Los efectos que tendrán los cambios en la ley de protección de datos
- A partir del 25 de mayo, este reglamento entrará en vigencia en la Unión Europea, mientras que, en Chile, se espera que la Ley que ya fue aprobada en el Congreso, sea promulgada por el Presidente Sebastián Piñera.
Santiago, Chile. 24 mayo, 2018. El caso de Cambrige Analytica, empresa que ocupó información personal de los usuarios de Facebook para hacer anuncios políticos en las elecciones presidenciales norteamericanas del 2016, puso en evidencia la vulnerabilidad del sistema actual. Sin embargo, situaciones como esta pronto podrían evitarse gracias al cambio de reglamentación de la Unión Europea, que entra en vigor este 25 de mayo, y que regula la forma en que las organizaciones usan y almacenan la información personal.
La regulación se centra en la privacidad y los derechos de los ciudadanos de la UE para proteger su privacidad.
Esta acción se está replicando en Chile, donde ya fue aprobada tras una serie de modificaciones realizadas por la Cámara de Diputados a la Ley de Protección de Datos Personales. Ahora solo resta la comunicación al Ejecutivo del gobierno del Presidente Piñera para que la norma sea promulgada.
Cristián Cabezas, solutions director en Dimension Data Chile, explica que “en el caso europeo las regulaciones se centran en los derechos de los ciudadanos, pero dado la naturaleza global de los negocios, estas normas pueden tener un impacto en las empresas de todo el mundo. Independientemente de que tengan o no operaciones europeas importantes, cualquier organización que realice o haya hecho negocios con ciudadanos europeos estará sujeta a la aplicación del nuevo reglamento”.
Las organizaciones que no cumplan estarán sujetas a sanciones que irán de forma escalonada. La nueva ley comprende 99 artículos, cada uno con subcomponentes, en donde los ciudadanos de la UE tienen derechos específicos enumerados en relación con su privacidad y su información de identificación personal. Las organizaciones ahora tienen la responsabilidad de demostrar consistentemente que están protegiendo esos derechos, lo que puede ser muy similar a lo que suceda en el resto del mundo en un futuro cercano, según el experto de Dimension Data Chile.
En específico, Cabezas detalla que las organizaciones europeas deben respetar las siguientes cinco disposiciones de consentimiento personal:
1. Derecho a ser olvidado. Conocida formalmente como el “derecho a borrar”, esta disposición otorga a las personas el derecho de solicitar que su información de identificación personal sea eliminada o eliminada “sin demora indebida”.
2. Derecho a optar por no participar. Quizás se considere más acertadamente una cuestión de opción, la regulación requiere que los individuos den su consentimiento de forma activa para compartir su información personal con una organización. Este mandato va más allá de lo que muchas empresas están acostumbradas a considerar como consentimiento, ya que señala específicamente que “el silencio, las opciones pre-marcadas o la inactividad” no constituyen consentimiento.
3. Derecho de acceso. En cualquier momento, las personas pueden solicitar y recibir información que detalle qué datos personales se procesan y con qué fines. Este derecho ayuda a las personas a garantizar la recopilación y el procesamiento legal de su información personal.
4. Derecho a la portabilidad de datos. Las personas no solo tienen derecho a acceder a sus datos, sino que también tienen derecho a usar sus propios datos personales en múltiples servicios. Por ejemplo, el usuario de un servicio de transporte tiene derecho a solicitar que sus datos se transmitan directamente a un servicio competidor, y un cliente bancario puede solicitar que su información se comparta con una empresa de planificación financiera.
5. Derecho a oponerse. En cualquier punto, los ciudadanos de la UE pueden objetar que la organización maneje sus datos personales. La regulación menciona específicamente el marketing directo y el perfil como usos de datos personales a los que los individuos pueden oponerse. Al recibir una objeción, las organizaciones deben proporcionar documentación sobre cómo se procesa y utiliza la información personal, lo que requiere una evaluación oportuna de qué datos se recopilan, dónde se encuentran y cómo se usan en cualquier momento. Si el individuo solicita que se eliminen sus datos, las organizaciones no solo deben hacerlo, sino también demostrar que los datos solicitados ya no se utilizan.