Para muchos ha sido fácil ignorar el rápido aumento de la recopilación de datos. Mientras nuestras aplicaciones funcionen sin problemas y nuestros paquetes lleguen a tiempo, no pensamos demasiado en lo que hay que hacer para que eso sea posible.
Esa feliz ignorancia se ha visto mermada en los últimos años por el aumento de las violaciones de datos. violaciones de datosescándalos y exposición de malas prácticas empresariales. Como resultado, los consumidores son cada vez más conscientes de cómo se recopilan, utilizan, comparten, venden y, a menudo, se manejan mal sus datos.
Del mismo modo, los gobiernos están haciendo lo que pueden para proteger los datos de los usuarios, darles más control y exigir responsabilidades a las empresas.
Ahora corresponde a las empresas cultivar una cultura de transparencia y respeto de los datos de sus consumidores.
Para este artículo, hemos planteado a varios expertos en privacidad de datos algunas preguntas sobre el auge de la recopilación de datos, su impacto en el mundo y la normativa, y cómo deben comportarse las empresas y los gobiernos en el futuro.
Con quién hablamos:
 Dr. Frank Schemmel, CIPM, CIPP/E, CIPP/US |
 Petruta Pirvan, CIPM, CIPP/E, CIPP/US |
 Cristina Costache, CIPP/E, CIPM, CIPT, FIP |
 Derek A. Lackey, CIPM |
 Tim Clements |
 Jeff Jockisch, CIPP/EE.UU. |
El auge de los macrodatos
La última década ha traído consigo un aumento sin precedentes de la recopilación, el uso y la venta de datos, entre otras cosas.
En abril de 2022, había cinco mil millones de usuarios de Internet en todo el mundoun asombroso 63% de la población mundial. Pero la recopilación de datos no solo procede de los usuarios que se conectan a un sitio web aquí y allá.
Con el auge de todo lo "inteligente", las empresas nunca han tenido tal tesoro de información sobre los usuarios. Hoy en día, los datos se recopilan en todo lo que hacemos mientras permanecemos conectados a Internet.
Acerca de 29.000 millones de dispositivos conectados para 2022, de los cuales unos 18.000 millones corresponden a la Internet de los objetos (objetos cotidianos conectados a Internet). Se prevé que esta cifra ascienda a 38 600 millones en todo el mundo en 2025.
Nuestra conexión a estos dispositivos genera 2,5 quintillones de bytes de datos generados diariamente, con nuestras acciones constantemente registradas, analizadas y monetizadas.
La edad dorada de la recogida de datos
Durante un tiempo, las empresas tuvieron vía libre con los datos de los usuarios. Podían recopilar datos y utilizarlos a su antojo sin apenas supervisión.
Todo era nuevo y brillante, y lo único que sabían los consumidores era que se les estaba facilitando la vida. Los datos eran una palabra utilizada por los profesionales de la tecnología; apenas estaba en la mente de una persona normal.
A medida que la tecnología crecía y estábamos más conectados, las empresas empezaron a darse cuenta de la importancia de entender al cliente y crear experiencias personalizadas.
Así que empezaron a acaparar datos, sin trabas y con o sin el consentimiento de los usuarios.
Por ejemplo, empezaron a considerar las acciones de los clientes, como hacer clic en un enlace, descargar un cupón o realizar una compra en línea, como indicadores del éxito futuro de las ventas. Los vendedores podían ver ahora cuántas personas hacían clic en sus anuncios, cuánto tiempo pasaban mirando sus productos, dónde habían estado antes y si volvían.
Los datos son buenos para el negocio y están aquí para quedarse.
Despegue de los macrodatos
A medida que se multiplicaba el número de puntos de datos que las empresas podían recopilar sobre un solo cliente, los profesionales del marketing empezaron a referirse a este conjunto masivo de datos como "Big Data", que puede analizarse para revelar patrones, tendencias y asociaciones.
Como era de esperar, esto llevó a la creación de numerosas empresas para ayudar a las empresas a recopilar y analizar datos y construir modelos para predecir el comportamiento futuro. Con el tiempo, estas empresas empezaron a incorporar algoritmos de aprendizaje automático al proceso, creando importantes gráficos predictivos que los profesionales del marketing utilizan para determinar el comportamiento de los clientes y personalizar el marketing de formas que antes no eran posibles.
Otro factor que ha contribuido significativamente a los macrodatos ha sido la introducción de tecnologías inteligentes en los productos físicos, que han permitido a las empresas recopilar tipos de información totalmente nuevos, como la ubicación y el comportamiento del usuario. La personalización que esto ha permitido es ahora una parte central de la experiencia del producto.
