GDPR afecta a tu organización aunque estés a 10,000 km. de Europa

por Atalait el Jul 19, 2018, 5:08:30 PM

GDPR-parte-1El problema principal: Las inferencias que pueden realizarse a partir de los datos personales. Muchos usuarios de Internet desconocen cómo funcionan las herramientas que recopilan sus datos.

Investigadores de la Universidad de Syracuse y la Universidad de Sapienza en Roma concluyeron lo anterior tras platicar con personas que pensaban que su software de antivirus podía evitar que websites y anunciantes rastrearan su actividad de navegación. Algo que podría sonar lógico, pero es equivocado.

Otros periodistas e investigadores también han encontrado indicios de las posibles consecuencias negativas, intencionales o no, que puede tener la recolección de datos personales. Esto lo lograron creando anuncios y cuentas falsas, para ver que hacían las compañías de tecnología con la información.

Los reporteros de ProPublica, por ejemplo, compraron anuncios relacionados a bienes raíces en Facebook que excluían grupos asociados a “grupos de afinidad étnica” establecidos por Facebook. Estos anuncios lograron excluir a grupos étnicos aun cuando las leyes inmobiliarias prohíben la discriminación por raza o etnicidad.

Estos hallazgos llevaron a Facebook a evitar que los anunciantes excluyeran grupos étnicos de ver ciertos tipos de anuncios.

Por su parte, investigadores en la Universidad de Carnegie Mellon crearon cuentas de usuarios falsas y obtuvieron información en los anuncios de “display” de google que indicaban que ciertos anuncios ofertando posiciones laborales podían ser vistos solo por hombres, excluyendo así a las mujeres.

Google atribuyó los resultados a factores que no estaban basados en género, como que el anunciante se había orientado a sitios web que eran visitados por un mayor número de hombres que de mujeres. La realidad es que un análisis estadístico puede llevar a los científicos de datos a predecir los intereses de las personas con bastante facilidad.

Esto sin duda se volverá un tema mucho más relevante conforme se integren herramientas de Inteligencia Artificial a las tareas de análisis de datos, lo que sin duda generará predicciones más poderosas.

GDPR: Un nuevo poder en la Unión Europea

El GDPR (Reglamento General de Protección de Datos) puede hacer las cosas más transparentes para los residentes de la Unión Europea. Esta ley da a las personas el derecho de especificar cómo quieren que se utilicen sus datos personales. Esto significa que los residentes de la UE pueden decir “puedes obtener mi información, pero no usarla para hacer anuncios específicos para mí.”

Las personas también podrían solicitar copias de todos los datos que las compañías han recolectado sobre ellos y pedirles a dichas compañías que la borren.

El GDPR está generando políticas de privacidad actualizadas incluso para los que no vivimos en Europa. En este sentido, algunas compañías globales como Microsoft, Apple, Twitter y Facebook han indicado que extenderán al menos algunos derechos basados en GDPR a los usuarios globales, sin embargo en este momento no se anticipa que la Unión Europea se involucre en casos fuera de su territorio.

GDPR-parte1-ch

En la realidad, tal vez pocos consumidores leerán una sola de las actualizaciones a las políticas de privacidad que reciben, sin embargo es importante tener claro que cada email que una persona recibe, significa que  alguna organización tiene al menos algo de los datos personales..

GDPR, parte nuevamente de la premisa de que todo individuo tiene derecho a mantener una vida privada, en la cual no existan intromisiones ni difusión pública de cada actividad, de su estado de salud, datos o información íntima o personal del individuo que pueda resultar en un alto riesgo sobre sus derechos y libertades.

GDPR incrementa las exigencias hacia las organizaciones y les permite a los usuarios:

  • Solicitar a los sitios web que borren la información personal que tienen sobre ellos.
  • Descargar todos los datos que la compañía posee sobre ellos.
  • Averiguar cómo está usando una organización sus datos personales.

Por otro lado, habrá quienes piensen que el hecho de que GDPR sea una regulación europea, podría implicar que solo tiene implicaciones locales, lo cual es falso. GDPR debe ser observado y cumplido por:

  • Organizaciones Europeas
  • Organizaciones extranjeras ubicadas en Europa
  • Organizaciones que manejen datos personales de ciudadanos europeos, sin importar donde se encuentren.

La importancia de cuidar y proteger los datos personales ha cobrado tal relevancia, que en Atalait anticipamos que es solo cuestión de tiempo, antes de que los mismos alcances y sanciones surjan como iniciativas en otros países del mundo.

En México específicamente, la Ley Federal de Protección de Datos en Posesión de Particulares (LFPDPP) se deriva de la ley Europea de 1995, lo cual sienta un precedente respecto a cómo se podría abordar la cuestión de hacer una ley más útil para los usuarios, a la vez de más estricta para las organizaciones.

Por otro lado, las compañías en Estados Unidos están tomando la iniciativa de GDPR con la misma seriedad que sus contrapartes europeas. De hecho, el cumplimiento con GDPR fue una de las prioridades más altas en cuestión de protección de datos en 2017, de acuerdo a encuesta realizada por PwC.

En dicha encuesta, prácticamente todos los participantes consideraron que el cumplimiento con el emblemático GDPR europeo, es una de las principales prioridades en lo respectivo a las agendas de privacidad de los datos y seguridad.

Estadísticas relevantes:

  • Más del 50% dicen que es la principal prioridad.
  • 38% dicen que está entre las prioridades principales.

El estudio llamado “Pulso sobre la Preparación hacia GDPR” liberado recientemente identifica porqué las organizaciones están dispuestas a gastar $1 millón de USD o más en planes preparatorios sobre GDPR.

Del estudio rescatamos el siguiente párrafo como ejemplo:

“Las multinacionales americanas que no han tomado pasos significativos para prepararse ante el GDPR, se encuentran detrás de sus pares. La típica corporación de Estados Unidos actualmente se está moviendo a través de una fase de descubrimiento de datos y evaluación hacia una iniciativa de remediación multimillonaria que incluye apuntalar capacidades estándar de privacidad de datos y seguridad en operaciones de Estados Unidos.

En la medida en que los reguladores clarifiquen en más detalle su interpretación de GDPR, más compañías americanas revaluarán el retorno de la inversión de sus iniciativas en Europa”.

“Ninguna legislación iguala el impacto potencial global de la Regulación General de Protección de Datos (GDPR) de la Unión Europea, que entra en vigor en Mayo 2018”

“La nueva ley se traducirá en demandas de privacidad en cascada que requerirán un renovado foco en la privacidad de datos personales para las compañías de Estados Unidos que ofrecen bienes y servicios a ciudadanos de la Unión Europea”

Jay Cline, Líder de Privacidad para Estados Unidos en PwC

Estadísticas relevantes:

  • Más del 50% de las organizaciones no están listas para GDPR.
  • 30% de las organizaciones planean contratar un Data Protection Officer (como lo requiere GDPR para organizaciones de cierto tamaño).

En Atalait anticipamos que el lanzamiento de GDPR representa apenas la primera etapa en una nueva era de mayor relevancia sobre la privacidad y protección de datos personales que tendrá ramificaciones a nivel mundial, lo invitamos a tomar nuestro pequeño test para conocer que tan preparada está su organización para responder a mayores exigencias en el ámbito de la protección de datos.

Para tener una discusión en mayor sobre como prepararse para GDPR, acérquese a nosotros.

Reporte Especial de Protección de Datos personales