Tras la promulgación del Reglamento General de Protección de Datos (RGPD) de la UE el 25 de mayo de 2018, ha habido un cambio marcado en la forma en que las organizaciones tratan el riesgo de los datos personales.
En los días previos al RGPD, las juntas directivas comenzaban a considerar la seguridad cibernética como un riesgo comercial, pero a menudo el impacto de la pérdida de datos no podía cuantificarse adecuadamente y los costos de aumentar las defensas cibernéticas no se basaban en un marco legal y, por lo tanto, no se podían cuantificar adecuadamente. menos fácil de justificar.
La llegada de GDPR, con la promesa de grandes multas basadas en el volumen de negocios anual por un lado y un marco regulatorio claro que permite demostrar el cumplimiento por el otro, facilitó mucho el caso de riesgo comercial. Incluso si a las organizaciones no les importaba la protección de los datos personales que procesaban antes de la introducción del RGPD, ahora sí.
Pero el simple cumplimiento del GDPR no garantiza necesariamente la privacidad personal de empleados y clientes. La Oficina del Comisionado de Información del Reino Unido (ICO) ahora utiliza el término “protección de datos por diseño” en lugar de “privacidad por diseño”. Esto se debe, al menos en parte, a que la “privacidad” es hasta cierto punto subjetiva, algo que las normas de protección de datos no pueden serlo. Además, algunos que afirman el cumplimiento de las reglas de protección de datos pueden cumplir con la letra de las regulaciones, pero no necesariamente están siguiendo el espíritu de las mismas.
Por ejemplo, en el caso del consentimiento, el requisito establece: “En general, debería ser igual de fácil para ellos [the data subject] para retirar el consentimiento, ya que lo era para obtener el consentimiento “. Esto no es algo que haya experimentado hasta ahora, posiblemente porque es bastante difícil de lograr. La mayoría de las personas ven esto cuando navegamos por un sitio web nuevo y se les pide que “acepten todas las cookies”. Esto es muy fácil de hacer simplemente haciendo clic en un botón. Si cambia de opinión, volver atrás y revocar el permiso puede ser un desafío en muchos casos.
Pero el consentimiento es solo una de las bases legales para el procesamiento de datos personales. Otros incluyen una responsabilidad contractual o legal que solo puede satisfacerse de esta manera, o un “interés legítimo” que también se ha puesto en primer plano con la necesidad de solicitar el consentimiento.
Como parte del proceso de consentimiento de cookies, a menudo hay un botón de “interés legítimo” escondido en la parte inferior de la pantalla. El interés legítimo es el procesamiento de datos personales como parte del interés legítimo de una persona, un tercero o una empresa en la prestación de un servicio, o porque tiene beneficios sociales más amplios. Algo que un consumidor esperaría que fuera necesario para poder consumir el servicio o los intereses comerciales del proveedor.
“Incluso si a las organizaciones no les importaba la protección de los datos personales que procesaban antes de la introducción del RGPD, ahora sí”
Paddy Francis, Airbus CyberSecurity
La organización que procesa los datos debe, sin embargo, poder demostrar que no existe ningún daño para aquellos cuyos datos se procesan y que no existe una forma menos intrusiva de lograr el objetivo del servicio. El interés legítimo puede ser una base legal útil para el procesamiento sin consentimiento explícito cuando no existe una relación contractual o un requisito legal. Sin embargo, aún debe declararse y justificarse las razones. Esta puede ser, en parte, la razón por la que algunos sitios web incluyen un interés legítimo en su proceso de consentimiento. No obstante, mientras que las cookies que requieren consentimiento están “desactivadas” de forma predeterminada, las relacionadas con intereses legítimos generalmente están “activadas”.
Un ejemplo del mundo real en el que se puede utilizar un interés legítimo, pero podría ser difícil de justificar, es el escaneo de virus de los correos electrónicos que salen de una organización. Se podría argumentar que redunda en interés de la reputación de la empresa y de cualquier tercero que reciba correos electrónicos infectados, pero al mismo tiempo, una persona identificable podría creer que el envío involuntario de dicho correo electrónico podría ser reprochado por ellos.
