principios del RGPD?
El artículo 5 del RGPD establece 7 principios para la recogida, organización, estructuración y almacenamiento de nuestros datos. Estos deben entenderse como los principios generales fundamentales que sirven de guía a los controladores y procesadores de datos para entender sus obligaciones con respecto a los datos que procesan. ¿Cuáles son estos principios y qué implican?
1. Licitud, lealtad y transparencia
El primer principio es relativamente obvio: las personas u organizaciones que tratan con datos personales deben asegurarse de que sus prácticas de recopilación de datos no infringen la ley, que no hacen nada con ellos que no esté dentro de unos márgenes contemplados y razonables y que no ocultan ningún tipo de información relevante a los sujetos interesados.
La licitud significa dos cosas para los procesadores de datos: identificar una base legal adecuada para tratar sus datos de modo que se eviten las actividades ilegales. Esto puede parecer bastante sencillo, pero no siempre es así. Los procesadores de datos tienen seis bases legales alternativas entre las que elegir: el consentimiento, la ejecución de un contrato, un interés legítimo, un interés vital, un requisito legal y un interés público. Cada una tiene sus propias normas, ventajas e inconvenientes para el responsable del tratamiento.La lealtad significa que los responsables del tratamiento no deben engañar intencionadamente a las personas sobre cómo se tratarán sus datos, y si su tratamiento repercute negativamente en el interesado, deben justificarlo.
El concepto de transparencia exige una notificación clara, es decir, que cuando se recojan datos debe indicarse claramente por qué se recogen y cómo se van a utilizar.
Cuando una organización te pide que le proporciones todo tipo de información sobre ti (o ni siquiera te la pide), sin decirte qué hará con ella y por qué, está incumpliendo el GDPR.
2. Limitación de finalidad
En una palabra: precisión. Las organizaciones deben tener una razón concreta y legítima para procesar tu información personal. Los procesadores de datos tienen que dejar constancia de sus motivos en su documentación, y si eligen el consentimiento como base jurídica, tienen que comunicar sus intenciones con absoluta claridad. Si se dan cuenta más adelante de que los datos podrían ser útiles para otros fines, mala suerte. Pongamos un ejemplo: supongamos que Joe, el panadero, pide el consentimiento de sus clientes para guardar sus direcciones de correo electrónico y enviarles boletines sobre sus promociones semanales. Es posible que más adelante quiera de repente informarles también de la apertura de su nuevo asador, pero no cuenta con el consentimiento para ello. Los clientes no han aceptado recibir todo tipo de correos electrónicos de Joe, únicamente han accedido a recibir correos sobre las ofertas de la panadería.
3. Minimización de los datos
En virtud del RGPD, los datos deben ser "adecuados, pertinentes y limitados a lo necesario en relación a los para los que son tratados". Por consiguiente, el RGPD está diseñado para que la recopilación de datos sea la mínima necesaria. Esto significa que las organizaciones y sus responsables del tratamiento de datos solo deben conservar la cantidad mínima necesaria de datos para sus fines. Joe, por ejemplo, no debe recopilar información sobre si guardan sus ahorros en efectivo o en un banco, ya que esta información simplemente no es necesaria para informarles sobre sus ofertas semanales. Es lógico, en primer lugar, porque la forma en que sus clientes guardan su dinero, no es asunto de Joe. En segundo lugar, porque si alguien hackea el ordenador de Joe, cuanta menos información pueda filtrarse, mejor.
4. Exactitud
La exactitud de los datos personales es esencial para la protección de datos. Los datos personales deberán ser "exactos y, si fuera necesario, actualizados". Esto implica que, de acuerdo con el RGPD, "deben tomarse todas las medidas razonables" para eliminar o rectificar los datos inexactos o incompletos. Los responsables de la recogida de datos deben realizar un trabajo sistemático de comprobación para corregir, actualizar o eliminar los contactos obsoletos o antiguos y otros datos personales inexactos o incompletos. Para seguir con el ejemplo, si una de las clientas de Joe figuraba en su lista con su antigua dirección comercial, pero cambió de trabajo y le pide a Joe que cambie su dirección en la lista, por ley está obligado a hacerlo.
