Introducción
¡Hola! Hablemos sobre tus datos personales y porque es importante protegerlos. Es un tema recurrente. Protección de datos, políticas de privacidad, scroll scroll, sí acepto. Sabemos que poca gente lee las políticas de privacidad, pero todos sabemos que nuestros datos son importantes.
Seguramente tienes el tema en tu radar porque hace poco Whatsapp cambió su política de privacidad (o política de protección de datos) y mucha gente en el mundo se pasó a Telegram (equivalente ruso). Dicho sea de paso, si quieres chatear sin que nadie guarde ningún registro personal tuyo y mucho menos algún registro de tus mensajes (buena protección de tus datos personales), Telegram es una gran opción. ¿Whatsapp? No mucho…
Bueno, no estamos aquí para hacerle propaganda a Telegram. Pero si para que sepas un poco más sobre la protección de datos, en general y claro, sobre todo en el mundo digital.
Empecemos por lo primero. Definiciones.
¿Qué es un dato personal?
Evidentemente un dato es una información. Pero no toda información es una información personal y no toda información sobre una persona es una información personal, en cuanto a protección de datos se refiere.
Por ejemplo, decir que Marco tiene 23 años, es una información, relativa a una persona. Pero al ser tan general – por existir muchos marcos de 23 años – a esta información le falta un criterio indispensable para ser considerada un dato personal per se: permitir una identificación o posibilidad razonable de identificación de la persona física a la que hace referencia.
Entonces, ¿cuáles son los conceptos que nos permiten definir qué datos son datos personales?
Conceptos de definición de los Datos Personales:
- TODA O CUALQUIER INFORMACIÓN
- SOBRE, RELATIVA A O CONCIERTE A
- UNA PERSONA FÍSICA
- IDENTIFICADA O RAZONABLEMENTE IDENTIFICABLE
Definición de datos personales de la RGDP de la Unión Europea:
«Datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Fuente: https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016R0679&from=ES
Como puedes ver, la definición de “datos personales” es bastante amplia: se aplica a prácticamente toda información relativa a una persona física determinada o razonablemente determinable.
¿Qué implica esta categorización?
Es importante poder definir lo que constituye un dato personal, sobre todo por sus implicaciones legales. Es decir que los datos personales están ligados al Derecho a la Privacidad (entre muchos otros). El concepto de privacidad es un corolario muy importante.
La privacidad está reconocida como un derecho fundamental (Artículo 12 de la Declaración Universal de Derechos Humanos de 1948) y la gran mayoría de las constituciones la reconoce como tal. Se ha escrito sobre este derecho desde 1890 (The Right to Privacy Samuel D. Warren; Louis D. Brandeis Harvard Law Review, Vol. 4, No. 5. (Dec. 15, 1890), pp. 193-220. Consultado en inglés en: https://www.cs.cornell.edu/~shmat/courses/cs5436/warren-brandeis.pdf).
Evidentemente cada país protege este derecho a su manera. Algunos países tienen legislación específica sobre la protección de datos personales. Algunos otros, como Bolivia, solo cuentan con la protección básica del derecho a la privacidad (constitución) y algunas otras menciones parciales esparcidas sin una normativa específica sobre la protección de datos y mucho menos una autoridad de regulación.
El referente mundial en materia de protección de datos es la Unión Europea, en el enlace más arriba podrás encontrar el texto completo del Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) o RGPD en lo sucesivo.
Es importante notar que la Unión Europea ha decidido dedicarle un Reglamento a la materia y ya no solamente una Directiva (que sí existió). Los reglamentos son de aplicación directa para todos los países miembros, en cambio las directivas son normas generales que los países miembros deben integrar a su régimen legal, a su manera. Lo que demuestra que, en materia de protección de datos, los legisladores europeos prefirieron no darle mucho margen de acción a los países.
Evidentemente, la legislación sobre el derecho a la protección de datos personales, no se aplica al uso privado, personal o doméstico de esta información, sino sobre todo al uso comercial de los datos personales. De otra manera, los números de teléfonos que registramos en nuestros celulares estarían sometidos a estas legislaciones, igual que las agendas de contactos escritas o toda la información de nuestros contactos en redes sociales y tendríamos todos que tratarlas según las normas establecidas. Afortunadamente, no es así. La normativa se aplica principalmente cuando los datos son manejados con fines comerciales.