Pero los grandes datos también han traído consigo grandes costes. Aunque los nuevos y ricos flujos de datos han hecho posible abordar todo tipo de retos modernos, también presentan enormes oportunidades para el uso indebido y los malos actores.
Aumento de los ataques a los datos
El crecimiento exponencial de los datos ha provocado un aumento significativo de las consecuencias negativas para los usuarios de Internet. De hecho, un reciente estudio de la estudio de la Universidad de Maryland reveló que, de media, se produce un ataque informático a ordenadores conectados a Internet cada 39 segundos.
Por ejemplo, el proveedor europeo de lentes de contacto en línea Vision Direct reveló una filtración de datos en la que los ciberdelincuentes accedieron a los datos completos de las tarjetas de crédito de unos 6.600 clientes. En cinco días, un pirata informático tuvo acceso a los números de las tarjetas, las fechas de caducidad y los números CVV.
Vision Direct afirma haber tomado numerosas medidas para garantizar que esto no vuelva a ocurrir. Pero este es solo un ejemplo de las muchas violaciones de datos que se han producido en los últimos años.
Este aumento de los ataques demuestra lo vulnerables que son los datos que compartimos y ha provocado que muchos consumidores terminen sus relaciones con las empresas a causa de los datos.
Hemos preguntado a los expertos:
¿Cuál es el mayor impacto que el aumento de la recopilación y uso de datos ha tenido en nuestro mundo moderno?
Dr. Frank Schemmel, CIPM, CIPP/E, CIPP/US
Que, al margen de gobiernos e instituciones públicas, un puñado de empresas tecnológicas determinan los fines, los medios del tratamiento global de datos, y defienden su hegemonía oligopolística por cualquier medio.
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
El mayor impacto es la falta de control sobre los datos personales y los asuntos privados. Vivimos en una cultura digital, la era de la medición masiva. Entonces, la cultura de la recopilación masiva está alterando la calidad de los datos. Ya ni siquiera importa si los datos que recopilamos son útiles o no. Se hacen reservas de datos por si acaso.
Esta visión sobre los datos pone patas arriba el concepto clásico de protección de datos y privacidad. En este contexto, ¿cómo podemos asegurarnos de que el individuo conserve el señorío de sí mismo ("la seigneurie de soi-meme" en francés), como dijo Goethe refiriéndose al hombre voluntarioso?
Derek A. Lackey, CIPM
Tengo que decir que el escándalo de Cambridge Analytica/Facebook 'ola II'. ... . . . Este [escándalo] despertó a parte del público con respecto a su propia información personal y lo que se podía hacer con ella. Hasta entonces solo veíamos los datos como un goteo aquí y otro goteo allá, ¡sin darnos cuenta de lo que los programadores informáticos inteligentes y personajes como Aleksandr Kogan podrían hacer si reunieran todo eso y lo utilizaran para manipular a las personas implicadas!
Esta historia se cocinó a fuego lento y llegó a un hervor muy lento durante 4 años hasta que Christopher Wylie dio el soplo y describió íntimamente cómo funcionaba el esquema.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
Desde el punto de vista de la privacidad, cada día es más complicado e importante. Cuanto más avanzamos tecnológicamente, más datos liberamos al éter y más pueden utilizarse para perjudicarnos a nosotros o a otros.
El auge de los macrodatos puede acarrear tanto beneficios como perjuicios. Es nuestra tarea como profesionales de la privacidad diferenciar claramente y evaluar si los beneficios están justificados para aceptar los riesgos de los posibles daños y construir e implementar controles con el fin de reducir tanto como sea posible los posibles daños.
Jeff Jockisch, CIPP/EE.UU.
El mayor impacto que ha tenido la recopilación de datos en nuestro mundo moderno ha sido trasladar nuestra preocupación por el Gran Hermano a la Gran Tecnología. Nuestros mejores escritores de ciencia ficción no imaginaron el auge del capitalismo de la vigilancia.
Los gobiernos intentan solucionar nuestros problemas de privacidad, de violación de datos y de identidad. Pero en general se eximen a sí mismos de las normativas que promulgan, en parte porque demasiada privacidad les dificulta gobernar, hacer campañas políticas, mantener contentas a las fuerzas del orden con poderes de vigilancia.
Sin embargo, las leyes de protección de la intimidad vigentes no han modificado significativamente la recopilación de datos. Los intermediarios de datos proliferan. La gran tecnología no ha cambiado mucho. La máquina de la tecnología publicitaria sigue funcionando por sí sola. Y el capital riesgo sigue financiando empresas basadas en modelos de negocio que invaden la privacidad.