Otro ejemplo es cuando un empleado tiene una carpeta en su escritorio denominada “personal” que utiliza para respaldar sus propias actividades comerciales. ¿Tendría el empleador un interés legítimo en acceder a las carpetas “personales” de un usuario? Y si lo hicieran, ¿las pruebas obtenidas al hacerlo serían admisibles en un tribunal laboral?
El primer escenario podría cubrirse mejor con el consentimiento y el segundo con un contrato de trabajo que otorgue al empleador ese derecho.
Aplicación de los principios del RGPD
“Legalidad, equidad y transparencia” forman el primero de los siete principios de GDPR, que claramente deben considerarse desde el principio en cualquier proyecto nuevo y mantenerse a lo largo de la vida de un sistema a medida que evoluciona. Los otros seis principios son: limitación de propósito; minimización de datos; precisión; limitaciones de almacenamiento; integridad y confidencialidad; y rendición de cuentas.
Si bien todo el GDPR debe considerarse desde el primer día de un nuevo proyecto, la “limitación de propósito” y la “minimización de datos” son probablemente las más importantes a considerar primero.
Comprender el propósito de cualquier empresa es fundamental. Con GDPR, esto se refiere al propósito para el que está recopilando y procesando datos personales. Sin comprender esto, no puede saber qué datos necesita recopilar y no podrá establecer la base legal para recopilarlos y procesarlos.
El propósito debe estar documentado y establecido en una política de privacidad o equivalente disponible para todos los usuarios. Es importante identificar todos los fines para los cuales los datos deberán procesarse desde el principio, porque procesar los datos para otros fines más adelante significará obtener un mayor consentimiento y actualizar su documentación.
La minimización de datos, por otro lado, se trata de minimizar los datos recopilados a solo los necesarios para el propósito. La palabra “necesario” aquí también es importante, porque significa que la solución debe minimizar lo que es necesario recolectar. Es decir, si la elección de la solución A requiere la recopilación de más datos personales en comparación con la solución B, el hecho de que los datos recopilados sean necesarios para la solución A no cumple con los requisitos de minimización de datos si no es necesario para la solución B. Esto es importante no solo para cumplir con el RGPD, sino también para minimizar la cantidad de datos personales que necesitan protección e idealmente minimizar, o eliminar, la necesidad de recopilar o mantener datos personales confidenciales.
Datos de usuario seudonimizados
Otro enfoque para proteger los datos de los usuarios es el concepto de seudonimización. Por ejemplo, un conjunto de datos médicos podría tener la identidad del usuario reemplazada por una pseudoidentidad aleatoria única y la relación entre la identidad del usuario y la pseudoidentidad almacenada por separado. Entonces, los datos se considerarían seudonimizados. No sería completamente anonimizado, porque el usuario aún sería identificable indirectamente usando los datos de mapeo. Sin embargo, los datos seudonimizados podrían procesarse de forma segura siempre que el mapeo a su identidad real se mantuviera a salvo. Si nunca fue necesario identificar al usuario específico, entonces no es necesario mantener la correspondencia con la identidad real y los datos podrían considerarse completamente anonimizados.
Sin embargo, se necesita algo de cuidado aquí, porque si el procesador de datos no mantiene el mapeo, pero aún existe en otro lugar, no se consideraría completamente anónimo. Además, si los datos contenían otra información que podría usarse para identificar a una persona por correlación con otros datos, por ejemplo, la fecha de nacimiento y el código postal correlacionados con el registro electoral, entonces los datos solo serían pseudoanónimos, por lo que tendrían que protegerse como datos personales.
Enfoques de privacidad siempre cambiantes
El GDPR ciertamente ha tenido un impacto en los tres años desde su introducción. Las organizaciones han adaptado sus enfoques a los datos personales para ajustarse a la regulación, y las autoridades les han exigido cada vez más que rindan cuentas por las infracciones de esas regulaciones.
También ha habido un mayor interés en la privacidad del público, con información e informes sobre las diversas violaciones de datos y el anuncio hecho a principios de este año por Apple de que está eliminando la capacidad de los anunciantes para rastrear la actividad del usuario en aplicaciones y dispositivos.
Si bien no espero que la regulación cambie significativamente en el futuro, es probable que su aplicación continua y la creciente comprensión pública de la privacidad en el mundo digital continúen cambiando nuestro enfoque de la privacidad durante algún tiempo.
