En los últimos días, las cartas de varias compañías, aplicaciones, servicios y sitios que ha usado o donde abrió cuentas regularmente se envían por correo. Las cartas son casi iguales: informan un cambio en la política de privacidad y explican cómo la empresa procesa los datos personales.
Ya escribimos sobre qué está cambiando exactamente en las políticas de procesamiento de datos de las grandes empresas de TI: WhatsApp, Facebook, Instagram y Twitter. Ahora entendemos por qué comenzaron a llegar docenas de cartas de muchos servicios solo ahora, después de la fecha límite formal de GDPR, por qué no todas las compañías pudieron prepararse para la transición de manera oportuna y qué problemas encontraron.
/ foto Dennis van der Heijden CC BYQue esta pasando
El 25 de mayo, entró en vigor el RGPD (Reglamento general de protección de datos). Regula la protección de datos personales de los residentes de países de la UE y reemplaza la Directiva de protección de datos, una directiva de 1995.
El GDPR afecta a todos, porque se aplica no solo a las empresas registradas en la Unión Europea, sino a todos los que almacenan, procesan y utilizan la DP de los ciudadanos de la UE.
Las empresas comenzaron a prepararse con anticipación, cuyos modelos de negocio dependen en gran medida del trabajo con DP; por ejemplo, Facebook incluso antes de la introducción de GDPR
dijo qué se haría para cumplir con la nueva regulación: se pedirá a todos los usuarios que revisen sus configuraciones de privacidad. También podrán elegir por sí mismos si están listos para compartir su información con fines de publicidad dirigida y, de ser así, cuál. Además, la red social
planeaba devolver el reconocimiento facial, que fue deshabilitado por una decisión judicial de que este conjunto de herramientas de la red social viola las leyes de datos personales.
Pero no todas las empresas reaccionaron a la nueva regulación con la misma atención creciente. En abril, el Instituto Ponemon realizó una encuesta entre miles de empresas, la mitad de las cuales
admitió que no estarían listas para la fecha límite. Entre las compañías de TI, había 60% de ellas.
Como resultado, muchos realmente no pudieron cumplir los requisitos de la regulación a tiempo, aunque el plazo se conocía desde hace mucho tiempo (la versión final del GDPR se publicó hace 2 años). Según una encuesta realizada por la empresa europea TrustArc hace un año entre 200 empresas de diferentes países e industrias, el 61% de las empresas
ni siquiera
comenzaron a prepararse para el RGPD.
¿Por qué es tan difícil igualar?
Muchas empresas no tuvieron tiempo para la fecha límite, no solo porque decidieron posponer todo para el final. Hay varias razones relativamente objetivas.
La ley es muy complicada
Y a veces se cruza con actos legales locales relacionados con el procesamiento de datos personales. Los abogados dicen que es
realmente difícil entender los requisitos del regulador, y aún más, reconstruir su negocio para que coincida con ellos.
Por ejemplo,
algunas formulaciones en puntos clave para la ley causaron un acalorado debate: el consentimiento para el uso de datos personales ordinarios debe ser "inequívoco" (es decir, inequívoco, comprensible, inequívoco) y el consentimiento para el uso de datos personales "sensibles" debe ser "explícito" (claramente indicado exhaustivo)
Pero, ¿hay alguna diferencia entre estas dos definiciones y, como resultado, los dos "consentimientos", y si es así, qué y qué debería expresarse en la solicitud de práctica? La pregunta no está en absoluto inactiva: depende de la respuesta correcta (desde un punto de vista legal), por ejemplo, cómo es posible y cómo es imposible elaborar firmas para casillas de verificación en las interfaces que marcan el consentimiento del usuario para el procesamiento de la DP.
/ imagen Giulia Forsythe PDAdemás, la ley no tiene en cuenta los detalles locales: por ejemplo, diferentes países tienen diferentes actitudes hacia los datos personales. Esto es en parte por qué muchas partes de la ley se racionalizan deliberadamente, lo que
crea espacio para una variedad de sus interpretaciones.
Y algunos de los puntos del RGPD
contradicen , por ejemplo, el ruso Nº 152-FZ "Sobre datos personales", que también crea dificultades para las empresas rusas que de alguna manera recopilan y usan PD de ciudadanos europeos.
Revisión del proceso
Y no solo desde el punto de vista de la tecnología, sino también desde el punto de vista de los negocios. Algunas compañías temen que si les dicen a los usuarios exactamente cómo usan sus datos personales, las personas nunca se los darán.
Por lo tanto, el enfoque que introdujo Facebook para obtener el permiso del usuario fue finalmente
criticado : el camino completo del usuario lo motiva a aceptar rápidamente las nuevas reglas y continuar compartiendo su información con el servicio.