5. Límite de plazo de conservación
El principio de limitación del plazo de conservación está estrechamente vinculado a la minimización de los datos y tiene por objeto evitar que los responsables del procesamiento de datos conserven datos personales durante más tiempo del necesario. Establece que los datos personales deben conservarse solo el tiempo necesario y después deben borrarse. Por ejemplo, si dejas tu número de teléfono en un bar para que te avisen si alguien encuentra las llaves que has perdido, no deben conservarlo en sus registros una vez encontradas las llaves. O, por poner otro ejemplo, si Joe cierra su panadería para concentrarse plenamente en su nuevo asador, no puede conservar las direcciones de correo electrónico de sus antiguos clientes en aras de los "viejos tiempos".
Evidentemente, muchos casos no son tan sencillos. Es posible que algunas empresas necesiten conservar algunos datos personales de sus antiguos clientes para poder tramitar sus reclamaciones. Los bancos no pueden eliminar todos sus datos cuando cierran sus cuentas, ya que están obligados por ley a conservar algunos registros y ponerlos a disposición de las autoridades si lo solicitan (y cuentan con una justificación válida). La cuestión que se plantea es que los controladores y procesadores de datos pueden necesitar conservar algunos datos durante más tiempo, pero siempre deben tener una muy buena justificación para cualquier dato que conservan en un momento dado, por mínimo que sea.
6. Integridad y confidencialidad
La base principal de este principio es: mantener la seguridad, porque la seguridad de nuestros datos es primordial. ¿Por qué? Como decíamos, Joe no debe recopilar datos irrelevantes e innecesarios sobre ti, de manera que si alguien hackea su ordenador, el daño potencial para ti será relativamente pequeño. Este es el objetivo de la minimización de datos. Pero incluso minimizando los datos, muchas empresas procesan datos que, en caso de salir a la luz, pueden perjudicarte o preocuparte. Por ejemplo, los datos de la tarjeta de crédito. O imagina que eres una persona muy activa políticamente y la dirección de tu casa cae en malas manos. Para evitar este tipo de perjuicios, los responsables del tratamiento de datos deben tomarse muy en serio la protección de tus datos. Cuanto más potencialmente peligrosos puedan ser esos datos para ti, mayor será el esfuerzo que deberán demostrar.
7. Responsabilidad proactiva
Este último principio puede considerarse un conjunto global de requisitos relacionados con los otros seis. Establece muy claramente que la responsabilidad del cumplimiento del RGPD recae en quienes tratan los datos. Las organizaciones deben disponer de la documentación necesaria para demostrar que cumplen con los requisitos de la normativa. Por ello, un buen registro de documentación es fundamental para demostrar el cumplimiento cuando lo soliciten las autoridades y las pólizas de seguros. Normalmente, esto se hace mediante una combinación de medidas, como por ejemplo, a través de todos los avisos diminutos de privacidad que aparecen cuando se navega por Internet, teniendo políticas internas sobre el tratamiento de datos, pidiendo a los clientes fuera de línea que lean y firmen los avisos de privacidad, etc.
Violaciones del RGD y multas
Uno de los elementos más importantes y más comentados del RGPD ha sido la capacidad de los reguladores de sancionar a las empresas que no cumplan con las normas con enormes multas. El incumplimiento de los principios descritos anteriormente puede resultar bastante caro. Las violaciones de los últimos artículos del RGPD pueden conllevar multas cuantiosas (hasta 10 millones de euros o el 2% de los ingresos anuales mundiales de la empresa del ejercicio anterior, la cantidad que sea más alta), pero cuando las infracciones van en contra de los principios básicos, una empresa puede ser multada con hasta 20 millones de euros, o el 4% de sus ingresos anuales mundiales del ejercicio anterior, la cantidad que sea más alta.
Para más información sobre derechos humanos y democracia en Europa, escuche Speechbag, nuestro podcast mensual:
