La Privacidad es el derecho que tenemos las personas a mantener en la esfera privada una parte de lo que hacemos, decimos o pensamos y el derecho a decidir que parte de ese espacio privado quiero compartir y con quién quiero compartirlo. La real academia define la privacidad como "el ámbito de la vida que se tiene derecho a proteger de cualquier intromisión" un derecho por cierto recogido en las constituciones de muchos países y en la Carta de Derechos Fundamentales de Naciones Unidas.
 
El nivel de preocupación por la privacidad de los usuarios de Internet con relación al uso de la tecnología es realmente bajo ya que confiamos en el ecosistema digital. El ciudadano normal desconoce quién o quienes tienen acceso a sus datos, cómo se recolectan, para que se usan, para que se podrían usar y desconoce su valor. Sin embargo nos importa mucho nuestra privacidad y por esto hay una corriente creciente, en las sociedades más avanzadas en materia de derechos, que empieza a preguntarse sobre como gestionar este derecho y donde situar los limites de las nuevas tecnologías en esta materia tan sensible. .
 
Ciudadanos conectados y digitalizados
 
La tecnología está cambiando el paradigma de la privacidad en primer lugar por la cantidad de datos personales que se generan y que se almacenan cada día en un ente abstracto que llamamos Internet o la nube.
Cada año y medio se generan más datos que en toda la historia de la humanidad. Hoy casi todo lo que hacemos deja una huella de información: el uso de nuestro móvil, la consulta de un mapa, un viaje, un comentario compartido en una red social, una opinión en un blog, un pago con tarjeta de crédito o nuestro uso de energía detallada en los smartmeters, entre otros.
Los datos personales cada vez son más importante para el desarrollo de los nuevos servicios digitales cada vez más personalizados y cada vez más adaptados a lo que somos, hacemos y decimos. Cada vez son más las aplicaciones y servicios que requieren de datos personalizados y cada vez son más los dispositivos, sistemas y aplicaciones que recogen datos personales.
RGPD y e-Privacy la regulación europea que ya está aquí
Para mayo de 2018 todas las empresas que tengan datos personales de ciudadanos de la Unión Europea deberán cumplir con las nuevas normas de privacidad de datos conocidas como el Reglamento General de Protección de Datos (RGPD). La sanción por infracción de los principios recogidos en el RGPD pueden conllevar multas de hasta 20 millones de euros o del 4% del volumen de negocios global anual de la organización. Para otras infracciones de privacidad, las sanciones pueden llegar a los 10 millones de euros o el 2% del ingreso anual de la empresa.
En paralelo con el nuevo RGPD y con la nueva norma (Privacy Shield) para las empresas americanas que procesan datos de ciudadanos Europeos, la UE debate la directiva ePrivacy que introduce cambios importantes en materia de Privacidad y no solo es Europa la que está regulando en materia de Privacidad China y Singapur también están introduciendo nuevas regulaciones con elevadas multas en caso de incumplirlas.
Nos encontramos en un momento en el que hay dos intereses que se contraponen por un lado el interés económico derivado de la explotación comercial y por otro lado los marcos normativos que rigen la protección de datos y la posibilidad de que en algún momento se contravenga alguna de las regulaciones vigentes en esta materia y que esto pueda traernos problemas económicos, de imagen o personales para los directivos implicados.
 
Estar preparado porque los cambios normativos que ya están aquí son profundos
 
Las empresas tienen primero tomar conciencia de la nueva situación en materia de privacidad y comenzar por estudiar la regulación que nos viene (RGPD, ePrivacy y Privacy Shield) y empezar a planificar para cumplir con sus requisitos.
En muchos casos va a ser necesario contratar a un responsable de protección de datos (DPO), cambiar las bases de datos que almacenan datos personales, crear el procedimiento para notificar cualquier infracción dentro de las 72 horas posteriores al descubrimiento o hacer evaluaciones de riesgo asociado a la pérdida o robo de datos personales.
La forma en la que se informa a los ciudadanos y como se recoge el consentimiento también cambia radicalmente, ya no valen con presentar unas largas y farragosas condiciones de uso que nadie se lee ahora hay que hacer que sea sencillo, entendible y explicito para que todos los ciudadanos entiendan lo que confirman.
 
¿Por dónde empezar?
 
En primer lugar hay que empezar con el inventario de los datos personales que se manejan en su organización. Hay que tener muy claro cómo se usan y cómo se gestionan, qué datos personales se han recogen, quién tiene acceso a estos datos, si los fines del tratamiento de dichos datos personales se ajustan a la legalidad, dónde y cómo se mantienen, cuánto tiempo dichos datos personales se guardan, cómo se destruyen. Sin olvidar los datos que se ceden a proveedores, la deslocalización o el intercambio de datos con servicios y aplicaciones de otros países.
 
Poner a alguien a cargo de este tema, hay que tener en cada organización a un responsable de protección de datos DPO, entre sus responsabilidades asegurar el cumplimiento de la regulación, implementar políticas y procesos para el manejo de datos personales, llevar a cabo evaluaciones de impacto y mantener la documentación obligatoria, entre otros requisitos.
 
Llevar a cabo ejercicios de evaluación de posibles riesgos de protección de datos y poner en marcha medidas de mitigación lo cual le puede exigir desarrollar de forma regulares auditorias y pruebas de penetración.
 
Se trata en definitiva incorporar la protección de datos en la cultura de su organización y en todos los niveles de la misma lo cual implica mantener a los empleados, directivos y proveedores informados sobre los procesos y políticas en materia de protección de datos personales.
 
Vicente Martínez de Molina
Director infoAUI
Agosto 2017