El auge de la privacidad de los datos
A medida que pasaba el tiempo y la tecnología se hacía omnipresente, las personas -y los gobiernos- fueron más conscientes de los riesgos que conllevaban las comodidades que aportaban los macrodatos. Esta concienciación dio lugar a la demanda de una mayor protección de los datos y de que las empresas rindieran cuentas por la forma en que manejan los datos de los usuarios.
Actualmente, las estadísticas sobre privacidad de datos muestran que El 75% de los estadounidenses cree que debería haber más regulación para proteger su privacidad.
Aunque la preocupación por la privacidad y los intentos de regularla existen desde hace mucho tiempo, no ha sido hasta el auge de la tecnología de Internet cuando los gobiernos han tenido que innovar una compleja legislación para proteger los datos y los derechos de privacidad de sus ciudadanos.
Hemos preguntado a los expertos:
¿Qué ha provocado el aumento de la normativa sobre privacidad de datos en todo el mundo?
Tim Clements
En los últimos años se ha producido un enorme aumento de nuevas leyes y normativas sobre protección de datos y privacidad, así como de modificaciones de las ya existentes. Aunque muchos señalan a rgpd como el detonante, no debemos olvidar que el Convenio 108 es el único acuerdo internacional jurídicamente vinculante sobre legislación de protección de datos. El Convenio 108 fue abierto a la firma por primera vez el 28 de enero de 1981 por el Consejo de Europa, un organismo totalmente independiente de la UE.
Las leyes de protección de datos y privacidad de todo el mundo se remontan a orígenes diferentes. En Europa tenemos que remontarnos a la década de 1930 en Alemania para entender su origen, que unido a la llegada de las tecnologías de procesamiento automatizado y las revelaciones de la vigilancia global, desencadenaron las primeras leyes de protección de datos en Europa a principios de la década de 1970.
En Estados Unidos, a finales de los 60 y principios de los 70, la preocupación por las "escuchas" y la vigilancia que permitía la tecnología, junto con los enormes volúmenes de datos de los ciudadanos procesados por el gobierno y las empresas privadas, suscitaron inquietudes que acabaron desembocando en la aprobación de leyes sobre privacidad a principios de los 70.
En los últimos 50 años, la tecnología se ha convertido en un aspecto fundamental de la vida de muchas personas, con consecuencias directas e indirectas que no siempre son favorables para el individuo. Ahora vemos tecnología de procesamiento en los bolsillos de las personas, en sus muñecas, incrustada en sus cuerpos y la vigilancia como un hecho en muchas sociedades.
Los legisladores no dejan de ponerse al día, pero con las nuevas tecnologías surgiendo a un ritmo vertiginoso y las empresas ansiosas por adoptarlas para impulsar el crecimiento, reducir la ineficacia, etc., sigue existiendo una brecha constante.
Dr. Frank Schemmel, CIPM, CIPP/E, CIPP/US
El Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal ("Convenio 108") del Consejo de Europa fue el primer instrumento internacional jurídicamente vinculante en el ámbito de la protección de datos, promulgado en 1981. Inspiró muchas importantes normas internacionales actuales sobre privacidad, como la rgpd.
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
Tras la Segunda Guerra Mundial, que dejó a Europa en ruinas, se retomó una antigua idea del presidente estadounidense Woodrow Wilson, la de crear un organismo mundial para garantizar la paz, y se crearon las Naciones Unidas. La Carta de las Naciones Unidas afirma en su artículo 12 que la invasión de la intimidad es una violación de los derechos humanos. Al mismo tiempo, en la Alemania Occidental de los años sesenta, se reflexionó mucho sobre los abusos de la Gestapo contra la intimidad durante la Segunda Guerra Mundial, y sobre los abusos de la Stasi contra la intimidad que se llevaban a cabo entonces en la Alemania Oriental.
El estado alemán de Hesse fue el primero en incluir la protección de la intimidad en su Constitución en 1970. Le siguieron Suecia en 1976 y Francia en 1978. En la UE, la Directiva comunitaria de 1995 dio coherencia a la legislación y llegó justo a tiempo para controlar el mayor invento de la década de 1990: la World Wide Web y la aparición del comercio digital. El comercio digital desencadenó la era de la globalización y la privacidad se ha convertido en un problema mundial. Mientras tanto, la Directiva de 1995 ha sido sustituida por la rgpd y países de todo el mundo se enfrentan al dilema de proteger los datos personales de las personas. La rgpd se ha convertido en la norma de oro emulada por muchas jurisdicciones fuera de la U.E.
Derek A. Lackey, CIPM
Sin duda fue la UE la que convirtió la Directiva General de Protección de Datos en el Reglamento General de Protección de Datos. La estructura de aplicación fue una parte importante. Estaba claro que las empresas hacían lo que la tecnología les permitía, sin pararse a pensar "deberíamos". En este mundo de informes trimestrales a los accionistas y compensaciones disparadas a los ejecutivos, y de sed de aún más beneficios incluso a costa de la ética, no se podía confiar en que la comunidad empresarial se autorregulara. Algo tenía que ceder. Creo que la historia demostrará que la aplicación estricta de la rgpd fue el punto de inflexión en el mundo de la protección de datos.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
Algunos lo llaman el efecto Bruselas. Creo que rgpd fue lo que desencadenó este aumento de la normativa sobre privacidad, su aplicación y la concienciación pública en torno a la protección y el valor de sus datos. Por supuesto, el uso indebido de los datos personales y los perjuicios que ese uso indebido puede producir también es un factor. Todos conocemos el caso de Cambridge Analytica y otros casos similares en los que los datos se han utilizado para captar e influir. Con cada caso de este tipo aumenta la concienciación, los ciudadanos toman medidas (se recomienda encarecidamente leer sobre la coalición Stop LAPD Spaying en https://stoplapdspying.org/) y los gobiernos se esfuerzan por elaborar leyes que puedan evitar que estos sucesos ocurran en el futuro.
rgpd y otras leyes estrictas sobre privacidad de datos
A medida que crecía la concienciación sobre las malas prácticas en materia de datos, los gobiernos se dieron cuenta de que debían intervenir y proteger a sus ciudadanos. La UE se puso a la cabeza con lo que se convirtió en la ley de privacidad de datos más completa y emulada hasta la fecha: la rgpd.
rgpd es la ley de privacidad y seguridad de datos más estricta del mundo y se aplica a cualquier tratamiento de datos personales cuando el encargado del tratamiento o el interesado tienen su sede en la UE o cuando el tratamiento tiene lugar físicamente en un país de la UE.
Según rgpd, los consumidores deben dar su consentimiento para que se recojan sus datos, lo que significa que las empresas ya no pueden ocultar sus prácticas de recogida de datos ni hacerlas difíciles de comprender; deben ser fácilmente comprensibles para todos los consumidores.
rgpd también exige a las empresas que den a sus usuarios el derecho a acceder a sus datos, el derecho a tomar esos datos y utilizarlos en otro lugar, y el derecho de los consumidores a solicitar que sus datos personales se eliminen completamente de sus registros.
Impacto mundial
La rgpd no sólo se aplica a las empresas con sede en la UE; la UE ha prometido imponer sanciones si una marca infringe la rgpd al tratar datos de ciudadanos de la UE, independientemente de su ubicación.
Desde su entrada en vigor, la rgpd ha tenido un efecto dominó, y muchos otros países la han utilizado como modelo para configurar sus propias normas de protección de datos. A día de hoy el 69% de los países del mundo cuentan con legislación sobre protección de datos y privacidad, y otro 10% tiene proyectos de ley.
En Estados Unidos, California fue el primer estado en aprobar una legislación integral sobre privacidad de datos. La California Consumer Privacy Act(CCPA) entró en vigor en 2020, y la California Privacy Rights Act (CPRA) lo hará a principios de 2023.
Otros países con leyes estrictas sobre privacidad de datos son Canadá, Brasil, Australia, Chile, Nigeria e Islandia, y el número de países aumenta cada año.
De hecho, Islandia ha sido llamada la "Suiza de los datos" por sus estrictas leyes de protección de datos. La Ley de Protección de Datos (2000) establece que los datos sólo pueden recopilarse con fines específicos y con el consentimiento claro e informado del interesado. El incumplimiento puede acarrear multas o hasta 3 años de cárcel.
Entre enero de 2021 y enero de 2022, casi 1.100 millones de euros en multas por infracciones de la rgpd, lo que supone un aumento anual del 594 %. Las políticas y prácticas sólidas de protección de datos ayudan a las empresas a evitar demandas tan costosas, por lo que muchas están actualizando sus políticas de privacidad para cumplir la legislación de protección de datos y recuperar la confianza de sus clientes y mostrarles exactamente cómo se utilizan sus datos.
Hemos preguntado a los expertos:
¿Están haciendo los gobiernos lo suficiente para proteger los datos de los ciudadanos?
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
No, de lo contrario, las acciones emprendidas por activistas como Johnny Ryan o noyb no serían necesarias. Hace apenas unos meses, la famosa revista Wired adelantaba un artículo titulado How rgpd Is Failing. El hecho es que nosotros, el regulador irlandés de protección de datos, que es el principal encargado de hacer cumplir la rgpd, tropezamos a menudo a la hora de aplicar el Estado de Derecho, lo que provoca la indignación de sus homólogos en los demás Estados miembros. Por otra parte, otros reguladores de datos todavía están madurando en la interpretación y aplicación de rgpd y la falta de comprensión por parte de su personal de los principios básicos de la protección de datos es, por desgracia, visible para los interesados y explotable por las grandes empresas tecnológicas armadas con toda la infraestructura para retrasar o disminuir la aplicabilidad de la ley.
Derek A. Lackey, CIPM
No. Con algunas excepciones. Atención a Quebec. Tras la reciente aprobación del proyecto de ley 64 por el que se modifica la Ley de Protección de Datos Personales en el Sector Privado (PPIPS) y se dota a la Comisión de Acceso a la Información (CAI) de fuertes poderes de ejecución, creo que veremos cómo se pueden proteger los datos de los ciudadanos con la voluntad política adecuada. En septiembre de 2023 entrará en vigor casi toda esta ley y creo que la CAI nos mostrará cómo es la aplicación real. Tienen una Ley que es incluso más dura que la rgpd en algunos aspectos (por ejemplo, no hay "Interés Legítimo" en PPIPS. Sólo consentimiento o contractual, con pocas excepciones. En la UE, la mayoría de los negocios se hacen bajo la base legal del Interés Legítimo, pero Quebec dejó eso fuera) y los poderes para hacer cumplir. También, por defecto, hicieron a la máxima autoridad de la empresa responsable de toda la información personal en poder de esa empresa. Creo que vieron el hecho de que en la UE la C Suite a menudo no está comprometida con la privacidad y la protección de datos. La cláusula de "máxima autoridad" de Quebec, debidamente aplicada, cambiará eso rápidamente.
La mayoría de los gobiernos temen molestar a su fuente de financiación: los empresarios. La mayoría se ha creído la loca idea de que imponer la protección de datos ahogará la innovación. Es una locura. No se trata de un juego de suma cero. Como el cambio crea un terreno fértil para la innovación, tener que cambiar las prácticas en materia de datos probablemente provocaría aún más innovación, ¡no la ahogaría!
Dr. Frank Schemmel, CIPM, CIPP/E, CIPP/US
Siempre hay margen de mejora. Por ejemplo, los gobiernos deberían dotar a los reguladores de recursos suficientes (en particular, presupuesto para contratar personal cualificado) para permitir la educación necesaria y una aplicación efectiva. Recursos adecuados es algo de lo que carecen hasta la fecha la mayoría de los reguladores de la privacidad.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
¿Qué gobiernos? Debemos hacer una distinción. Mientras que algunos países se han tomado muy en serio la aplicación de la rgpd y multan a los organismos gubernamentales por incumplimiento y elaboran DPIA extremadamente extensas sobre el uso de algunos servicios basados en la nube, otros países simplemente no hacen nada o lo menos posible en el ámbito del cumplimiento de la rgpd por parte de los organismos públicos.
Enseñamos a nuestros hijos el valor de predicar con el ejemplo. Por desgracia, vemos cómo se multa a las administraciones públicas por incumplimiento de la rgpd y observamos que no se respetan principios básicos como la falta de medidas de seguridad suficientes o la no designación de un RPD.
Así que no, el gobierno no está haciendo lo suficiente cuando se trata de hacer cumplir la ley en los organismos públicos. Tendemos a olvidar que los organismos estatales poseen una enorme cantidad de datos sobre sus ciudadanos cuando nos centramos en el sector privado.
¿Hubo siempre una demanda de regulación de la privacidad de los datos?
Siempre ha habido gente que ha levantado banderas sobre la privacidad de los datos.
Por ejemplo, en la década de 1990 los defensores de la privacidad expresaron su preocupación sobre Lotus Marketplace, un programa de base de datos desarrollado conjuntamente por Lotus Development Corporation (el desarrollador del software) y Equifax (el proveedor de información). Se suponía que el programa contenía información privada sobre 120 millones de personas y 80 millones de hogares en Estados Unidos. Más de 30.000 personas se pusieron en contacto con Lotus para excluirse de la base de datosy hubo protestas masivas y amenazas de demanda, alegando invasión de la intimidad.
Pero los gobiernos -y los ciudadanos- se enfrentan a retos nuevos y más complejos en el mundo actual. Con la tecnología moderna, ya no son solo unas pocas empresas de unos pocos sectores las que recopilan y manejan datos, sino todas las empresas de todos los sectores.
Mientras que los gobiernos del pasado tenían que hacer frente a problemas de privacidad en áreas específicas, su tarea actual es mucho más compleja. Debido a la interconectividad de nuestro mundo, los ciudadanos esperan que creen soluciones que regulen casi todas las empresas en todas las partes del mundo.
Aunque a veces se pierden en la refriega al centrarse en las empresas privadas, los gobiernos también deben responsabilizarse a sí mismos y a otros agentes estatales de cómo manejan los datos.
Hemos preguntado a los expertos:
¿Cómo era diferente el mundo antes de la normativa sobre privacidad de datos?
Dr. Frank Schemmel, CIPM, CIPP/E, CIPP/US
Antes de que entrara en vigor una amplia normativa de protección de datos, los Estados y sus representantes (organismos gubernamentales e instituciones públicas) tenían la supremacía sobre el tratamiento de los datos personales de los ciudadanos, lo que a menudo era un acto arbitrario. Con la aparición de normas internacionales coherentes sobre privacidad, los interesados han recuperado parte de su poder de disposición.
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
El mundo sería un lugar mucho más oscuro sin leyes de protección de datos. El derecho a la privacidad de los datos funciona como protección general de los demás derechos fundamentales. Yo mismo me crié bajo un régimen comunista, y vi y experimenté el miedo de la gente a expresarse, pensando que sus propias opciones políticas o creencias religiosas u opiniones filosóficas les pondrían a ellos mismos y a su familia en grave peligro de persecución por parte del gobierno. Por tanto, retomando mi idea, disfrutamos de libertad de expresión, libertad de opinión, libertad religiosa, derecho a ser tratados con igualdad independientemente de nuestra etnia, etc. gracias a nuestro derecho a la intimidad.
Derek A. Lackey, CIPM
A veces la ignorancia es una bendición. La mayoría de la gente no era consciente del poder de los ordenadores e Internet. Pero la realidad era que el consumidor estaba indefenso ante el uso de su información personal. El Gran Despertar de la Privacidad les devuelve el poder, o al menos les ofrece algunas opciones. Es casi imposible tener una huella digital cero en 2022. La regulación de los datos es una cuestión de CUÁNDO, no de SI.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
El ritmo al que se promulgaba la legislación sobre privacidad era mucho, mucho más lento, así como una actividad de aplicación a un nivel inferior.
Desde la perspectiva de mi empresa, por ejemplo: operamos en más de 60 países. En el último año, 12 de estos países han promulgado nuevas leyes de protección de la intimidad o han reforzado las existentes, y otros 28 países tienen leyes o enmiendas en fase de borrador que esperamos que se promulguen en los próximos 12 a 24 meses.
También podemos fijarnos en la actividad coercitiva: antes de rgpd no habíamos visto multas de más de 100 millones de euros a escala europea, salvo en el contexto de la defensa de la competencia. Ahora parece que las multas de más de 50 millones de euros son algo corriente y no contenemos la respiración cuando vemos este tipo de noticias. Lo que sí es nuevo es la sanción por incumplimiento de la legislación sobre privacidad. Hong Kong y Filipinas son los primeros en aplicar este tipo de disposiciones y esperamos que les sigan otros países.
La creciente demanda de transparencia de los datos
¿Qué es la transparencia de los datos?
El término suena bastante autoexplicativo, pero primero veamos una definición oficial de transparencia de datos de PCMag:
La transparencia de los datos es tanto "la capacidad de acceder fácilmente a los datos y trabajar con ellos, independientemente de dónde se encuentren o qué aplicación los haya creado" como "la garantía de que los datos que se comunican son exactos y proceden de la fuente oficial".
Su definición puede ser difícil de entender para personas "no tecnológicas", así que vamos a simplificarla.
Básicamente, la transparencia de los datos es la noción de que las empresas -y otras entidades que los manejan- deben tratar los datos de los usuarios con la máxima integridad. Su tratamiento de datos debe ser legal, justo, trazable y responsable.
Además, los interesados deben saber qué datos se recogen de ellos, cómo y por qué se recogen, quién tiene acceso a ellos, cómo se utilizan y cómo pueden acceder a ellos, borrarlos o modificarlos.
¿Por qué es importante la transparencia de los datos?
La creciente demanda de transparencia de datos procede de los ciudadanos y, a su vez, de los gobiernos. Los ciudadanos -o consumidores- son más conscientes de cuánta de su información personal se recopila, comparte y vende. Cada vez descubren más que las empresas no siempre son benévolas con la forma y los motivos por los que recopilan la información de los usuarios.
La concienciación ha dado lugar a la demanda de más medidas por parte de los gobiernos para proteger los datos y exigir responsabilidades a las empresas.
Los Estados han empezado a actuar con rapidez. La UE dio el pistoletazo de salida con su rgpd, que llevó a más países -y estados de EE.UU.- a redactar leyes para proteger a sus propios ciudadanos.
