Privacidad de datos: el precio de equivocarse
La entrada en vigor del Reglamento General de Protección de Datos, RGPD, en mayo de 2018 sentó las bases para una nueva era de legislación dirigida a la mayor protección de los consumidores. Principios básicos como el consentimiento inequívoco, la minimización de los datos, la limitación de la finalidad y el derecho de oposición habían incorporado a la legislación las mejores prácticas en materia de datos.
Desde entonces, se ha adoptado en todo el mundo legislación en materia de privacidad similar a la del RGPD. La CCPA de California dio el pistoletazo de salida en Estados Unido, y muchos otros estados la siguieron (Colorado, Connecticut, Utah y Virginia) o están en proceso de hacerlo (Michigan, Nueva Jersey, Ohio y Pensilvania). En todo el mundo, también hemos visto la introducción de la LGPD en Brasil y la PIPL en China, por nombrar sólo dos.
Uno de los retos a los que se enfrentan ahora los responsables y encargados del tratamiento de datos es la ambigüedad. Es decir, ¿qué significan realmente las disposiciones clave de estos nuevos textos legislativos? A menudo, es necesario examinarlas en los tribunales para aclarar su verdadera intención y establecer un precedente legal. Esto está ocurriendo ahora en Europa, y los profesionales de otros lugares pueden aprender de estos casos y aplicarlos antes de contravenir la tendencia legislativa en sus propios países.
Europa toma medidas drásticas a favor de la privacidad de los datos
Los reguladores europeos han mostrado las consecuencias del incumplimiento del reglamento en 2022.
La Agencia Española de Protección de Datos (AEPD) sancionó este año a Google LLC con una multa récord de 10 millones de euros por dos infracciones muy graves, como son ceder datos a terceros sin legitimación y obstaculizar el derecho de supresión de los ciudadanos, que también es conocido como el derecho al olvido.
En Irlanda, el regulador impuso una multa de 17 millones de euros a Meta (Facebook) por no contar con los mecanismos técnicos y organizativos adecuados para cumplir con el RGPD. Clearview AI, una empresa de reconocimiento facial, ha sido multada con 20 millones de euros por la agencia de protección de datos de Italia y con otros 9 millones de euros por la Oficina del Comisario de Información del Reino Unido (ICO) por el tratamiento ilegal de datos personales biométricos y de geolocalización.
TikTok podría enfrentarse a una multa de 27 millones de libras tras una posible infracción de las leyes de protección de datos del Reino Unido por no proteger la privacidad de los niños al utilizar la plataforma.
Un tema común a estos casos son los principios básicos de "legalidad, equidad y transparencia", lo que significa que las empresas deben ser claras con los individuos sobre cómo se tratarán sus datos personales, y que se ha establecido una base legal adecuada para hacerlo.
En Reino Unido, se ha aplicado el RGPD principalmente en los casos de envío de mensajes de marketing no autorizados. En España, en torno al 30% del total de reclamaciones registradas por AEPD en 2021 hacían referencia a la desatención de alguno de los derechos previstos en la normativa de protección de datos. Un 7% de esas reclamaciones se vinculan con el derecho al olvido en buscadores.
Precisamente el artículo 17 del RGPD que establece el derecho a la supresión, más conocido como el derecho al olvido, está causando gran preocupación entre las empresas, y sería una de las razones por las que Google ha tomado la decisión de dejar de dar soporte a las cookies de terceros.
Los consumidores quieren saber cómo se utilizan sus datos
Todos estos casos (y otros) han salido a la luz porque los consumidores se han quejado. Los ciudadanos conocen ahora mejor sus derechos en materia de privacidad de datos y están dispuestos a ejercerlos si creen que sus datos personales se están utilizando de forma indebida.
Esta realidad nos hace pensar que, si vamos a manejar los datos de los consumidores, es importante recordar:
• El consentimiento válido requiere que los individuos tengan una elección y un control reales.
• Las personas deben ser informadas explícitamente de que van a recibir mensajes de marketing.
• El consentimiento debe estar desvinculado de otras políticas de privacidad y/o términos y condiciones de los remitentes.
• El consentimiento indirecto sólo puede ser válido si es suficientemente claro y específico.
• Debe haber un medio sencillo para que los individuos puedan negar a que sus datos de contacto sean usados.
Algunas empresas han caído en otros escollos de la privacidad de datos
El incumplimiento del RGPD también puede producirse por omisión, y hemos visto algunos ejemplos recientes de ello en el Reino Unido:
• Tras una migración a un nuevo sistema de CRM, Reed Online programó inadvertidamente correos electrónicos de marketing a clientes que previamente se habían dado de baja/suprimido.
• Tuckers Solicitors sufrió un ataque de ransomware que provocó una violación de los datos personales. La ICO dictaminó que el hecho de que la empresa no aplicara las medidas técnicas y organizativas adecuadas les había hecho vulnerables al ataque.
• La Oficina del Gabinete del Reino Unido divulgó las direcciones postales de los galardonados con los premios de Año Nuevo de 2020, lo que supuso un fallo en la prevención de la divulgación no autorizada de la información de las personas.
Muchos incidentes relacionados con la privacidad de los datos son errores
Muchos casos de infracción de la RGPD apuntan en gran medida al error humano y/o a la formación inadecuada, y presentan un argumento convincente a favor de la aplicación de prácticas de "Protección de datos desde el diseño y por defecto", tal como apunta el artículo 25 del RGPD.
El regulador de Reino Unido ha publicado un informe sobre la sobre la seguridad de los datos, en el que se incluyen los problemas "no cibernéticos" (es decir, autoinfligidos) más recientes:
• Datos enviados por correo electrónico a un destinatario incorrecto (22%)
• Acceso no autorizado (14%)
• Datos enviados por correo o fax a un destinatario incorrecto (13%)
• Pérdida/robo de documentos o datos dejados en un lugar inseguro (8 por ciento)
• Falta de redacción (6 por ciento)
Por esta razón, es recomendable que las empresas desarrollen procesos sólidos para minimizar el incumplimiento del reglamento.
De momento, no se ha sancionado a ninguna empresa con multas de una “cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior”. La multa de British Airways (BA) -tal como se propuso- estuvo a punto de reducirse por una serie de factores atenuantes, entre ellos el impacto de la crisis de Covid-19 en las finanzas de BA. Aunque ninguna empresa quiere enfrentarse a una violación de la privacidad, hay factores atenuantes que se tendrán en cuenta si se produce, entre ellos:
- Si se trata de una primera infracción
- La gravedad de la infracción
- Si fue deliberada o accidental
- La notificación proactiva a la autoridad de control
- Las medidas adoptadas para reducir el impacto sobre los interesados
Los reguladores suelen ser más indulgentes con las empresas que son transparentes en cuanto a lo que ha fallado, cooperan en la investigación y se mueven rápidamente para poner en marcha medidas que eviten que se repita.
Cuatro años después de la entrada en vigor de la RGPD, estamos asistiendo de forma lenta pero segura a una acumulación de sentencias y jurisprudencia en materia de privacidad de datos, y los responsables y encargados del tratamiento de datos deberían prestar mucha atención porque ahora estamos recibiendo interpretaciones jurídicas firmes de lo que significan realmente muchos de los requisitos más confusos.
Guy Hanson, vicepresidente internacional de Customer Engagement de Validity