Lecciones del caso Facebook

El autor es socio del estudio ONTIER y líder del área de Gobierno Corporativo y Compliance. También es licenciado en Ciencias Físicas, CISA, CISM, CGEIT, ECPD., además de Director del Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC de la Universidad Autónoma de Madrid.

Escribe Antoni Bosch Pujol,
socio del estudio ONTIER y

líder del área de Gobierno
Corporativo y Compliance.

Nos estamos dando cuenta de que las aplicaciones gratuitas que nos instalamos en nuestras computadoras, laptops, celulares y otros dispositivos no son, en realidad, tan gratuitas, pues las estamos pagando con nuestros datos. La pregunta a hacerse es ¿cuánto valen nuestros datos?

Casi ninguno de nosotros leemos las condiciones de uso o la política de privacidad y le damos alegremente al check de aceptar. Es verdad, es farragoso y cansado leer todos esos documentos pero deberíamos ser más conscientes de qué implicaciones puede comportar el no hacerlo. Casos como el de Facebook nos obligan a reflexionar sobre qué se está haciendo con nuestra información.

Pues bien, poco antes de que estallara el escándalo, en España se había sancionado a Facebook y a Whatsapp con 300.000 euros a cada compañía por cambios en su política de privacidad, “por el que se actualizaban los términos de servicio y la política de privacidad con el fin de reflejar la integración de nuevas funciones y anunciar que a partir de ese momento los datos de los usuarios serían compartidos con Facebook para mejorar su experiencia de uso”. En España la Ley de Protección de Datos está en vigor desde el año 1992.

En octubre del 2015, el Tribunal de Justicia de la Unión Europea ya había dado la razón a un ciudadano irlandés que había presentado un reclamo a la Autoridad de su país indicando que los datos que manejaba Facebook en Estados Unidos no tenían el nivel adecuado de protección acorde a la normativa europea de protección de datos[1]

Podemos pensar que, desde el punto de vista empresarial, las leyes de protección de datos son un corsé que no dejan realizar todo lo que la empresa quiere con los datos de sus clientes, proveedores, colaboradores y otras personas naturales, pero en el mundo digital, al igual que en el mundo real  no todo vale. Casos como el de Facebook nos lo demuestran.

En nuestro país en julio del 2011 se publicó La ley 29733 de Protección de Datos Personales que en su artículo 1 dice: “La presente Ley tiene el objeto de garantizar el derecho fundamental a la protección de los datos personales, previsto en el artículo 2 numeral 6 de la Constitución Política del Perú, a través de su adecuado tratamiento, en un marco de respeto de los demás derechos fundamentales que en ella se reconocen.”, es decir, obedece a un mandato constitucional.

En primer lugar, remarcar que la ley sólo aplica a los datos personales, siendo estos: “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados”, pero hay que remarcar además que la ley especifica que dichos datos han de estar contenidos en un banco de datos personales: “Conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso”.

Veamos en que van a cambiar nuestros procesos.

Antes de la ley de protección de datos las organizaciones sólo se preocupaban de recabar información, independientemente de la fuente y del medio utilizado, no se preocupaban de si el titular de ese dato era sabedor o no.

A partir de la entrada en vigor debemos armar procedimientos para que antes de recabar ese dato, informemos a la persona interesada para que nos dé permiso, es decir, consentimiento, para poder tratar esa información y le tendremos que explicar qué vamos a hacer con dicha información, si vamos a darla a terceros, etc., en definitiva la finalidad.

La ley para ello nos obliga a inscribir esos bancos de datos indicando qué tipo de datos, no el dato en sí, estamos tratando y el uso que le vamos a dar. Las sanciones pueden llegar hasta los 100 UIT.

Otro de los procedimientos que tendremos que afrontar es que cualquier ciudadano podrá dirigirse a nuestra empresa y pedirnos qué tipo de información sobre él tenemos, de dónde la hemos obtenido y qué estamos haciendo con ella. La empresa deberá contestarle tanto si tenemos información como si no.

Los plazos para este ejercicio de derechos por parte del titular del dato se conocen como Derechos ARCO, siendo el acrónimo de acceso, rectificación, cancelación y oposición. La respuesta para el derecho de Acceso ha de ser de 20 días hábiles siendo sólo de 10 para el resto de derechos. Para ello la ley nos obliga a que en el momento de la recogida de la información le indiquemos al titular dónde puede dirigirse. La ley, además, nos obliga a poner medidas de seguridad para proteger la información de la que, no lo olvidemos, somos sólo los custodios, no los propietarios.

Podemos ver que tendremos que afrontar una serie de cambios legales y organizativos adecuando nuestros formularios y la forma de recogida de información, contratación de personal, contratos con terceros prestadores de servicios, etc.  Así mismo también deberemos acometer una revisión de nuestros sistemas y nuestros files para que en todo el ciclo de vida podemos garantizar la debida seguridad de los mismos.

No olvidemos que la ley aplica tanto a los bancos de datos automatizados como los no automatizados. Como personas que trabajamos en una empresa hagámonos una sola pregunta: ¿Cómo me gustaría que trataran mis datos personales?

Si somos capaces de responder a esta pregunta, vamos a ver que el cambio y el nuevo reto que se avecina va a ser mucho más fácil de acometer.


[1] Puede consultarse la sentencia del TJUE aquí.