Sin categorizar

Al tratar los datos de las listas de e-mail basándose en permisos obtenidos de los suscriptores, los gestores de e-mail marketing tienen varias tareas a realizar en la captura, el procesamiento y la gestión de los datos de los usuarios para cumplir con el Reglamento.

Recopilación de datos de los suscriptores:

Según la normativa, los gestores deben utilizar el método de doble activación («double opt-in») para obtener el consentimiento de sus usuarios. También hay que informar a los usuarios de que se están recogiendo sus datos. Y llevar a cabo una auditoría interna ayudará a los gestores a comprender qué tipo de datos de suscriptores tienen y los que aún necesitan recopilar de sus usuarios. El consentimiento se ha de solicitar en términos sencillos, comprensibles para el usuario medio, y asegurarse de obtener consentimientos separados por finalidades diferentes.

Hay que recordar que el consentimiento debe ser una acción afirmativa voluntaria y explícita, así que no se debe utilizar cualquier forma de consentimiento predeterminado como casillas pre-marcadas o campos ya llenados previamente. Cuando se trate el consentimiento de menores o se recopilen datos sensibles como raza, etnia, religión, etc., hacerlo sólo cuando se haya informado claramente a los interesados ​​y se disponga de los procedimientos adecuados para el cumplimiento.

Procesar los datos

Una vez se recojan los datos necesarios, el modo de gestionarlos es muy importante. Los datos personales que se recopilen de los suscriptores sólo se deben utilizar para los propósitos que éstos declararon claramente cuando dieron su permiso (finalidad del tratamiento). Si se utilizan para cualquier otro objetivo que no sea adecuado, se estará cometiendo una infracción.

Hay que revisar periódicamente los datos para asegurarse de que estén actualizadas. Siempre que se realicen cambios en la política de privacidad, se informará inmediatamente a los usuarios. Los suscriptores pueden restringir el tratamiento de sus datos cuando tengan algún problema con los datos recogidos o con el modo de gestionarlos. Se debe responder a sus peticiones de restricción en el tratamiento y tener preparados los procedimientos para dar respuesta adecuada.

Almacenamiento y gestión de datos

Es la responsabilidad del gestor proteger los datos personales de los usuarios. En caso de pérdidas o incumplimientos, puede ser sancionado. Se informará a los suscriptores sobre dónde se almacenan sus datos y no se debe permitir que ningún servicio de terceros o personas no autorizadas accedan a los datos almacenados en ningún momento.

Como la relación está basada en permisos, se debe permitir que los usuarios puedan abandonar la lista de suscripción en cualquier momento. Los usuarios también deben poder hacer modificaciones a la información que se guarda, por lo que se debe permitir que acceden a sus datos y hagan cambios cuando sea necesario.

Transferencia y borrado de datos

Se ha de permitir la transferencia de datos personales del sistema del gestor a servicios de terceros cuando lo soliciten los usuarios. Es recomendable que los datos estén en países de la UE, pero también pueden estar en otros países con un nivel de protección adecuado (por ejemplo, los EE. UU.). Un individuo también puede exigir la supresión de los datos personales que considere que no se están tratando adecuadamente por parte del gestor. Tanto en los casos de borrado como de transferencia, no se puede penalizar al usuario que realice esta solicitud, y se debe responder rápidamente, haciendo los trámites oportunos.

También es importante dejar que los usuarios accedan a sus datos en un formato legible. Y que puedan descargar su información en cualquier momento mediante archivos protegidos con contraseña.

Nota: Estas recomendaciones no suponen en ningún caso asesoramiento legal. La aplicación de lo explicado en el texto presupone que la empresa está debidamente adecuada al Reglamento y a la vigente Ley Orgánica de Protección de Datos. En todo caso, se recomienda ponerse en manos de un profesional.

Reconocimiento facial vs. privacidad

A estas alturas, no vamos a discutir la necesidad de reciclar. La cuestión medioambiental está fuera de toda duda. Cada día generamos millones de toneladas de residuos, incluyendo plásticos o latas de degradación muy lenta. Y toda acción, pública o privada, encaminada a mejorar la gestión de residuos es bienvenida. Bueno, toda quizá no.

China, uno de los países más avanzados en reconocimiento facial (y menos respetuoso con la privacidad), ha puesto en marcha un programa piloto consistente en instalar cámaras de reconocimiento facial en los contenedores de basura. Las tapas de los contenedores se abren automáticamente cuando un dispositivo reconoce la cara de una persona que previamente se había registrado en la comunidad. Estas son las nuevas reglas para poder tirar la basura en China.

En Barcelona, con problemas similares a todas las grandes ciudades, están buscando soluciones más imaginativas y, al menos por ahora, menos intrusivas.

El problema reside, como siempre, en la privacidad. Que sea necesario que un dispositivo acceda a un almacenamiento para cotejar mi cara para una acción tan prosaica como tirar la basura me impresiona. Hemos visto ejemplos de recnocimiento facial en aeropuertos o como medio de pago, el conocido «smile-to-pay«. Al ritmo que vamos, en pocos años al salir de casa se nos reconocerá de forma inmediata porque el reconocimiento facial substituirá cualquier otro elemento de identificación (llaves, carnets, móvil, etc.). Vamos a funcionar, dicho coloquialmente, «por la cara».

Y, como es natural, todas estas ventajas tecnológicas chocan frontalmente con nuestra privacidad. Y en la UE, incumplen con el Reglamento Europeo de Protección de Datos. Según ha publicado recientemente el Comité Europeo de Protección de Datos, la Agencia de Protección de Datos sueca ha multado con 20.000 euros a un municipio del país, responsable de un colegio, por utilizar tecnología de reconocimiento facial para controlar la asistencia de sus alumnos, incluso habiendo conseguido el consentimiento de los padres de estos. 

Aunque el colegio había obtenido el consentimiento de los padres, la autoridad de control sueca consideró que la base de legitmación no era válida dado que habia un claro desequilibrio entre el interesado y el responsable del tratamiento.

Imaginemos, ahora, el desquilibrio entre la posición del responsable y la del interesado cuando este es obligado (porque obviamente tiene que tirar la basura en algún sitio) a someterse a la tecnología de reconocimiento facial para hacerlo.

El debate,como siempre, entre tecnología y privacidad. La legislación no puede entorpecer el desarrollo tecnológico porque, probablemente, nos jugamos mucho en términos económicos, medioambientales y sociales. En consecuencia, los juristas hemos de ofrecer soluciones jurídicas que, sin perjudicar el avance tecnológico, permita mantener un equilibrio razonable con nuestros derechos, en especial, con nuestra privacidad.

Image by TIm S from Pixabay

La celebració el 28 de gener del Dia Europeu de la Protecció de Dades és un bona ocasió per a recordar a empreses i organitzacions la importància que s’adaptin a les polítiques estipulades que garanteixen la privacitat i la protecció de dades de cada ciutadà.

En aquest dia volem fer també una crida general a la societat perquè adopti una actitud responsable i de respecte en el relacionat a la privacitat de cada individu.