¿Se generalizará la protección de datos de la UE?
*Por Desiree Delgado-Arcos
La Regulación de Protección General de Datos (General Data Protection Regulation, GDPR por sus siglas en inglés) fue aprobada por la Comisión Europea en Abril de 2016 y entró en vigor el 25 de Mayo de 2018. La regulación responde a los riesgos que implica para las personas la recolección y el análisis de su información personal.
Ello consecuencia de dos inminentes realidades: el incremento de la información digital que recaban las plataformas de servicios digitales y el incremento en el número de empresas que analizan esta información para convertirla en información comercial.
Por su parte, los analistas y especialistas en el tema de privacidad y comercio internacional, destacan que existen fuertes probabilidades que esta nueva regulación se constituya en un paradigma internacional. Ello consecuencia de las relaciones comerciales que guardan empresas multi-nacionales con la Unión Europea. En este sentido, los consumidores mexicanos debemos estar al tanto de cuáles son los posibles efectos de esta regulación para nuestro país.
Te puede interesar: Cambridge Analytica y Facebook: ¿Nada nuevo bajo el sol?, 5 de abril del 2018
Los términos generales
De acuerdo con ENISA, el procesamiento y análisis de la información personal en la era del Big Data ha evolucionado y trae consigo nuevos riesgos. La capacidad de recolectar y analizar vastos volúmenes de información privada puede afectar seriamente la libertad individual.
Entre los que se destacan: divulgación pública de hechos privados; invasión de privacidad en el hogar virtual de una persona; seguimiento, acecho, violación de la privacidad de ubicación; e incluso puede afectar la autonomía o autodeterminación individual. Por lo anterior, las autoridades europeas, decidieron fortalecer la Regulación de Privacidad.
El espíritu de la Regulación de Protección General de Datos es que la privacidad es un derecho, por lo que la privacidad y confianza se conceptualizan como elementos que sustenta el valor de la información y su tratamiento. En términos generales, la legislación contempla que los individuos tienen derecho a:
- Derecho de Acceso: por parte de los individuos a conocer si su información personal está en posesión de los controladores de datos, si está siendo procesada, dónde y con qué propósito. Los individuos tienen derecho a acceder a la información que ha sido recolectada en formato electrónico.
- Derecho a ser olvidado: implica hacer efectiva la solicitud a los controladores de datos de borrar información personal, cesar la diseminación y potencialmente evitar que sea procesada por terceros.
- Privacidad por Diseño: es un paradigma de seguridad que instruye que la privacidad debe formalizarse desde el diseño de los sistemas. Por lo anterior, se especifica que las empresas controladoras de datos deberán abstenerse de recopilar información no necesaria para los fines específicos relacionados con la provisión del servicio, asimismo cualquier tratamiento de la información debe también ser justificado en términos del servicio brindado. Adicionalmente, requiere llevar a cabo procesos de anonimización de la información personal; es decir, a través de metodologías evitar la posibilidad de identificar información específica de individuos y garantizar que cualquier publicación de bases de datos permita identificar de forma inequívoca a individuos.
- Derecho respecto a las decisiones automatizadas. La legislación aborda el uso de la toma de decisiones algorítmica automatizada y el perfil en el procesamiento de datos personales, y brinda a los interesados derechos a recibir información significativa sobre la lógica involucrada y para impugnar las decisiones tomadas por sistemas automatizados.
- Notificación por Acceso no Autorizado, que resulte en un riesgo a los derechos y las libertades individuales, dentro de las primeras 72 horas de ser conscientes de dicho evento.
Un aspecto fundamental de la GDPR, es que fue diseñada para tener efectos extra-territoriales. Es decir, la responsabilidad de las empresas por el almacenamiento, manejo y procesamiento de datos personales se define a partir de que este se realice a personas que residen en la Unión Europea, por lo que no está sujeta a que la ubicación de las empresas esté o no dentro de territorio europeo. De acuerdo con especialistas este es el cambio más importante de la regulación.
¿Qué es la información personal e información personal sensible?
Existen dos niveles de información que la regulación protege: información personal e información personal sensible.
La primera se refiere a toda aquella información que permite identificar a un individuo, por lo que se incluye todas aquellas piezas de información que, aunque diseminadas al fusionarse, pueden identificar de forma específica a un individuo vivo.
Entre los ejemplos de información personal se destacan: nombre, apellidos, dirección de vivienda, dirección de correo electrónico, cartillas de identificación personal, datos de ubicación y dirección de IP.
