¿Por qué adoptar medidas del GDPR hubiera podido ayudar en temas de privacidad para un caso como el de Facebook?
Hace unos días se destapaba, quizás, uno de los mayores escándalos de los últimos tiempos, relacionado con una empresa de tecnología y la privacidad. ¿Quién hubiera dicho hace unos meses que un gigante tecnológico como Facebook iba a tener un problema como el que ha sucedido? ¿Que además, afecta gravemente a cuestiones de privacidad del usuario? Seguramente, pocos hubieran apostado por algo así. Independientemente de ello y aunque muchos sabemos que el negocio de los datos existe, por regla general, cuando no se paga por servicios, dicha situación problemática ha sucedido y desde el despacho, precisamente especializado en nuevas tecnologías, era necesario reflexionar sobre el tema.
¿Qué es lo que ha sucedido con Facebook y Cambridge Analytica?
Por un lado, Cambridge Analytica es una empresa que ofrece minería de datos y análisis de datos para comunicación estratégica relacionada con fines electorales. Lo que ha sucedido es que, por el momento, se considera que Cambridge Analytica ha tenido acceso a datos de aproximadamente 50 millones de usuarios provenientes de Facebook, sin consentimiento de esta última, ni de los propios usuarios. Por lo visto, además Facebook habría conocido la existencia de esta situación durante aproximadamente dos años y no habría informado de ello a dichos usuarios.
Por otro lado, se considera que la información de esos usuarios se ha utilizado para manipular y crear anuncios políticos para las campañas de las elecciones de Estados Unidos en 2016, en las que resultó elegido Donald Trump. Una situación por la que, queda latente que la utilización de las redes sociales, los fake news y mecanismos similares, están muy presentes y afectan gravemente a situaciones de relevancia mundial por lo que se hace preciso conocer cómo funcionan y cuáles son los derechos de las personas respecto del tratamiento de sus datos, así como cómo deben comportarse las empresas a la hora de prestar servicios…
¿Qué tiene que ver lo sucedido con la privacidad y con el GDPR?
Lo sucedido tiene que ver con la privacidad en tanto que se hace preciso remarcar – por quién lo sepa – que los datos personales son del usuario y que él es quién decide lo que se puede o no puede hacer con sus datos. En el caso de Facebook y Cambridge Analytica el usuario no habría sido informado (derecho de información, recogido en los artículos 12 y 13 del GDPR o RGPD) del uso de los datos por parte de ninguna de estas empresas para los fines ya comentados; tampoco habría dado su consentimiento (artículo 7 GPDR), unos requisitos esenciales en todo tratamiento de datos personales.
Además, tampoco habrían sido tratados adoptando suficientes medidas de seguridad puesto que ni Facebook habría previsto y tomado medidas suficientes para evitar esta situación de uso de datos no consentido; ni Cambridge Analytica habría utilizado mecanismos o medidas pertinentes para captar esa información, desconociendo qué medidas ha aplicado a continuación, esto es, una vez recabó la información, cómo la procesó ni qué hizo exactamente con ella.
Es por ello que para el caso comentado, una comisión parlamentaria británica solicitó la comparencia de Mark Zuckerberg, para que hablara sobre el acceso y uso ilegal de esa información por parte de Cambridge Analytica (CA). También, debido a ello, la autoridad británica de protección de datos, esto es, la Oficina del Comisionado de Información británica (ICO), estuvo unas cuantas horas en las oficinas de CA y por parte del regulador británico de la información y datos personales, se anunció un mandato para poder acceder a los servidores de CA, solicitando a Facebook que suspendiera su auditoría interna.
Incluso la propia Comisión Federal de Comercio de Estados Unidos ha iniciado un proceso para investigar el papel de Facebook en toda esta situación.
¿En qué puede ayudar la adecuación del GDPR en un caso como este?
Recordemos que uno de los objetivos del GDRP o Reglamento Europeo de Protección de Datos 679/2016 de 27 de abril, es promover un adecuado tratamiento de los datos. Por ello, como se ha indicado en el anterior apartado, se hace necesario no solo potenciar y disponer por parte de las empresas que realizan tratamientos de datos, de políticas o avisos legales informativos que cumplan con los requisitos que marca la norma, sino de disponer de mecanismos que acrediten la obtención del consentimiento por parte de los usuarios.
Con el nuevo Reglamento lo que se pretende es informar detallada y claramente de cada uno de los tratamientos que se pretenda llevar a cabo con los datos de los usuarios, de forma que aquel seleccione y decida qué tratamientos acepta y cuáles no. En su virtud, en el caso de Facebook y Cambridge Analytica, lo adecuado hubiera sido que en algún momento se informara debidamente de toda esa realidad y posibles tratamientos de datos, para ir bien por parte de ambas empresas, si actuaban ambas como responsables de ese tratamiento o si se producía una comunicación de datos de la primera a la segunda. En cualquier cosa, era necesario informar acerca del proceso de captación de los datos y de cómo o para qué se iban a procesar, así como por parte de quién, cosa que, al parecer, no se ha producido, al menos, de forma adecuada.
En el caso del consentimiento, además, el nuevo Reglamento establece que, por regla general, salvo excepciones, debe ser informado, específico, libre e inequívoco por lo que, a tenor de los hechos y hasta donde se sabe, en el caso de la red social y CA, esto no se produjo.
¿Por qué es importante que el consentimiento siga estas pautas o tenga estos requisitos?
En primer lugar, que dicho consentimiento haya sido informado, garantiza que el usuario va a conocer el detalle sobre el uso que se va a dar a su información, va a estar lo suficientemente informado sobre si sus datos van a ser tratados adecuadamente y con qué fines, pudiendo decidir si le interesa o no el tratamiento de sus datos. Lo cual denota una actitud de transparencia de la empresa respecto de su cliente o usuario y por lo tanto, en principio, una mayor fiabilidad en la contratación de un servicio o compra de un producto. Se garantiza, en definitiva, que se vela por la privacidad del usuario.
En segundo lugar, que dicho consentimiento también deba ser específico, comporta que el usuario puede seleccionar de entre los diferentes tratamientos, si le interesa uno u otro; o todos, pero pudiendo modular el tratamiento que se hace de sus datos. De este modo, sigue teniendo en cierto modo el control sobre sus datos y, ¿verdad que a las personas no nos gusta que nos entren en casa sin nuestro permiso, invadiendo nuestra privacidad o nos ofrezcan cosas que no hemos pedido o no tenemos claro que hayamos pedido porque lo consideramos «intrusivo»? Pues con la especificación del tratamiento este riesgo debería evitarse o reducirse.
Ello significa que, si una empresa no informa detenidamente sobre lo que hace, el usuario no puede decidir si contrata o no un producto o servicio de forma transparente; por lo que, si quieres que tu cliente te contrate, esfuérzate por venderle el mejor servicio que esté a tu alcance. Si no lo acepta, es que no está interesado. No fuerces la situación.
En cuanto a que el consentimiento sea libre, la realidad es que si el usuario ha sido correctamente y detenidamente informado, va a poder tomar una decisión de forma libre y/o voluntaria, teniendo el control sobre lo que quiere o no quiere en función de lo que se le haya explicado. Para tu empresa, debería ser relevante conocer si un cliente quiere o no quiere un servicio. ¿De qué te sirve recabar datos o prestar un servicio que un cliente no quiere? ¿No es mejor disponer de clientes contentos y satisfechos de tus productos y servicios que, además, sirvan de prescriptores, que personas que pasan del mismo?
Por último, en cuanto al consentimiento inequívoco, es importante que el prestador del servicio disponga de mecanismos que permitan acreditar que el usuario, sí o sí, manifestó su aceptación. Con ello, se cierra el ciclo de que el usuario haya sido debidamente y detenidamente informado, haya seleccionado la opción afirmativa para determinado tratamiento y el prestador disponga de los mecanismos oportunos para acreditar que ese consentimiento se prestó, así como sobre qué se prestó. Ello, para una empresa, evitará problemas y dudas sobre si tal o cual cliente contrató un servicio o producto y consintió o no el tratamiento de sus datos, evitando también el riesgo de sanciones por parte de la autoridad competente de protección de datos, como se está analizando en el caso de Facebook y Cambridge Analytica.
¿En qué le beneficia a mi empresa adecuarse al GDPR?
Querer cumplir y hacer las cosas bien es una cuestión de voluntad. Las empresas debemos ser conscientes de que no todo es posible y que no podemos tratar todos los datos que nos apetezca, quebrantando las reglas más básicas de la privacidad y la intimidad del usuario. Hacer lo contrario quebranta los valores de una sociedad sana desde el punto de vista competitivo.
La adecuación de tu empresa al GPDR, además, hace que puedas disponer de muchos más circuitos y protocolos que determinen cómo opera tu empresa ante determinadas situaciones, minimizando riesgos tanto de fuga de datos personales, como de información confidencial, en realidad. Adaptar tu empresa al GDPR denota un interés por querer demostrar que el cliente, tu usuario, tu trabajador, es importante para ti y quieres tratar su información de la mejor manera posible. Requiere que informes a quién debes informar, adecuadamente, sobre el tratamiento de sus datos; que recojas su consentimiento y sus datos, de forma adecuada, que los trates, también, de forma adecuada y que los destruyas o comuniques, adoptando medidas de seguridad que van a garantizar la confidencialidad de la información. Se trata de que todo el flujo de datos que realizas sea, simplemente, lógico, para lo que necesitas. Ni para más, ni para menos.
Ya te hemos contado en otras ocasiones algunos aspectos relacionados con el GDPR y por qué es importante para tu negocio. Así, te contábamos cómo el GDPR y el comercio electrónico pueden ser como un matrimonio; las claves para adaptar tu empresa al RGPD; lo que necesitas saber sobre el GDPR; conceptos sobre cuándo necesitas un delegado de protección de datos, entre otros.
Recuerda que el citado GDPR es de aplicación a partir del próximo 25 de mayo por lo que, si todavía no estás adaptado a la normativa o nunca has implementado nada en materia de protección de datos, todavía estás a tiempo. Contacta con nuestro despacho y te ayudaremos con todo ello. Toma conciencia de lo importante que son los datos para tu negocio y de que quieres hacerlo de la mejor manera posible. Evita que algo parecido a lo que hemos comentado aquí, te suceda… o prevé cómo actuar, disponiendo de mecanismos de control y solución, siguiendo el principio de proactividad que establece el propio Reglamento Europeo.
Síguenos en el blog y en Twitter para más contenidos sobre este tema.