¿Es ética la política de privacidad de las empresas? - GenÉthico
17572
post-template-default,single,single-post,postid-17572,single-format-standard,bridge-core-1.0.5,ajax_fade,page_not_loaded,,qode-title-hidden,side_area_uncovered_from_content,qode-theme-ver-18.1,qode-theme-bridge,qode_header_in_grid,wpb-js-composer js-comp-ver-6.0.2,vc_responsive
politica de privacidad de datos - genethico

¿Es ética la política de privacidad de las empresas?

“He leído y acepto la política de privacidad de datos” es la mentira más repetida que firmamos todos los individuos del planeta en algún momento de nuestras vidas. Accedemos a entregar nuestros datos sin asegurarnos de qué entregamos, a quién y bajo qué. condiciones .

La ética está en el corazón del Desarrollo Sostenible y no lo es menos a nivel empresarial. Ésta debe permear a toda la escala de valor de la empresa para mostrar su compromiso con la protección del planeta y los derechos humanos.

Se trata de establecer una serie de normas de actuación por parte de cada individuo así como de parte de la organización basándose en los valores empresariales que se quieran promover.

La ética debe implementarse en todas las áreas de la empresa, entre otras, a la recopilación y gestión de datos por parte de la misma.

Para ello hablamos con Lucía Canga, experta en política de privacidad de datos a nivel europeo.

¿Por qué es necesaria la política de privacidad de datos (desde la perspectiva de la empresa y del consumidor)?

La política de privacidad de datos es una declaración pública de la empresa, en la que le explica al consumidor qué comportamiento tiene con los datos. Es un poco como una vitrina, en la que se enseñan los productos a los clientes, pero con los datos personales. Además de que exista una obligación legal de tener esta declaración pública, toda empresa tiene un interés en ser informativo hacia el consumidor para crear con él, una relación de confianza.

Por el otro lado, desde el punto de vista del consumidor, pienso que a día de hoy esta política de privacidad no se tome suficientemente en serio o simplemente, no se entienda. A pesar de que el consumidor pueda elegir a una empresa o a su competidor según el uso que cada una de ellas haga con sus datos personales, no creo que el propio consumidor elija por este criterio. Parece ser que las políticas de privacidad estén escritas para cumplir con un requisito legal, mas bien que para acompañar a los consumidores. De ahí que los equipos jurídicos deberían simplificar el lenguaje utilizado en éstas y promover el uso ético de los datos personales como una ventaja competitiva.

¿La gestión interna de los datos cómo debe ser? ¿Cuál es el proceso de recopilación y de tratamiento de éstos?

Los datos personales pueden ser recopilados directamente por la empresa, o de manera indirecta (una empresa puede dar acceso a otra empresa a los datos, siempre y cuando haya un contrato bien definido que lo permita). En cualquier caso, justo antes de que los datos sean recopilados, se debe informar al consumidor de la actividad que se piensa hacer. 

Una vez que los datos hayan sido recopilados, la empresa debe establecer unas pautas a seguir para que independientemente del departamento que necesite usar los datos, se respeten los datos con el mayor respeto, se pongan al día y se borren cuando sea necesario.

¿Cuáles son los valores en los que debemos basar nuestra política de recolección y de tratamiento de datos?
La propia ley de protección de datos (LOPD) exige el respeto de ciertos principios y valores en cada actividad de tratamiento de datos: 
1 -licitud, lealtad y transparencia: estos son los tres valores básicos de toda actividad que implique el uso de datos personales: toda actividad debe hacerse de manera legal, con el respeto hacia el consumidor y con la mayor transparencia posible.
2- limitación de la finalidad: todo dato personal recogido, cumple con una finalidad específica. No está autorizado extender este uso a otras actividades que no estén descritas en la política de privacidad.
3- minimización de datos: nada de conservar datos personales “por si acaso” sino que solo se recopila lo mínimo necesario para la actividad.
4- exactitud: los datos personales deben ser precisos y se debe permitir a las personas, actualizarlos. 
5- limitación del plazo de conservación: todos los datos tienen una cierta vida y tiempo necesario de conservación. Pasado este plazo, los datos deben ser borrados.
6- integridad y confidencialidad: los datos personales de los clientes deben ser protegidos con medidas de seguridad, con el objetivo de protegerlos de ciberataques, u otro tipo de brechas de seguridad. 
7- responsabilidad proactiva: este principio se ha añadido recientemente en la ley y me parece de los mas importantes de todos. Significa que ahora las empresas tienen la obligación de ser proactivas en cuanto al uso de datos personales y por lo tanto, tener mayor contacto con los consumidores con tal de poder transmitir todos los valores precedentes. 
 
¿En qué momentos es relevante la ética?¿Se aplica en todos los pasos del proceso (recopilación, tratamiento, uso, gestión,…)?

Totalmente. En protección de datos se habla de “El ciclo de la vida de los datos” que es el proceso en el que 1) se recopilan los datos, 2) se usan 3) se ponen al día y 4) se borran. En cada una de estas etapas –  incluso en la propia concepción del proyecto – se deben aplicar los valores de los que acabamos de hablar y una ética. La complicación está en que hoy en día sigue habiendo una diferencia importante entre la teoría y la práctica: aunque la teoría diga que los datos personales se tengan que borrar al cabo de un tiempo determinado, en la práctica, esto no se respeta siempre de manera sistemática.

Muchas empresas conservan los datos “por si acaso”, extienden la finalidad para la que se han colectado los datos inicialmente (sin informar al consumidor), lo que impide el respeto de la ética en el este ciclo de vida de los datos. De ahí, que la ética de protección de datos se transmita a todos los empleados, se hagan formaciones y haya una un ejercicio de concientización empresarial sobre la importancia del trato de éstos.

