La información recogida de internet a través de los Social Media contiene datos personales públicos que las personas comparten, a veces consciente y otras muchas inconscientemente.
Además los buscadores recopilan información en múltiples páginas web, en las que a veces también se hace alusión a datos personales
La reciente sentencia del derecho al olvido permite que alguien pueda solicitar que algunos datos puedan ser omitidos de los resultados de una búsqueda. Sin embargo este mecanismo no borra en cadena toda la información que terceros hayan recopilado a su vez del buscador y hayan almacenado.
Por otro lado, la mayor parte de las personas utilizamos teléfono o dispositivos móviles en general cuyas condiciones de uso incluyen el envío de nuestra información a servidores situados en Estados Unidos. Para salvaguardar en parte nuestra información con unos derechos básicos se establecieron los acuerdos Safe Harbor (puerto seguro) entre la Unión Europea y Estados Unidos, que impiden cesiones ulteriores. Esto evita problemas si los datos se enviaran a países sin legislación de protección de datos, pero no establece tampoco las mismas garantías que la ley española.
Además, un problema que existe con la actual ley española (Ley Orgánica 15/1999), trasposición de una normativa europea (Directiva 95/46/CE) es la indefinición de lo que se considera un dato médico. Esto tiene un serio problema pues exige un nivel de protección mucho mayor y, ante la duda, las empresas consideran el dato como no médico por este requerimiento.
Los registros con el pulso cardíaco de las personas, por ejemplo, empleados en aplicaciones deportivas, y más si además incluyen posición GPS, pueden cumplir perfectamente la función de datos médicos o no, en función de la interpretación que se haga. Se está trabajando en Europa (Grupo de Trabajo del Artículo 29) un nuevo reglamento que intente avanzar en general en la protección de datos y, tal vez, acotar un poco más este punto.
El enmascaramiento de los datos como medida de protección debe ser irreversible, y no debe haber datos complementarios que permitan identificar al usuario.
El consentimiento como herramienta para que los usuarios tengan en su mano qué usos dan a sus datos personales choca con unas condiciones de uso de los productos y servicios excesivamente largas y completamente incompresibles para profanos en derecho. Suponen una situación desigual para el cliente ante la empresa, que supone que autoriza muchos condicionantes de cesión de datos sin la correspondiente compresión de su significado.
Además, la finalidad de los datos debe estar indicada desde el principio en el consentimiento personal de los datos que se recogen, incluidos tratamientos estadísticos agregados sin información personal.
En este sentido, las cada vez más omnipresentes “nubes” o cloud computing, tienen que considerar este aspecto cuando mandamos nuestros datos a la nube. Un ejemplo son los datos que gestionamos en las aplicaciones de nuestros clientes o empleados, aunque sea el backup de los mismos el que se mueve. Estas nubes tienen amplia documentación para cumplir con los preceptos legales por zonas geográficas. En ese sentido la nube de Microsoft Azure ha sido especialmente cuidadosa con el cumplimiento de la legislación Europea y las trasposiciones locales.
Por último, de cara a minimizar los riesgos sobre los datos personales, los diseñadores de las aplicaciones tenemos que tener en cuenta este punto desde el principio: “Privacy by design”. En ese sentido la “Guía para la evaluación de Impacto en la protección de datos personales” se puede consolidar como una herramienta eficaz para ello
Google derecho al olvido:
http://www.abc.es/tecnologia/redes/20140530/abci-google-derecho-olvido-201405301014.html
Safe Harbor
http://es.wikipedia.org/wiki/Principios_internacionales_safe_harbor
Azure:
http://azure.microsoft.com/es-es/support/trust-center/compliance/
Microsoft es la primera compañía en recibir la aprobación conjunta del Grupo de trabajo Artículo 29 de la Unión Europea por sus fuertes obligaciones contractuales para cumplir las leyes de privacidad que la Unión Europea independientemente del lugar en el que se encuentren los datos.
Privacity in the Cloud (White Paper)
http://go.microsoft.com/?linkid=9694913&clcid=0x40a
AWS:
http://aws.amazon.com/es/compliance/
Privacy By Design
https://www.privacybydesign.ca/content/uploads/2009/08/7foundationalprinciples-spanish.pdf
Guía para la evaluación de Impacto en la protección de datos personales
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf
Social Links: