O enorme valor dos datos de carácter persoal
O 25 de maio de 2018 será de obrigado cumprimento para todos os Estados membros o Regulamento Europeo de Protección de Datos (2016/679) que xa leva en vigor dende a mesma data de 2016 aplicándoselle eses dous anos de “gracia”. As leis dos Estados deberán adaptarse a esta normativa e cumprila escrupulosamente, agardándose que en novembro entre nas Cortes de Madrid o novo anteproxecto de lei. O Regulamento, en principio, reforza o control das persoas sobre os seus propios datos e temos que estar hipersensibilizados da transcendencia de exercer ese control. As empresas, determinados gobernos e/ou aspirantes a gobernar, as organizacións delituosas e quen sabe quen máis están á espreita para apoderarse do oro negro deste século e utilizalo en beneficio propio.
O impacto da Sociedade da Información neste ano pode resumirse no que ocorre nun minuto en internet: 16 millóns de mensaxes en WhatsApp, 4,1 millóns de vídeos reproducidos en YouTube, 900.000 entradas en Facebook, 452.000 tweets, 156 millóns de correos electrónicos, 3,5 millóns de procuras en Google e 751.522 dólares en compras “on line” entre moitas outras cousas, e todo elo en 60 segundos. Parecía preciso pois adaptar a normativa a esta realidade, aumentar a transparencia para as persoas, reforzar o control de estas sobre os seus propios datos, sensibilizar aos “ben intencionados” sobre a importancia destes aspectos e garantir o consentimento do interesado en todo tratamento que se faga cos seus datos de carácter persoal.
Levamos moito tempo insistindo na cara oculta das técnicas de big data e intelixencia artificial si estas se empregan maliciosamente para modelar estados de opinión e manipulalos para cambiar gobernos, tendencias de compra e todo o que se nos ocorra. Se como se fala Mark Zuckerberg, creador de Facebook, se presenta as eleccións estadounidenses de 2020, adivíñese quen será o novo líder do mundo. Precisamos de normativas pois que nos protexan dos grandes xigantes manipuladores da información, os controlen e manteñan a raia a base de sancións multimillonarias, pois multimillonarios son os beneficios. E precisamos tamén concienciarnos da importancia de protexer os nosos datos.
A normativa potencia enormemente a necesidade da conformidade do interesado que até o de agora podía ser tácita. Agora esta conformidade ten que ser libre, específica, informada e inequívoca, coa expresa manifestación de vontade. Cousa importante é tamén que os tratamentos dos nosos datos teñen que estar limitados á finalidade da súa obtención e ademais hai a prohibición expresa da toma de decisións baseadas unicamente no tratamento automatizado. É dicir non se pode, por exemplo, elaborar o noso perfil por un proceso automatizado, caso de negarnos un crédito por aparecer nunha listaxe de morosos, de solvencia patrimonial na nova denominación, cando esa circunstancia pode ser debida a unha discrepancia, unha débeda mínima, un erro ou calquera outra circunstancia.
Seguimos a ter, como é lóxico, categorías especiais de datos persoais de especial protección pola súa sensibilidade, tales como a orixe racial ou étnica, as opinións políticas e/ou militancia, conviccións relixiosas ou filosóficas, adscrición a sindicatos, datos xenéticos, biométricos (de identificación única e inequívoca), de saúde e de orientación sexual. Hai excepcións no seu tratamento como o consentimento do interesado, os necesarios no eido do emprego, na seguridade social, aqueles que sexan manifestamente públicos e os necesarios tanto para a prevención médica como para a atención social.
Un dos puntos clave do novo regulamento é a transparencia e obriga ao responsable do tratamento a aplicar políticas transparentes e accesibles, facilitando ao interesado calquera información e comunicación relativa ao tratamento nunha linguaxe sinxela e clara.
Como vemos moitas destas cousas son agora incumpridas na nosa pegada nas redes sociais e nos motores de procura. Todo menos transparentes, non temos nin idea de que información teñen de nos, nin para que a utilizan, incluídos datos sensibles. Sabemos que a normativa está ao noso favor pero como non nos concienciemos dos nosos dereitos e tamén protocolicemos as nosas actuacións nas redes para dificultar o máximo posible a utilización dos nosos datos e a creación de perfís persoais, de pouco vale. Somos a principal fonte de información e os nosos datos son diamantes en bruto, antes do tratamento, logo xa son directamente diamantes. Incluso o Financial Times ten calculado o valor en cartos segundo a súa categoría. A Axencia Estatal de Protección de Datos polo de agora non traballa de oficio por falla de persoal, quitando algunhas excepcións, senón a través de denuncias. Sabendo isto temos que estar alerta e dispostos a denunciar calquera vulneración do regulamento.
Hai outro punto controvertido cal é o dereito ao esquecemento. O texto chámalle supresión, e obriga ao xestor dos datos a borrar nos seus ficheiros aqueles datos que o interesado considere. Como se comprende, na actualidade é imposible que determinada información desapareza das redes, tanto pola súa “capacidade reprodutiva” como pola variedade de formatos e propietarios de fontes nos que unha información pode aparecer. Por elo a normativa se ten que conformar con obrigar a borrar os datos naqueles sitios identificados, sendo imposible o total esquecemento de algunha información. En Europa Google recibiu máis de 700.000 solicitudes sobre máis de 2 millóns de enderezos web, das cales foron atendidas e eliminadas o 44 %.
Temos tamén dereito a portabilidade dos datos. Isto quere dicir que o depositario dos mesmos está obrigado baixo petición a proporcionarnos os mesmos nun formato que non sexa propietario e que sexa lexible ou tratable por calquera outro sistema, liberándonos así de provedores cos que xa non queremos seguir colaborando e pasar os datos a outros sistemas. Así mesmo calquera violación na seguridade dos datos ten que ser reportada inmediatamente ao seu propietario.
Circunstancia interesante é cando os datos non son obtidos a través do interesado. Neste caso temos o dereito a que se nos comunique tal circunstancia no momento do rexistro cun prazo razoable indicando a fonte de onde proceden. Existen algunhas excepción como cando a información xa é coñecida ou a comunicación resulte imposible ou supoña un esforzo desproporcionado.
Figuras para a Administración e para a maioría de empresas pasan a ser o responsable do tratamento, o encargado do tratamento (hai que protexer os datos dende o deseño) e sobre todo pola súa importancia e obrigatoriedade na administración e certas empresas o Delegado de Protección de Datos que en esta materia non pode ter ninguén por encima estando protexido incluso do despido, salvo se non cumpre coas condicións para o desempeño do posto.
As sancións poden ser gravísimas partindo de 200.000 euros, aínda que na Administración o lexislador estatal pode limitalas a sancións administrativas e consecuencias políticas, caso que parece que será o do Estado central. De todos os xeitos as indemnizacións son cousa distinta e poden ser particularmente graves.
Para rematar temos que insistir novamente na nosa propia responsabilidade e concienciación no valor dos datos de carácter persoal e ser especialmente coidadosos na súa protección. Ninguén da nada gratis e cando nos regalan algo a cambio de dar determinados datos temos que ter por seguro que estes valen moitísimo máis que aquelo que nos regalen, xa sexa material ou intanxible.