Es decir que esto te interesa si eres una persona física, porque tienes derechos que puedes reclamar ante las empresas que tengan datos tuyos y obviamente te interesa más si tienes una empresa, ya que tienes que asegurarte de respetar los derechos de protección de datos con toda la información personal que tengas y obtengas.
Es muy importante considerar que la legislación europea se te aplica, así no vivas en Europa. Si, leíste bien. El RGPD es aplicable aun cuando el responsable de tratar esta información no se encuentre en Europa (Art. 3 del RGPD). Así que, si tienes una e-commerce de venta de productos y pretendes venderlos a clientes en Europa, pues tendrías que manejar los datos de tus clientes europeos conforme al RGDP que los protege, aunque tu vendas los productos o servicios desde Oruro – Bolivia, por ejemplo. Este fenómeno legal se llama EXTRATERRITORIALIDAD y existen pocos ejemplos, sin embargo, la era digital los hace cada vez más numerosos.
Ahora que sabemos por qué es importante identificar que es un dato personal, tanto para los ciudadanos de a pie, como para los empresarios. Veamos cómo debe tratarse la información.
Tratamiento de la información
Marcelito quiere pedir una pizza. No tiene efectivo, pero su restaurante de preferencia le permite pagar en línea. Para hacerlo, Marcelito debe darle sus datos personales bancarios al restaurante, para asegurarse de que Marcelito existe y que tiene una tarjeta (con fondos idealmente) a su nombre en tal banco, que respalda la transacción bancaria y le permite realizarla.
¿Cómo debe tratar el restaurante los datos personales de Marcelito? ¿Puede guardarlos, usarlos para mandar publicidad? ¿Cambiarlos por otros datos? Pues precisamente esas son algunas de las preguntas que las legislaciones pertinentes tratan de resolver, organizar y regular.
Para hacerlo, se aplican los siguientes principios:
- Finalidad del tratamiento: implica que la información debe tener fines determinados, explícitos y legítimos.
- Información: implica que el interesado, salvo excepciones, debe tener acceso y completa información sobre el tratamiento de su información.
- Minimización de datos: algunas jurisdicciones también contemplan este principio que implica que los datos personales a ser tratados, deben ser los mínimos adecuados y relevantes, limitados únicamente a finalidades estrictamente ligadas el objetivo comercial.
- Las naciones unidas también han considerado otros principios como los de: legalidad y lealtad, exactitud, especificación de la finalidad, no discriminación, etc.
Estos principios, simples en su contenido y substancia, son muy difíciles de aplicar a la esfera digital, que busca más bien obtener, analizar y explotar toda la información que pueda, mediante algoritmos complicadísimos que no siempre permiten tener clara la finalidad del tratamiento de datos y tampoco garantiza la completa información al interesado sobre el uso y tratamiento de sus datos. Asimismo, el avance tecnológico, el desarrollo de la inteligencia artificial y los nuevos mercados que han surgido dentro del análisis de data, hacen que el tratamiento de datos sea una ciencia en desarrollo que seguramente siempre estará un paso delante de la legislación, que sin duda la seguirá de cerca conforme la entienda.
Pero finalmente, ¿Qué entendemos por tratamiento de información?
Según el RGPD: “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
Así que cada que ejecutes una de estas acciones con información personal de tus clientes, clientes de tus clientes, socios, empleados, posibles clientes, ex clientes, etc., acuérdate que estás haciendo tratamiento de información personal y debes hacerlo lícitamente.
Responsable y Encargado
Es importante distinguir entre el responsable del tratamiento de los datos personales y el encargado del mismo. Un ejemplo clarísimo. Una empresa necesita una activación comercial para la venta de sus productos, contrata a una agencia de publicidad para encargarse de absolutamente todo el evento. La lista de invitados es por definición un fichero de datos personales, contiene nombres completos, quizás números de identificación personal y otros. Datos valiosos.
En este caso, el dueño y responsable de la información es el cliente que tiene una lista de invitados y se la proporciona a la agencia de publicidad, que entonces se convierte en “encargada” de esta información.
Esto resulta importante para asignar correctamente las responsabilidades, obligaciones, funciones y eventuales sanciones a quienes ejecutan el tratamiento de la información. El “responsable” puede definirse simplemente como quien tiene poder de decisión sobre la información. Es decir, sobre qué datos procesar, las finalidades, los medios, etc. El “encargado” se asocia generalmente con quien presta un servicio de procesamiento de datos, bajo las instrucciones y con las finalidades determinadas por el responsable. Aquí se aplicaría burdamente la teoría del rango militar, siendo el oficial de rango mayor el “responsable” de la orden y el cabo que la ejecuta sería el “encargado”, quien simplemente sigue una orden y – en teoría – no necesariamente entiende a fondo que está haciendo con los datos.
