Hemos actualizado nuestra política de privacidad
El reglamento general de protección de datos ya entró en vigencia. Si bien es una regulación de la Unión Europea, ¿de qué manera afecta a las empresas en la Argentina? La frase se replicó en millones de mails alrededor del 25 de mayo pasado. Es que ese día entró en vigencia el reglamento general de protección de datos (GDPR, por sus siglas en inglés). Había sido sancionada dos años antes y en ese lapso las compañías que trabajaban con datos de ciudadanos europeos o con servers alojados en esa región debieron adaptarse. Si bien se trata de una normativa del Parlamento Europeo, tiene repercusiones por fuera. En primer lugar, las gigantes de la web que concentran la pauta digital, Google y Facebook, alinearon sus políticas a nivel mundial. “GDPR impone nuevas obligaciones a Google, pero también a cualquier empresa que ofrezca servicios a personas en la UE. Eso incluye a nuestros socios alrededor del mundo”, explica Google por medio de un comunicado. “Para nuestros socios publicitarios –continúa– clarificamos la manera en que nuestras políticas publicitarias cambiarán cuando la GDPR entre en vigor”. Es decir, si esta empresa aplica GDPR a todas las latitudes, lo cierto es que la normativa europea no conoce de límites. Algo similar ocurre con Facebook. Al igual que Google, las oficinas locales no se expidieron sobre el tema, sino que remitieron a la posición global debido a la sensibilidad que está en juego. “Presentamos nuevas experiencias de privacidad para todos en Facebook como parte de GDPR, que incluye actualizaciones a nuestras condiciones de servicio y política de datos. A todos, independientemente de dónde vivan, se les pedirá que revisen información importante sobre cómo Facebook usa los datos y tomar decisiones sobre su privacidad en la plataforma”, expresó Erin Egan, VP y Chief Privacy Officer. GDPR llega para cubrir un vacío, ya que la anterior reglamentación pertenecía a una era que parece prehistórica, antes del boom de Internet y de la aparición de las redes sociales. “La preocupación antes pasaba por tratar de asegurar que la información no salga de la empresa. Hoy va más allá, ya que los datos están en el éter, en la nube. Hubo un cambio de paradigma y de lo que se intenta proteger”, analiza Federico Tandeter, líder de Ciberseguridad de Accenture. Sobre las mayores implicancias de la ley, Tandeter señala que antes las normativas ponían el foco en las obligaciones de las empresas. En cambio, GDPR da vuelta la historia, ya que da el poder al usuario. Por eso se permite consultar qué información tiene la empresa sobre uno, corregir errores y hasta eliminarla. De hecho, Google y Facebook incluyen opciones para extraer toda la información que las plataformas acumularon y exportarlas en otros formatos. Otro de los temas que destaca es el asentimiento que deben solicitar las compañías a la hora de recolectar datos: “GDPR obliga a separar cada intención de uso de la información y obliga a pedir consentimiento explícito para ese propósito de uso. Tampoco se puede recurrir a mecanismos como un disclaimer, debe ser clara la aceptación”. Además, agrega que ya no se puede pedir información que sea mayor a la necesaria. “Si no tiene consentimiento, no puede usar más la data”, dispara en la misma línea Cristian Figoli, head of Amnet Argentina. Además, sostiene que debieron adaptar todas las prácticas en la agencia, debido a que forman parte de un grupo que tiene presencia a nivel mundial. Una de las estrategias que desarrollaron consiste en no tener acceso al dato específico de cada usuario. Según explica, “no queremos tener un excel con nombre, apellido
