|CLAVE PGP | TLF: 655513507
El Reglamento General de Protección de Datos (RGPD) nos da las claves para permitir a los usuarios que protejan su privacidad y a los operadores (incluidas micropymes y pymes) el ejercicio de su actividad generando confianza para que la economía digital se desarrolle.
Los usuarios tienen reconocido el derecho a la “autodeterminación informativa” y al control sobre sus propios datos personales para evitar el tráfico ilícito pero el usuario debería ser “responsable activo” y conocer y pedir las herramientas (Privacy Enhancing Technologies PETs) y técnicas que le ayuden a configurar su privacidad. Por otro lado, los operadores privados y públicos, que ofrezcan servicios a ciudadanos europeos o desarrollen sus actividades en la Unión Europea, deberían ser “responsables activos” y contratar y diseñar productos que incorporen herramientas y técnicas que permitan a los usuarios la configuración de su privacidad, con el fin de garantizar “expectativas de control adecuadas sobre sus datos, durante todo el proceso del tratamiento”.
Las novedades RGPD 2018 especifican que los usuarios tienen el control de sus datos y por tanto debemos informarles y darles respuestas a preguntas como: ¿qué hacemos con sus datos?, ¿cómo lo hacemos?, ¿para qué?, ¿qué garantías de cumplimiento les ofrecemos?, ¿qué medios ponemos a su disposición para informarse?.
Además del derecho del usuario a informarse y del deber de las corporaciones de propocionarles información, queremos destacar dos conceptos que todos los operadores deben tener en cuenta al adaptarse a las novedades RGPD 2018:
-Se descarta la validez del consentimiento tácito.
-El silencio, las casillas previamente seleccionadas o la inacción no son válidos.
-Si el tratamiento tiene varias finalidades debe constar el consentimiento para todos.
-Debe ser una manifestación de voluntad libre, específica, informada e inequívoca.
Otra más de las novevdades RGPD 2018 es el control que puede ejercer el usuario después de otorgado el consentimiento, que se basa en la expectativa de confianza y en el respeto al consentimiento otorgado. La realidad es que la confianza podría aumentar si los proveedores de servicios utilizaran mecanismos automáticos que permitieran a los usuarios dar instrucciones o configurar preferencias de privacidad sobre el uso posterior de sus datos personales. Podría cifrarse la información y sólo aquellos proveedores de servicios con politicas de privacidad compatibles con las instrucciones de los usuarios podrian acceder a las claves de descifrado para tratar los datos personales.
-El tratamiento será lícito si es necesario para la satisfacción de intereses perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado.
-El RGPD destaca que constituye un interés legítimo los tratamientos de datos necesarios para la prevención del fraude y con fines de mercadotecnica directa.
Las novedades RGPD 2018 establecen que las corporaciones podrán tratar datos personales de los usuarios si cumplen con el principio de calidad, licitud y transparencia. Relacionado con el principio de calidad encontramos el principio de minimización de los datos, ambos principios fundamentales en el diseño de privacidad. Las corporaciones deben recoger y almacenar la cantidad mínima de datos personales que sea necesaria para prestar el servicio.
– Principio de licitud, lealtad y transparencia.
– Principio de limitación de la finalidad.
– Principio de minimización de los datos.
– Principio de exactitud.
– Principio de limitación del plazo de conservación.
– Principio de integridad y confidencialidad
– Principio de responsabilidad activa.
Los usuarios deberían conocer y los operadores informarles que existen herramientas que permiten mejorar su privacidad en Internet. Buscadores como DuckDuckGo, StarPage, Unbubble, no recogen ni almacenan información personal, como pueden ser palabras de búsqueda, el historial de navegación y direcciones IP. Otras herramientas, como por ejemplo PrivacyEraser garantizan que borrarán la “huella digital” eliminando el historial de navegación, caché del navegador web, cookies, historial de la barra de direcciones, URLs, historial de formularios autocompletados, contraseñas guardadas, documentos recientes, archivos temporales, papelera de reciclaje…etc.
Debemos ser conscientes que aunque utilicemos un buscador que cumpla con el principio de minimización de los datos si hemos descargado indebidamente un malware debemos conocer herrramientas que lo detecten y eliminen para evitar que nuestra actividad online sea rastreada. Proponemos elegir y comparar productos a través de páginas como av-comparatives.org.
Otra solución que permite cumplir con el principio de minimización de los datos es la de las comunicaciones efímeras, es decir herramientas como Snapchat y Firechat no guardan de forma permente las conversaciones en Internet y eliminan automáticamente contenidos, mensajes, videos.
Las corporaciones pueden desarrollar sus servicios web y diseñar sus aplicaciones incorporando soluciones como Identity Mixer de IBM, que a través de diferentes sistemas de gestión de credenciales permiten que sus titulares tengan un control directo sobre su identidad y que los desarrolladores controlen como se integra este sistema de identidad.
Otro tipo de tecnologías y herramientas que permiten a los usuarios controlar el uso que las corporaciones hacen de sus datos es TACYR, de ElevenPaths. Esta aplicación advierte a los usuarios sobre los servicios que instalan y los usuarios podrían usar esta información para administrar los permisos de las aplicaciones, mejorando el control sobre la información que las aplicaciones recopilan y comparten.
