No es coincidencia que desde el 25 de mayo de 2018 diversas compañías comenzaran a enviar correos y notificaciones informando a los usuarios los cambios en sus políticas de privacidad. Esto se atribuye a la importancia que han cobrado los derechos de tercera generación, tales como el derecho a la privacidad y a la intimidad. Al ser derechos reconocidos recientemente, no están regulados en su totalidad, por lo que distintos países se han visto obligados a pronunciarse sobre ellos.
Los derechos de privacidad e intimidad han tomado tal fuerza que ha sido necesario crear leyes que garanticen el uso adecuado de los datos personales. Por esta razón surge la nueva legislación en materia de protección de datos personales aplicable para todos los Estados miembro de la Unión Europea: el Reglamento General de Protección de Datos (General Data Protection Regulation; “GDPR”) que el 25 de mayo pasado empezó a surtir efectos.
El ámbito de aplicación de esta ley es extraterritorial y se extiende a cualquier compañía, sin importar la parte del mundo en la que se encuentre, en donde recabe o trate datos personales de residentes de la Unión Europea (UE), nos comenta la licenciada Paulina Bojalil Warth, abogada en la firma Ritch, Mueller, Heather y Nicolau, S.C.
Panorama general
El GDPR representa un gran avance en esta materia, ya que tiene como objetivo uniformar la legislación sobre protección de datos personales dentro de la UE para garantizar mayor seguridad a los residentes en cuanto al debido manejo de su información personal y brindar un marco jurídico adecuado para el procesamiento de estos con el fin de evitar abusos.
Esta nueva legislación resalta la importancia de la relación entre el derecho a la intimidad y el derecho a la protección de datos personales, mismos que llevan implícita la necesidad de proteger la dignidad y valor de la persona.
La inclusión de este tipo de derechos a las legislaciones actuales es el resultado de la evolución del movimiento de los derechos humanos.
La nueva normativa se caracteriza por sus estrictas disposiciones y altas multas a quienes no cumplan con las disposiciones, por lo que muchas empresas han optado por simplemente bloquear a los usuarios de la UE. Tal es el caso de Gravity Interactive, una empresa internacional de videojuegos en línea, la cual ha bloqueado el acceso a su página web para todos los residentes europeos.
Por otro lado está Uber Entertainment, una empresa que también ofrece videojuegos en línea, quien desde el 23 de mayo de este año eliminó el videojuego en línea para jugadores múltiples denominado Super Monday Night Combat por no contar con los medios económicos ni tecnológicos necesarios para cumplir con las disposiciones del GDPR.
A pesar de lo complicado que podría resultar para algunas empresas la implementación del GDPR a sus políticas internas, deben tener en mente que esto representa una oportunidad para optimizar sus estándares y procesos internos en cuanto a la forma en la que guardan y tratan los datos personales, no solo de los residentes europeos, sino de todos sus usuarios.
Las compañías que buscan afrontar y sacar el mejor provecho de la aplicación y cumplimiento de las disposiciones de la nueva legislación europea podrán beneficiarse del cumplimiento de las estrictas disposiciones del GDPR de maneras que probablemente no habían contemplado, pues hay una probabilidad significativa de que el GDPR se convierta en el parámetro de los consumidores al decidir a quién confiar su información personal.
Partiendo de la idea de que vivimos en una época en la que los ciberataques y el manejo inadecuado de datos personales están a la orden del día, fue necesaria la creación de una ley específica encargada de proteger a usuarios y consumidores.
Tomando esto en cuenta, es que las compañías deben entender al GDPR como una oportunidad de cambiar su postura respecto del tratamiento de datos personales para lograr una mejor relación con sus usuarios. Debido a recientes escándalos en la materia, ahora es de mayor relevancia para los usuarios elegir entre aquellas empresas que creen estar facultadas para manejar los datos personales sin parámetro alguno y aquellas que consideran la privacidad como un derecho humano, las cuales tienen cierta ventaja sobre las primeras.
Un ejemplo muy claro de lo anterior es el caso de Cambridge Analytica, compañía que fue acusada de recabar indebidamente datos personales de alrededor de 87 millones de usuarios de Facebook para fines político electorales en la campaña presidencial de los Estados Unidos de América en el año 2016 sin solicitar el consentimiento de dichos usuarios y sin explicar los fines para los cuales los datos obtenidos serían usados.
A partir de este suceso, que puede ser catalogado como una violación a los derechos humanos, las personas se han concientizado paulatinamente acerca de la importancia de proteger su información personal y de las consecuencias que el mal manejo de datos personales puede causar.
Beneficios
Ahora algunas compañías saben y reconocen que el cumplimiento al GDPR será una ventaja para ellas porque esto se traducirá en mayor confianza, satisfacción y tranquilidad por parte de los usuarios hacia la compañía que trate los datos personales responsablemente.
Las empresas que tienen una visión en favor del GDPR y que saben cómo aplicar esta legislación a su favor, han entendido que el debido cumplimiento puede traer ventajas tanto para la compañía como para cada titular de los derechos personales a ser tratados, de tal forma que buscan por todos los medios dar cumplimiento a esta nueva ley.