y documento. Preferimos evitar esa información y usar un sistema encriptado. Así trabajamos con nuestros socios que nos proveen la data”. En esa línea dice que muchas de las filtraciones o pérdidas de datos se explican por errores humanos. “Por eso –prosigue–, para procesar los datos es mejor tener sistemas automatizados. Así evitamos errores y nos aseguramos de que no se filtre”. En definitiva, ¿cuáles son los mayores impactos de la ley? Javier Chistik, territory account manager para el Cono Sur de Forcepoint, una compañía de seguridad informática, pone blanco sobre negro: “El usuario tiene derecho al borrado total de sus datos, al acceso (puede pedir explicaciones de qué se hace con sus datos) y a la portabilidad. Por ejemplo, pedir la copia de todos sus mails para llevarlos a otro servidor”. Para Luz Penin, directora de Research de Starcom, no se trata de un hecho que sucedió, sino que se está produciendo: “Estamos en estado beta, es todo un work in progress”. Su experiencia, además, le permite ver la cuestión humana por detrás de los números: “A veces se pierde la perspectiva de que detrás de los ceros y unos hay personas. En Research siempre lo tenemos presente y sabemos que le tenemos que pedir permiso”. El gran límite de la recolección de datos, para Penin, tiene ver con la posibilidad de individualizar a una persona. Históricamente se ha buscado conocer el comportamiento de alguien para venderle un producto, pero sin saber nombre y DNI de esa persona: “Si se cruzan algunos datos, como tu ID y la geolocalización, yo puedo saber dónde vivís, qué reocorrido hiciste, qué compraste”. Igualmente, y más allá de GDPR, conf ía en la autorregulación que la industria publicitaria puede hacer. “En la Argentina llegamos con cierto delay. En un punto es positivo, porque hay una curva de aprendizaje. Cuando llegamos a cierta instancia de crisis, sabemos cómo manejarlo”. Con el diario del lunes y la implementación de la ley, Andrés Mociulsky, head de Compra Programática de Havas Group Argentina, analiza algunas tendencias y ejemplifica: “Antes desde Youtube podías poner códigos de herramientas para trackear una campaña por fuera de Google. Hoy solo se admiten trackers del ecosistema Google. Tiene impacto en lo comercial, porque casi que te obliga a usar esas plataformas”. En el proceso, cuenta que tuvieron encuentros tanto con Google como con Facebook, quienes concentran el 80 por ciento del mundo digital: “Ellos nos brifearon sobre las nuevas reglas, les impacta directo. Y a nosotros, si bien la ley no está vigente acá, también nos pega colateralmente”. El abogado especializado en propiedad intelectual Nicolás Grinenco aporta un punto de vista distinto acerca del espíritu de la ley: “La normativa europea apunta a poner en regla a las compañías de Estados Unidos. El nivel de protección de datos del mundo anglosajón es distinto al continental”. En este sentido, sostiene que cobró importancia el oficial de cumplimiento, que representa a la empresa ante organismos europeos. Acepto las bases y condiciones (aunque no las haya leído) Quien quiera crear una nueva cuenta en Paypal debe aceptar las condiciones de uso de la compañía. El texto completo son más de 152.000 caracteres. Para tener un parámetro, la Constitución Nacional, con las disposiciones transitorias incluidas, tiene poco más de 80.000 caracteres. ¿Alguien realmente se detiene sobre cada oración? “Pasa lo mismo que con el contrato del seguro, nadie lo lee”, dice Penin, de Starcom. Relaciona esta cuestión a los escándalos que sufrió Facebook, que llevaron a Mark Zuckerberg incluso hasta el Congreso: “Los usuarios, en general, saben que algo pasó con sus datos. Facebook quedó manchado, perdió 20 millones de usuarios”. Igualmente, aunque sepa que no fue gratis, tampoco cree que será un desastre para la compañía. Desde la óptica de la ciberseguridad, Chistik cree que las bases siempre serán largas, pero que “te volvés paranoico o aceptás ciertas cosas”. Igual, ve con buenos ojos el vín-