Nuevamente, es importante tener en cuenta que, en el mundo digital, estos conceptos simples a nivel micro y off-line se complican muchísimo en su aplicación macro y online, cuando se trata de algoritmos complicadísimos técnicamente que más bien muchas veces solo el “encargado” puede entender, debido a las complejidades técnicas del servicio de tratamiento de información que ofrece.
Por ejemplo, un ingeniero de sistemas que escribe un algoritmo sofisticadísimo de tratamiento de datos que solamente él sabe “operar” correctamente, es contratado por una empresa para obtener datos para mejorar sus ventas. El ingeniero que pasa los datos por su software para obtener estadísticas es el “encargado” y la empresa contratante seria el “responsable” del tratamiento de la información.
¿Por qué son importantes los datos personales?
Desde siempre, contar, catalogar y recolectar han sido actividades naturales para el hombre. Asignarles números y códigos a las cosas ha permitido el desarrollo de la sociedad moderna, de su economía, la protección de la propiedad privada, el desarrollo de la educación y de cultura. En fin, la importancia de los datos (personales o no), es evidente y es enorme.
Sin embargo, el mundo en el que vivimos ahora, es un mundo digital y de la información. Según datos actuales, en 2018 había 22 billones de dispositivos conectados al internet, la previsión es que en 2025 tendremos 38.6 dispositivos conectados y 50 billones el 2030. Según Forbes “Los datos se están comiendo al mundo” (https://www.forbes.com/sites/gilpress/2019/06/30/why-has-mary-meeker-missed-the-most-important-internet-trend-data-is-eating-the-world/?sh=64c3e36e5bbe).
El proyecto “¿Cuánta información?” de la Universidad de Berkeley en California, dedicado a medir la cantidad de información producida cada año, estima que cada año, la cantidad de producción de información requiere 1.5 billones de gigabytes de almacenamiento, es decir 250 megabytes por cada hombre, mujer y niño en el planeta: (https://groups.ischool.berkeley.edu/archive/how-much-info/how-much-info.pdf).
Las razones son varias, pero una de las principales es evidentemente el hecho de que la información y los datos son un insumo imprescindible para el desarrollo de los mercados y de la economía como la conocemos. Las sociedades y comunidades digitales también dependen de la información que producen para existir. De hecho, prácticamente todo en el mundo digital está construido a base de datos e información.
Personales o no, los datos son valiosos y son necesarios. Es clave tener en mente que los derechos relativos a la protección de datos no son derechos absolutos ni ilimitados. Los datos también deben circular libremente, son necesarios para cumplir ciertas obligaciones legales (imagina un contrato sin datos precisos, personales o no) y para la innovación y desarrollo económico y comercial. Los datos nos ayudan a tomar mejores decisiones, ser mejores líderes y profesionales en general. Por tanto, la protección de datos no debe implicar la censura o control absurdo de los datos y la información. Al contrario.
Protección de datos y Propiedad intelectual
Los dejamos con una pequeña precisión que es importante tener en cuenta. Los derechos de protección de datos o derecho a la privacidad, no equivalen a los derechos que te protegen contra la copia y/o uso de tus creaciones (ya sean artísticas, industriales, comerciales, etc.).
La propiedad intelectual (derechos de autor, marcas y patentes) responde a otro tipo de protección, pero igual de importante, tanto para el individuo como para las empresas. Cierto tipo de información merece ser registrada y atribuida a su creador, como una canción, por ejemplo. O una marca comercial, que debe ser distinguida de otras. El simple hecho de crear algo y de producirlo como información, no nos da derechos de exclusividad sobre su uso y explotación de manera automática. Estos derechos nacen del registro de esa información ante una autoridad competente.
En otra ocasión escribiremos sobre este tema, igual de fascinante y relevante. Por el momento, espero que estos datos sobre protección de datos te sean útiles o por los menos interesantes.
Si quieres saber más visita sobre Colectivo Marketero visita nuestra:
Biblioteca de contenidos
En Colectivo estamos comprometidos en ayudar a todos las empresas, negocios y emprendedores que buscan ser parte del mundo digital.
Enfrentemos juntos los retos y actualizaciones que suponen las plataformas digitales, enfocados siempre en conseguir los objetivos que se delinean en las estrategias digitales, con calidad, excelencia e innovación.