Pero la actuación gubernamental no es la única expectativa de los consumidores. Están empezando a exigir a las propias empresas que cumplan normas más estrictas. Los consumidores empiezan a evitar a las empresas que no son transparentes sobre sus prácticas en materia de datos.
Para hacer hincapié en este punto, he aquí algunas estadísticas alarmantes sobre la privacidad de los datos en relación con la actitud de los consumidores hacia las empresas y los datos:
- El 62% de los estadounidenses no cree que sea posible llevar una vida cotidiana sin que las empresas recopilen datos sobre ellos. (Centro de Investigación Pew)
- El 63% de los usuarios de Internet cree que la mayoría de las empresas no son transparentes sobre el uso que hacen de sus datos, y el 48% ha dejado de comprar en una empresa por motivos de privacidad. (Tableau)
- El 33% de los usuarios han puesto fin a sus relaciones con empresas a causa de los datos. Abandonaron empresas de redes sociales, proveedores de servicios de Internet, minoristas, proveedores de tarjetas de crédito y bancos o instituciones financieras. (Cisco)
- Un estudio de la Universidad de Maryland ha cuantificado el ritmo casi constante de ataques de hackers a ordenadores con acceso a Internet: cada 39 segundos. (Universidad de Maryland)
- Más de 120 países ya han abordado de alguna forma las leyes internacionales de protección de datos para ofrecer una mejor protección a sus ciudadanos y sus datos. (Thales)
Cómo su empresa puede generar confianza entre los consumidores
A medida que crece la demanda de transparencia por parte de los consumidores, las empresas deben empezar a evolucionar o quedarse atrás. No hay vuelta atrás a los días en que los datos de los usuarios se filtraban de forma desenfrenada sin apenas rendir cuentas.
Los ciudadanos y los gobiernos están poniendo de su parte concienciándose, hablando con sus billeteras y aplicando normativas. Ahora corresponde a las propias empresas fomentar una nueva tendencia de prácticas responsables en materia de datos.
¿Cómo puede hacerlo una empresa?
Hay varias cosas que las empresas pueden hacer para respetar y proteger los datos de los usuarios y garantizar a sus consumidores que lo están haciendo. Un buen punto de partida es atenerse a los siete principios de privacidad por diseño establecidos por la rgpd.
- Principio nº 1: Sea proactivo, no reactivo, en cuestiones de privacidad.
- Principio nº 2: La privacidad es lo primero en todo lo que haces
- Principio nº 3: Integre la privacidad en el diseño, el desarrollo y la implantación desde el principio.
- Principio nº 4: La privacidad es suma positiva, no suma cero
- Principio nº 5: Medida de seguridad de extremo a extremo para los datos
- Principio nº 6: Sea visible y transparente
- Principio nº 7: Céntrate en tus usuarios y respétalos
Además de los siete principios anteriores, su empresa debe reconocer que los usuarios son plenamente propietarios de sus datos. Sus consumidores deben tener pleno conocimiento, acceso y control de todo lo que usted recopile de ellos.
Los cambios significativos en la cultura y las prácticas empresariales habituales pueden ser difíciles de gestionar, y es posible que se pregunte por qué molestarse en hacerlo. Aparte de los crecientes requisitos legales, las empresas tienen otro incentivo obvio para ir más allá: su reputación..
La fiabilidad como diferenciador competitivo
Aunque las leyes de privacidad de datos como la rgpd están teniendo un impacto significativo en las prácticas de datos de las empresas, hay otro factor que está entrando en juego: la competencia.
La fiabilidad siempre ha desempeñado un papel en las decisiones de los consumidores, y la privacidad de los datos no es diferente. Las empresas que no apliquen las prácticas que acabamos de exponer y sean totalmente transparentes con sus usuarios perderán clientes en favor de las que sí lo sean.
Al igual que Internet ha influido enormemente en el crecimiento de las empresas, puede tener el mismo impacto en su caída. Las noticias vuelan hoy en día, y su empresa tiene pocos lugares donde esconderse si el hervidero de Internet decide que no está a la altura en cuanto a prácticas de privacidad de datos.
Como resultado, cada vez son más las empresas que dan prioridad a los usuarios y aplican prácticas de datos adecuadas. Están minimizando la cantidad de información individual que necesitan conservar, siendo transparentes sobre toda la recopilación y uso de datos, manteniendo la seguridad y dando a los usuarios pleno acceso y control de sus datos.
Así que pregúntese: Si su empresa no hace lo mismo, ¿por qué le elegirían sus clientes en lugar de un competidor que sí lo hace?
El futuro de un mercado en el que los datos digitales -su recopilación, análisis y aplicación- impulsan cada vez más los modelos de negocio reside en la confianza de los consumidores.
De hecho, el 37% de los usuarios afirman que las empresas que son transparentes con los datos y proactivas en la aplicación de la privacidad de los datos reducen sus preocupaciones.
Como resultado, las empresas están empezando a ver la confianza como un diferenciador competitivo y una forma de maximizar el retorno de la inversión.
Hemos preguntado a los expertos:
¿Qué consejo le daría a una empresa que quiera ganarse la confianza de los consumidores en relación con la privacidad de los datos?
Jeff Jockisch, CIPP/EE.UU.
Los consumidores valoran la privacidad. Es un modelo mejor para su negocio y una ventaja competitiva. Las empresas que afirman lo contrario no suelen tener competencia significativa.
Generar confianza en el cliente y centrarse en recopilar datos limitados de primera mano. Este es el camino menos arriesgado y requiere menos ingeniería.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
Sepa dónde están sus datos. Este es el primer paso para crear un programa de privacidad destinado a ganarse la confianza de sus consumidores siendo transparente, responsable y rindiendo cuentas.
Piense en la obligación legal que tienen los fabricantes de alimentos de enumerar los ingredientes y otra información relevante en sus productos. Un fabricante de alimentos debe saber lo que contienen sus productos, ¿verdad? Deberíamos tener el mismo planteamiento a la hora de saber qué datos tenemos y dónde, e informar a nuestros clientes de lo que hacemos con sus datos. Tienen derecho a que se les facilite esta información y a tomar una decisión informada cuando elijan compartir sus datos con una empresa concreta.
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
Pongan la ética en la interpretación y aplicación de la ley en el centro de su actividad. De lo contrario, seguirán marcando casillas en detrimento del consumidor, que es inteligente, conoce sus derechos y siempre buscará alternativas para escapar de lo que parece un juego de engaño.
Dr. Frank Schemmel, CIPM, CIPP/E, CIPP/US
Un enfoque centrado en el consumidor, en el que el interés del consumidor es el núcleo de cualquier servicio o desarrollo de producto, con la elección y la transparencia como medios más poderosos para ganar confianza.
Derek A. Lackey, CIPM
Haz lo correcto. Trata a las personas con respeto.
Cómo puede ayudar Termly
Nuestra misión en Termly es proporcionar a las empresas las herramientas que necesitan para cumplir la legislación sobre privacidad de datos. Pero nuestra creencia fundamental es que debes respetar los datos de los usuarios porque es lo correcto, no solo porque sea un requisito legal.
Para empresas
En Termly, ofrecemos una solución completa de cumplimiento para su empresa, desde gestión del consentimiento hasta generadores de políticas legales.
Puede utilizar Termly para:
- Obtener el consentimiento adecuado para la recogida de datos
- Generar una Política de Privacidad
- Además, puede generar otras políticas, tales como Términos y condiciones, Renuncias de responsabilidad, Política de cookies, CLUFy mucho más.
- Y mucho más.
- Pruebe gratis Termly
Para las agencias asociadas
Termly proporciona a las agencias una solución de cumplimiento simplificada que pueden ofrecer a sus clientes como argumento de venta único.
Nuestro programa de asociación incluye todo lo mencionado anteriormente con precios al por mayor añadidos y descuentos por volumen, soporte multidominio (incluidos subdominios) y multiusuario, atención directa al cliente, ¡y mucho más!
Trabajamos con muchas agencias de diversos sectores y podemos satisfacer cualquiera de sus necesidades de cumplimiento.
Nuestros recursos
Además de nuestro software de cumplimiento, ofrecemos una amplia variedad de recursos para todos los visitantes, no sólo para nuestros clientes. Nuestra página de recursos incluye varias plantillas de política jurídica, artículos educativos, guías prácticas, un diccionario jurídico y mucho más.
David Reynier, Director General @ Termly
Queremos proporcionar herramientas y recursos para el cumplimiento de la privacidad y animar a las empresas a cultivar una cultura de respeto a la privacidad de los usuarios.
Para llevar
En una era de creciente concienciación y demanda de derechos de privacidad, ya no puede permitirse considerar la privacidad de los datos como algo secundario. Se está convirtiendo en un pilar de la actividad empresarial en la era moderna.
Las empresas que decidan ignorar la demanda de los consumidores de más transparencia y responsabilidad serán sustituidas por las que no lo hagan. Internet ha revolucionado la forma de interactuar entre clientes y empresas y ha puesto mucho más poder en manos de los consumidores. Con tantas empresas entre las que elegir, los usuarios rara vez tienen motivos para quedarse con las que desoyen sus preocupaciones.
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