culo entre estos documentos y GDPR, ya que brindará un marco mayor de protección: “Sin leer todas las bases uno sabe que estarán dentro de un marco regulatorio que da más protección”. De esta forma, el usuario podrá solicitar las cláusulas, como preguntar qué se hace con los datos o pedir que se borren. En la misma línea apunta Tandeter, de Accenture, quien cree que los términos y condiciones serán más limitados y no pueden incluir “cualquier cosa”. Igualmente avisa: “Van a ser más extensos porque GDPR los obliga a ser más explícitos”. Si no suelen ser leídas las condiciones de uso en general, mucho menos en el mundo mobile. Sobre esta cuestión alerta Mociulsky, de Havas: “En las apps nunca leemos las bases, y tiene sus implicancias. Puede levantar tu GPS y conocer tu ubicación”. Lo vincula al caso Facebook y asegura que hubo desarrolladores de aplicaciones que levantaban data de los usuarios sin pedir un consentimiento claro. Y Facebook no les exigía que fueran más explícitos. Desde lo jurídico, Grinenco destaca que la creación de un órgano de aplicación con más facultades le da más poder a la ley. Además señala que la reglamentación es más exhaustiva: “Impone que cuando existe una intrusión de un tercero y eso modifica o afecta al dato se debe informar al usuario del hackeo”. Cumplimiento y sanciones Veinte millones de euros o el 4 por ciento de la facturación, lo que sea mayor. Esa es la sanción máxima que prevé GDPR para las compañías que no cumplan con la normativa. Está claro que la UE tiene poder para hacer cumplir la norma en su territorio. Pero ¿podría hacerlo en la Argentina? ¿De qué forma? Grinenco echa luz sobre los aspectos legales. En primer lugar, cuenta que una empresa que comercializa en Europa tiene que revelar los datos de su cuenta bancaria. En ese caso sería embargada, lo que constituye una forma relativamente simple para sancionar. Pero si la compañía no tiene presencia en ese continente se abren otras opciones. “Se puede librar un exequatur. El organismo de aplicación tiene que ir a la Justicia de un país extranjero. Aunque es poco probable que suceda. Es la misma lógica que la AFIP, van por los peces gordos”. Chistik se detiene sobre el caso de las compañías locales sin operaciones en el viejo continente pero que tienen datos de sus ciudadanos o utilizan servicios de allá: “Entra en juego el derecho internacional y depende de los convenios judiciales bilaterales”. Esto es lo que sucedió, por ejemplo, con bancos centrales sudamericanos, que comenzaron a permitir el uso de la nube para los bancos. Se empezó a permitir, siempre y cuando el otro país tenga convenio judicial con la Argentina. Porque si un juez dicta un oficio para ver tu cuenta personal, aunque esté alojado en otro país tiene que poder hacerlo”. Los inconvenientes para una empresa local no pasan tanto por la posibilidad de que la UE le aplique sanciones, pero sí podría tener problemas para internacionalizarse. Hacía allí apunta Tandeter: “Si quiere operar en otro lado o acceder a información que procesan servicios de terceros en Europa va a tener que adaptarse. La tendencia va hacia ese lado”. Figoli, de Amnet, destaca el efecto dominó de GDPR: “Puso el tema en agenda hace dos años cuando se trató la ley y fue punta de lanza para iniciativas similares”. Destaca la ley de protección de datos de California, que tiene algunos puntos de contacto, sobre todo en cuanto al empoderamiento del usuario. Y lo mismo en Brasil, donde una ley con espíritu similar tiene media sanción. ¿Y la ley argentina? Grinenco se remonta al 2000, cuando se sancionó la ley de Protección de Datos Personales: “La Argentina es de los que está mejor parado en la región. Hay más protección que en Estados Unidos”. Gracias a esa ley se creó la Agencia de Acceso a la Información Pública. Igualmente, existe un proyecto de ley para actualizar la normativa. Fue presentado por la senadora del Movimiento Popular Neuquino Lucila Crexell, pero no es claro el impulso en el corto plazo. Las novedades de la norma se vinculan al mundo digital.