La segunda se refiere a categorías especiales de información, en específico: datos biométricos con el fin de identificar de forma única a una persona física; datos de salud o la vida sexual y / o la orientación sexual de una persona, datos genéticos, información sobre puntos de vista
Te puede interesar: Cambridge Analytica, la empresa que puso en jaque a Facebook y las elecciones estadounidenses, 20 de marzo del 2018
El "Efecto Bruselas" y la respuesta internacional
El “Efecto Bruselas” es un término que identifica el impacto que tienen las regulaciones europeas para modificar unilateralmente los términos del comercio internacional, y por ende, las regulaciones en otros países. El término fue acuñado por Anu Bradford, Profesora del Departamento Derecho y Organización Internacional de Columbia University, quien explica que la internacionalización de los estándares europeos se han difundido a través de la obligatoriedad que imponen a las empresas multinacionales que participan en actividades comerciales con los miembros de la Unión Europea.
De acuerdo con la profesora, contrario a la visión tradicional euro-centrista, la Unión Europea ha sido capaz de imponer sus regulaciones como paradigmas ya que estas “han generado un mercado interno robusto, mediante el cual Europa puede influir en las políticas de otros países.” [University of Columbia. 2017, “The End of the World” podcast.]
En Estados Unidos es posible que un cambio se esté generando, ya que justo después de la testificación de Mark Zuckerberg ante las cámaras legislativas de ese país por el caso Cambridge Analytica, se presentó un proyecto legislativo bipartidista para reducir las fallas de la actual regulación.
Este proyecto es encabezado por Amy Klobuchar (Minnesota) y John Kennedy (Louisiana). De acuerdo, con los primeros comentarios la legislación contempla elementos para mejorar las capacidades de consentimiento de los usuarios, mayor control respecto al acceso e información, solicitudes de notificación de accesos no autorizados, entre otros.
En países como Sudáfrica, las empresas están tomando medidas para implementar los cambios necesarios para no quedar fuera. Como explica John Giles, abogado administrativo de Michalsons, un bufete de abogados en Sudáfrica, "cualquier país que no está trabajando para alcanzar estos estándares se queda afuera pasando frío", "GDPR tiene tentáculos largos".
"I love GDPR", lista de canciones en Spotify haciendo alusión a la privacidad e información de las personas
Sin embargo, la implementación de una regulación similar enfrenta obstáculos propios de este país. Como comentó Pansy Tlakula, presidenta del órgano Regulador de Información en Sudáfrica, la implementación debe considerar no sobrecargar a las pequeñas empresas locales, por lo que es fundamental comprender limitantes, tales como presupuestos pequeños y escaso conocimiento de estas para seguir complicadas reglas de privacidad.
En México, existen dos regulaciones para la Protección de Datos Personales, en posesión de los particulares y otra para las instituciones públicas. En ambas, la regulación mexicana otorga derechos los de Acceso, Rectificación, Cancelación y Oposición (conocidos por sus siglas ARCO), y que garantiza a las personas el poder de control sobre sus datos personales.
Por su parte, la Constitución Política en sus artículos 6 y 16 reconoce que los mexicanos tienen derecho a una vida privada y no ser molestados. Sin embargo, como en muchos otros países, e incluso en la propia Unión Europea previo a la nueva regulación, los grandes agregadores de datos: Facebook, Google, Amazon y Apple, no están debidamente regulados. (La regulación mexicana en materia de protección de datos en posesión de los particulares se puede consultar aquí.)
Por lo anterior, es posible esperar cambios en el siguiente año a las legislaciones vigentes. En particular, si se considera la renegociación del Tratado de Libre Comercio de América del Norte (TLCAN) que incluirá adecuaciones específicas referentes al comercio electrónico.
De acuerdo con las declaraciones de Robert Holleyman, especialista en privacidad y comercio internacional, a Bloomberg Law: “estoy convencido de que la versión final del TLCAN incluirá el contenido integro de lo estipulado por el TPP respecto a la libertad de la transferencia de información y datos de localización entre los países miembro.”
Por su parte, Anupan Chander, profesor de Derecho y director del Centro de Derecho Internacional de la Universidad Davis de California, la administración en turno no ha establecido una preferencia por protecciones más amigables hacia los usuarios.
Para los consumidores mexicanos se vuelve crítico seguir estos acontecimientos, ya que no sólo se trata de los consumidores estadounidenses y europeos. La renegociación del TLCAN tendrá un impacto decisivo en las dinámicas económicas y comerciales entre los países miembro, es por ello que es importante conocer qué sucede con esta regulación y determinar cuáles serán los impactos para la economía digital mexicana.
* Desiree Delgado-Arcos, es economista del ITAM con una maestría en Administración Pública por la London School of Economics and Political Science. Es experta en planeación, evaluación e implementación de análisis económico de redes.