El envío de correos solicitando el consentimiento tanto a los residentes europeos como a los usuarios de cualquier otro país es la forma más notoria de demostrarlo.
Esto se debe a que el GDPR establece que el consentimiento debe ser inequívoco y para los fines específicos establecidos por la compañía en sus términos y condiciones. En este punto es donde se encuentran las ventajas para los usuarios, toda vez que a partir de la entrada en vigor de la legislación europea, los términos y condiciones de las empresas no podrán estar redactados de manera general sin especificar los fines exactos para los que serán utilizados los datos personales.
Es importante mencionar que el GDPR otorga ciertos derechos a los titulares de los datos personales, como son, entre otros, el derecho de portabilidad, que otorga al titular la potestad de solicitar y obtener una copia de cualesquier dato que tenga el responsable del tratamiento de los mismos, así como la facultad de solicitar a dicho responsable hacer llegar los datos personales del titular a otro responsable; el derecho de rectificación, mediante el cual podrán solicitar al responsable del tratamiento de los datos que su información sea corregida; y el derecho al olvido, que establece que los datos recabados deberán ser eliminados por el responsable cuando estos ya no sean necesarios por haberse cumplido la finalidad, cuando el titular haya retirado el consentimiento o cuando los datos hayan sido obtenidos de manera ilícita, entre otras razones.
Cabe mencionar que el derecho al olvido también brinda la posibilidad al titular de solicitar que se bloqueen de los buscadores los vínculos que estén ligados con información que cause algún perjuicio, por estar incompleta o ser falsa; este derecho se ha ejercido principalmente frente a compañías como Google.
Como consecuencia de los derechos en favor de los consumidores previamente mencionados, surgen las ventajas de los responsables del tratamiento de los datos.
Derivado de que los usuarios tengan derecho a revisar los datos personales que obran en posesión del responsable, solicitar su corrección, restringir su tratamiento o solicitar su eliminación, representa una oportunidad para el responsable para desarrollar una mejor administración de los datos en su posesión y enfocarse en la creación de bases de datos más precisas.
A su vez, esto representa una oportunidad para las compañías de dirigir sus esfuerzos y estrategias de mercadotecnia a las personas indicadas y, por lo tanto, incrementar sus ventas.
Aunado a lo anterior, las empresas podrán disminuir la probabilidad de incumplimiento, ya que al administrar adecuadamente las bases de datos, estarán guardando únicamente los datos necesarios.
En otras palabras, más datos a ser tratados implica un mayor riesgo y dificultad en el cumplimiento de las disposiciones aplicables.
Cada dato que haya sido recabado, guardado y tratado podría convertirse en un motivo de demanda en caso de algún incumplimiento.
Además del ámbito de aplicación extraterritorial que caracteriza al GDPR, existen otras disposiciones que vale la pena resaltar.
Quizás uno de los cambios con mayor relevancia es la definición del término “datos personales” que adopta el GDPR, pues amplía el significado incluyendo como parte de este las cookies, las direcciones IP y otros datos de seguimiento.
En este sentido, el GDPR señala que los datos personales serán considerados información relativa a una persona física identificada o identificable; y aclara que una persona puede ser identificable directa o indirectamente cuando se haga referencia a su nombre, número de identificación, datos de ubicación, un código de identificación virtual u otros factores referentes a la identidad física, fisiológica, genética, mental, económica, cultural o social de la persona física.
Es importante resaltar que derivado de que el GDPR establece que el consentimiento que otorgue el usuario debe ser expreso, inequívoco y para los fines específicos previstos en la política de privacidad, ya no será posible otorgarlo tácitamente porque este tiene que ser verificable de tal forma que el responsable del tratamiento de los datos debe poder comprobar que cuenta con dicho consentimiento para evitar cualquier sanción aplicable.
Sanciones
Otra disposición que ha llamado la atención y que ha dado al GDPR el carácter de estricto, es la relativa a las multas por incumplimiento.
La UE podrá imponer a las compañías multas que podrán alcanzar 20 millones de euros o el 4 % de las ventas anuales globales de la empresa infractora, cualquiera que sea mayor.
Comentario final
Aunque algunas compañías consideren complicado e innecesario someterse a una legislación europea creada para residentes europeos, es importante tomar en cuenta que la entrada en vigor del GDPR representa un gran avance hacia la modernidad legislativa, ya que esta es una legislación específicamente enfocada al derecho de la intimidad.
Además, este avance legislativo denota la capacidad de la UE de poder adecuarse a la época contemporánea y así evitar que los avances tecnológicos y científicos rebasen el control de establecer leyes funcionales para otorgar las garantías y reconocer los derechos necesarios para que sus residentes puedan disfrutar y ejercer sus derechos fundamentales.
Es de gran importancia que los demás países utilicen el GDPR, sus principios y derechos, para crear una legislación nacional que asegure que el tratamiento de los datos personales de sus residentes estará protegido tanto nacional como internacionalmente.
Además, es necesario que en los demás países existan los recursos pertinentes para garantizar que cada persona pueda tener acceso a las acciones que acompañan al derecho humano de la intimidad.
