Este jueves durante un encuentro con el público de la feria de la tecnología de París, Viva Tech, Mark Zuckerberg, CEO de Facebook, anunció que la plataforma implementará el Reglamento Europeo sobre Protección de Datos -GDPR, por sus siglas en inglés- sobre sus 2 mil millones de usuarios que tiene en el mundo entero.
Afirmó que la normativa está en sintonía con los valores de la empresa.
“El GDPR se centra en unos pocos principios: control y transparencia sobre el uso de la información, así como rendición de cuentas cuando las empresas hacen un mal uso de ella. Y esos son valores que siempre hemos compartido. Ahora que lo hemos hecho en Europa, queremos asegurarnos de que todo el mundo disfruta del mismo tipo de controles fuertes”, afirmó.
Explicó que el proceso de actualización de las condiciones de privacidad de los usuarios de Facebook a nivel mundial durará “unas semanas”.
Por su parte, la jefa de privacidad de la compañía, Erin Egan, informó mediante un comunicado que a partir de esta semana van a pedir a todo el que tenga una cuenta en Facebook que consulte información importante sobre sus datos privados y el control de la navegación en la red social. “La gente nos ha dicho que quiere explicaciones más claras sobre la información que recogemos y la forma en que las utilizamos“.
Pero, ¿en qué consiste el GDPR?
Primero hay que señalan que el reglamento fue aprobado desde el 25 de mayo de 2016 pero entrará oficialmente en vigor el próximo 25 de mayo de 2018.
Es el resultado de varios años de debate entre los diferentes organismos, instituciones y gobiernos, así como las autoridades de protección de datos europeas y las empresas. Lo anterior como consecuencia del avance de las nuevas tecnologías en los últimos años, es decir que se ha tenido que regular más a detalle los aspectos que derivan de la evolución tecnológica, como son la privacidad y la protección de datos.
Hay que mencionar que será aplicado no sólo a las empresas o profesionales responsables del tratamiento de datos, con domicilio social en Europa y que presten servicios a ciudadanos europeos, sino también a las empresas o profesionales con domicilio social fuera de la UE y que manejen datos como consecuencia de su oferta de bienes o servicios destinados a ciudadanos europeos.
Por ejemplo, Amazon o Google Anaytics.
¿Cuáles son los principales cambios?
Básicamente las nuevas reglas hacen énfasis en el análisis de impacto de privacidad, en el deber de información, el consentimiento, la transparencia, la seguridad y la garantía de los derechos ciudadanos en relación con la protección de su privacidad.
Lo primero aparece en el reglamento como Privacidad por Diseño o Privacidad por Defecto.
Esto es básicamente que si se tiene un proyecto de desarrollo de una app o de una plataforma online para la venta de productos u oferta de servicios, se tendría que hacer un análisis de la privacidad por diseño que implicaría hablar de cómo se van a recabar los datos del usuario, cómo de se debe informar el tratamiento de los datos, cómo se va a almacenar la información y si la cantidad de información es pertinente o es demasiada.
Lo siguiente se refiere a la identificación de quién está detrás del tratamiento de datos y qué va a hacer con ellos. En el caso de las personas físicas se tendrá que informar la identidad del responsable de la gestión, las identidades de los destinatarios de la información, los fines de usar datos personales y el fundamento jurídico correspondiente, la medida en que la información será tratada y el plazo en que se conservarán los datos personales.
Se recalca ahora sí el tema del otorgamiento de consentimiento por parte de los usuarios, es decir que a partir de ahora el consentimiento se tiene que producir por una declaración del interesado -o una acción positiva- en lugar de que la conformidad se otorgue por default.
Ahora las empresas o plataformas online tendrán que tener sistemas que sí puedan garantizar que se otorgó el consentimiento de uso de datos.
Hablando de medidas de seguridad, se debe garantizar que la infraestructura de la empresa asegure un correcto tratamiento y almacenamiento de los datos de sus clientes o usuarios. Principalmente se deben establecer accesos seguros al sistema de la empresa o a sus bases de datos, procedimientos de copias de seguridad suficientes y tomar medidas especiales para evitar fuga de datos, instalación de malware, así como crackeos, denegaciones de servicio, daño a los sistemas informáticos, etc.