En cuanto a la tipología de datos, ¿es únicamente relevante (la ética) al gestionar datos más personales (ej.: nombre, email, …)? 

Hoy en día, sólo los datos personales están protegidos por la legislación. Obviamente que existen cosas como “el secreto de empresa” y mecanismos así que permiten que se protejan datos no personales, pero de una manera totalmente distinta. En desafío actual, en cuanto a la legislación de datos no personales, está en la emergencia de tecnologías innovadoras como ‘la blockchain’, la inteligencia artificial etc. que se alimentan de lo que llamamos ‘Big Data’, es decir, una cantidad muy grande de datos, sin que haya regulación alguna. Actores de la esfera internacional como la Comisión Europea y la OCDE, no conciben la utilización de estas tecnologías sin una ética que limite las posibilidades de estas tecnologías.

Una vez que el consumidor o comprador entrega sus datos, ¿hasta qué punto pertenecen a la empresa? ¿Qué puede y qué no hacer ésta con ellos? ¿Hasta qué punto puede solicitar recuperar sus datos y que los eliminen de la base de datos?

Cuando se trata de datos personales, éstos no pertenecen a la empresa. Lo veo mas bien como un préstamo, una autorización del consumidor a que la empresa trate sus datos, siempre y cuando éstos se respeten, y siempre y cuando el consumidor tenga el derecho de pedir a la empresa que borre estos datos cuando lo pida (aunque la empresa pueda utilizar algunas excepciones legales para aun así tener que conservar ciertos datos personales).

Como decíamos al principio, ahora las empresas tienen una obligación proactiva de tratar estos datos conforme con la ley. Si la empresa no es capaz de cumplir con estos requisitos o no tiene los mecanismos internos que le permitan cumplir con las solicitudes de sus consumidores, no debería recopilar datos personales. Hacerlo, representaría un riesgo considerable para la empresa ya que las Autoridades de control pueden imponer multas de hasta 20 millones de euros (o hasta el 4% de los ingresos anuales de la empresa) o incluso la suspensión del procedimiento, lo que dañaría mucho a la empresa además del impacto reputacional.

Los términos empleados en las políticas suelen ser técnicos y, por tanto, dificultan el entendimiento de todx la población. ¿Es ético hacer firmar algo que no siempre se entiende?

Para nada. No debería ser así. De ahi, que la obligación de información hacia el consumidor, se convierta en desinformación y algunas empresas se aprovechen de ello. Este tipo de comportamiento no ético está altamente penalizado por las Autoridades de control, que exigen que la información sea clara, inteligible y se adapte según su público. Lo que significa, por ejemplo, que una política de privacidad sea distinta según se muestre a un adulto o a un niño, se adapten según se hagan en papel o electrónicas, que se tengan varias versiones en diferentes idiomas según el público etc. 

Ahora con la pandemia presente son muchas las empresas que deben recurrir al e-commerce, a mostrar sus servicios a través de códigos QR, etc. Todo ello se realiza a través de nuestros dispositivos móviles… ¿cómo controlar qué datos entregamos y para qué? ¿Entiende la gente lo que hace cuando acepta las cookies?

Esta pandemia ha creado muchos desafíos en materia de protección de datos. Efectivamente, una de las primeras consecuencias de la pandemia, ha sido el aumento del uso de tecnologías, e-commerce, y por lo tanto, un incremento de recolección de datos personales. Este efecto ha causado un agrandamiento exponencial de brechas de seguridad, poniendo en riesgo los datos personales de miles de personas. 

Además de esto, el COVID ha empujado a que los países creen estas apps para poder controlar a las personas contaminadas. El problema es que con la “excusa” (aunque tenga base legal válida) de proteger el interés público y por la salud de todos, los individuos acaban proporcionando sus datos personales por todas partes: en restaurantes, bares, aeropuertos, spas etc. Se podría cuestionar esta práctica, que, a pesar de ser jurídicamente válida, pase a ser desproporcionada en cuanto a la cantidad de información recabada y su duración.

El tema de las cookies, es muy complicado. La propia legislación sobre las cookies está completamente fragmentada y depende de las reglas de cada país por separado. Esto no tiene mucho sentido en el mundo globalizado en el que vivimos, donde las páginas web son accesibles en todo el mundo. Eso significa que una página web pueda emplear cookies de manera distinta según la localización del consumidor y eso es en así algo complicado de simplificar y poner por escrito para el entendimiento del usuario. Pienso que la responsabilidad de facilitar la comprensión de las cookies, las tienen las empresas y cuanto más claras y transparentes sean, mayor será la aceptación libre y válida de las cookies en la página web. 

Quizás te interesen estos artículos…

  • El futuro de la alimentación
    Para analizar y entender el futuro de la alimentación debemos establecer un contexto. Con independencia del valor de cada divisa, un plato de comida a un habitante de Sudán le cuesta un 115% de lo que gana al día frente al 0,6% que le cuesta…
  • Las 3Rs, base de la economía circular
    Las 3Rs son un concepto que se oye a menudo cuando hablamos de desarrollo sostenible. Sin embargo, muchos son los que aún no entienden la complejidad detrás del mismo.  Las 3Rs hacen referencia a los términos que definen las acciones de reducir, reutilizar y reciclar….
  • La metodología del aprendizaje
    La educación es un tema muy amplio. Abarca infinidad de momentos del ser humano a pesar de que lo asociamos, en primera instancia, a los primeros años de vida educativa de una persona. La metodología del aprendizaje se ha ido perfeccionando con el tiempo. De…