Los cambios asociados a los avances tecnológicos suelen tener grandes proporciones y alcances. Requieren del ajuste en materia tecnológica, pero también de la creación de bases legales que regulen el funcionamiento.
A través de la red muchas empresas han potenciado sus campañas de publicidad y marketing, accediendo al posible cliente y a sus datos. A pesar de que en algunas zonas del mundo no se ha logrado normar esta actividad, protegiendo la privacidad de los datos de los usuarios, la Unión Europea sí pudo hacerlo.
El Reglamento de Protección de Datos (GDPR, por sus siglas en inglés) entró en vigencia el pasado 24 de mayo de 2016 y su tarea es establecer mecanismos legales para la manipulación de los datos de los usuarios en internet. El pasado 25 de mayo de este año se venció el plazo para que las empresas se adaptaran a la legislación aprobada.
El GDPR, tiene acción sobre toda empresa o individuo que ofrezca bienes o servicios a cualquier ciudadano de la Unión Europea, sin importar en qué lugar del mundo se encuentre la mencionada empresa o individuo. El reglamento tampoco distingue si se realizó una transacción comercial entre la empresa y el cliente o no. También aplica para quienes monitorizan comportamientos en la red cuando se trate de acciones realizadas en la Unión Europea.
El reglamento especifica que sus medidas protegen los derechos y las libertades fundamentales de los ciudadanos europeos, particularmente la garantía a la protección de datos personales. Sin embargo, aclara que no está restringida ni prohibida la libre circulación de datos personales.
El GDPR una novedosa protección
Uno de los aspectos más relevantes del impacto de estas medidas legales son las sanciones monetarias, que pueden oscilar entre 4% de la facturación total de la empresa o 20 millones de euros, depende de cuál de las dos opciones sea la más alta.
La privacidad por diseño y la privacidad por defecto son dos recursos novedosos del instrumento. La primera defiende el principio basado en que la privacidad es protegido de mejor forma cuando está integrada por la tecnología, al momento de la creación de los productos y servicios; mientras que la segunda se refiere a la obligación de las empresas de aplicar las medidas técnicas necesarias para que la protección de datos sea efectiva y óptima, tomando en cuenta que sólo se manejarán los datos personales que sean necesarios.
El GDPR impone la obligatoriedad de un consentimiento otorgado por el usuario para la recolección de sus datos personales. En tal sentido, este debe ser explícito, informado y revocable en cualquier momento que la persona lo desee. Cabe resaltar que se debe obtener un consentimiento para cada uno de los objetivos de la recolección.
El instrumento introduce el derecho a la portabilidad, que se refiere a que los usuarios tienen la potestad para pedir sus datos a una empresa y entregárselos a otra compañía o individuo. Estos datos incluye los registros de la actividad y también puede ser solicitada una copia para el usuario.
De igual manera, se aplicó el principio de responsabilidad activa para que las empresas se hagan responsables del manejo de los datos de los usuarios y ajusten sus procedimientos en torno al cumplimiento del reglamento.Esto incluye el diseño de protocolos específicos para atender situaciones en donde se ponga en riesgo la seguridad. Ante la posibilidad de violentarla, la organización debe responder en las próximas 72 horas a la ocurrencia del evento, reportarlo a la agencia correspondiente así como al ciudadano afectado.
La aplicación del reglamento y el ajuste de las organizaciones a tal instrumento es materia de estudio para los abogados en el mundo, así como un modelo de experienci a tomar en cuenta por otros países.
Fuentes consultadas