El usuario cada vez está más informado tanto de sus derechos como de las obligaciones de las entidades, no conocen el contenido del RGPD pero sí saben que debemos proporcionarles mecanismos que protejan su privacidad. Las corporaciones deben estar en condiciones de poder demostrar que disponen de esos mecanismos. La responsabilidad proactiva de los responsables y encargados implica que existe responsabilidad por una infracción y que la no adopción del conjunto de medidas y mecanismos requeridos para el cumplimiento normativo o la falta de diligencia al hacerlo, supone también una responsabilidad punible para las organizaciones o empresas.
-la naturaleza.
-el ámbito y el contexto,
-la finalidad del tratamiento,
-los riesgos.
Las novedades RGPD 2018 recomiendan la adopción de políticas de protección de datos para demostrar el cumplimiento por parte del responsable o del encargado del tratamiento, especialmente con respecto a la identificación del riesgo y a las buenas prácticas para mitigarlo, a través de códigos de conducta, certificaciones aprobadas, directrices del Comité o indicaciones proporcionadas por un Delegado de Protección de Datos.
La realidad es que los usuarios no pueden personalizar ni negociar las políticas de privacidad pre-establecidas por los proveedores de servicios en línea, por tanto determinadas cláusulas podrían ser abusivas y lesionar los derechos de los consumidores en materia de privacidad, por tanto si pudieran elegir y negociar acuerdos personalizados, y si pudieran confiar en que los proveedores de servicios en linea los cumplieran mediante mecanismos automatizados, mejoraría la confianza de los usuarios en los productos y proveedores de servicios y se desarrollaría la economía digital.
Han existido iniciativas en este sentido pero no han progresado mucho más allá de la teoría, por ejemplo Policy Aware Web.
Las corporaciones pueden lograr el cumplimiento técnico de las politicas de privacidad negociadas monitorizando la red a través de herramientas como Wireshark. Además, deben conocer herramientas y soluciones como Symantec Endpoint que les permitan detectar, investigar y mitigar eventos y riesgos. Los usuarios también deben conocer la existencia de herramientas que permiten el bloqueo de anuncios como Adblock Plus y el bloqueo de seguimiento como Privacy Badger.
-Medidas de Protección de datos desde el diseño (por ejemplo minimización de los datos) y por defecto.
-Realizar análisis de riesgos y conocer los seguros de ciberriesgos.
-Crear un registro de actividades de tratamiento de datos.
-Valorar la necesidad de incorporar un Delegado de Protección de Datos.
-Realizar consultas a la Autoridad de Control.
-Realizar evaluaciones de impacto en materia de privacidad.
-Adoptar medidas de seguridad.
-Notificar las quiebras de seguridad.
-Concocer la existencia de códigos de conducta y mecanismos de certificación.
Las novedades RGPD 2018 otorgan a los usuarios más control sobre sus datos y les permite comprobar el tratamiento realizado por las organizaciones solicitando acceder a la información que poseen sobre ellos, así como solicitar la modificación y supresión de los datos, incluso el derecho a la limitación y la posibilidad de solicitar la portabilidad de sus datos a otra corporación.
-Información.
-Acceso.
-Rectificación.
-Olvido.
-Oposición.
-Limitación.
-Portabilidad.
Otro ejemplo de soluciones que permiten, a través de un asistente automatizado, facilitar el ejercicio de los derechos de los usuarios y solicitar el acceso a la información que trata una determinada organización es Access My Info.
Además, si existieran herramientas que permitiesen auditar de forma remota el cumplimiento de los términos y cláusulas de privacidad que ofrecen los proveedores, generaría más confianza y ayudaría a las organizaciones a cumplir con el principio de responsabilidad activa, exigido por las novedades RGPD 2018 y además ayudaría a los usuarios a concienciarse y elegir el grado de privacidad que quieren mantener y quizás, asumir cierta responsabilidad.
No obstante, hasta que se desarrolle la tecnología que permita realizar auditorías remotas, las organizaciones podrían publicar información sobre sus políticas y procedimientos, así como información sobre procedimientos y sanciones impuestas por la autoridad de control y las medidas adoptadas con posterioridad para subsanar y mejorar en materia de privacidad.
Igualmente, las entidades se pueden someter a códigos de conducta y mecanismos de certificación siempre que garanticen que la organización haya implementado los procesos necesarios para cumplir las obligaciones y principios exigidos por el Reglamento General de Protección de Datos.
En resumen, las novedades RGPD 2018 modificarán la forma en la que las organizaciones pueden recopilan y procesar información, concretamente se desarrollarán y utilizarán tecnologías y mecanismos efectivos de consentimiento que faciliten, de forma activa, la toma de decisiones por los usuarios. Las corporaciones públicas y privadas deben crear herramientas más intuitivas y desde ACUMPLIMIENTO podemos informar de las medidas que existen e incentivar a las organizaciones para que ofrezcan e implementen las medidas técnicas y organizativas necesarias para cumplir con el Reglamento General de Protección de Datos.
Abogada.
Abogado Compliance – Cumplimiento Normativo
06/01/2018
El Delegado de Proteccion de Datos en el marco del RGPD Utilizamos cookies propias y de terceros para mejorar nuestros servicios en relación a lo que ofrecemos en nuestra web, obtener estadísticas. Si continúa navegando, consiente la instalación y nuestro uso de cookies. Más información sobre nuestra política de cookies y sobre cómo cambiar la configuración de su navegador más información sobre las cookies
Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.