El botón "Aceptar y continuar" es el más hermoso y notable, y aquí la solución opuesta ya parece difícil: "Administrar la configuración de datos". Si hace clic en él, Facebook primero intentará convencer al usuario de que deje todo como está. Además, Facebook priva al usuario de la oportunidad de compartir información personal en su página, pero al mismo tiempo no permite que las redes sociales utilicen esta información con fines publicitarios.
Además, las pequeñas y medianas empresas a menudo simplemente
no tienen los recursos tecnológicos y humanos para comprender los requisitos de la ley y hacer todos los preparativos necesarios; por lo tanto, para ellos, el proceso de poner todos los sistemas de acuerdo con los requisitos del GDPR se vuelve muy costoso.
La ley ya no tiene en cuenta las nuevas tecnologías.
La regulación se desarrolló y adoptó durante varios años, por lo que muchas ideas sobre el estado actual de la tecnología ya están desactualizadas: por ejemplo, no está claro qué hacer con Big Data y el aprendizaje automático.
Entonces, GDPR
requiere transparencia de los algoritmos de aprendizaje automático: los desarrolladores deben poder explicar por qué el algoritmo tomó esta o aquella decisión. En otras palabras, la ley prescribe que el usuario puede recibir en cualquier momento una explicación detallada del mecanismo para usar su información personal para tomar una decisión informada, ya sea que acepte o no.
En el caso de los algoritmos de aprendizaje automático, esto
no es
tan fácil de hacer : por qué los sistemas de inteligencia artificial toman esta decisión en particular en ese mismo momento, incluso sus ingenieros a veces no pueden explicarlo. Esto no está regulado por GDPR. Y tales cosas serán cada vez más: la ley tendrá que actualizarse constantemente, pero en realidad la ley siempre va a la zaga del desarrollo de la tecnología.
Lo más difícil fueron las empresas que desarrollan asistentes inteligentes: Google Assistant, Alexa, Siri.
Estos servicios siempre (aunque en segundo plano) escuchan todo lo que sucede a su alrededor, para "despertarse" en el momento adecuado y ejecutar un comando usando una palabra de código. La tecnología aún es imperfecta, por ejemplo, no hace mucho tiempo, Amazon se enfrentó a un
problema inesperado: Alexa comenzó a reír periódicamente, porque podía entender la frase "Alex, reír" en el discurso que la rodeaba.
Suena ridículo, pero en el marco del RGPD, esta situación es una zona gris, que todavía no está claro cómo controlarla. Formalmente, los asistentes inteligentes no graban el sonido y no lo transmiten a ningún lado, pero un caso reciente con la misma Alexa, que, debido a un error técnico,
transmitió una grabación de audio de una conversación personal de los residentes de una casa a uno de los contactos en la guía telefónica, muestra que las situaciones pueden ser diferentes.
En tales casos, todo dependerá de si los usuarios sufrieron como resultado o no: por ejemplo, si la información no se usó y el servicio rápidamente "reaccionó" y la eliminó. Los propios desarrolladores de Alexa han
prometido mejorar los algoritmos de reconocimiento de voz para que un evento tan improbable no vuelva a suceder.
/ foto Oliver Henze CC BY-NDTodavía no está claro cómo se regulará el funcionamiento de dichos servicios en términos de cumplimiento de GDPR. Expertos y periodistas están de acuerdo: tales servicios probablemente tendrán que obtener el consentimiento de los usuarios de que el asistente inteligente siempre escucha, siempre graba y,
posiblemente , transfiere información a terceros.
Lo que será
¿Qué le espera a las empresas que no han tenido tiempo de alinear los procesos comerciales con la ley o la han violado? Algunos creen que el 25 de mayo fue un "comienzo suave", y el regulador no buscará compañías que no lograron cumplir con el plazo (especialmente si tienen razones objetivas para eso). Aunque la multa por incumplimiento de la normativa ya se ha indicado, y es muy importante: hasta el 4% de los ingresos anuales de la empresa.
Sin embargo, existe una dificultad: ahora no todo el control recae únicamente en el regulador. Los propios usuarios también tienen poder: por ejemplo, pueden requerir que el servicio reciba, modifique o elimine todas sus PD. Si estos procesos no se establecen y el servicio es técnicamente incapaz de satisfacer los requisitos del usuario, existe el riesgo de un litigio, que el usuario puede ganar.
Muchos expertos todavía creen que el mercado no podrá cumplir plenamente con los requisitos de GDPR, al menos porque el campo está muy inexplorado: la ley, aunque es correcta en sus intenciones, no afecta muchos casos importantes y formas de usar y almacenar datos personales. Si tales estudios (detallados y detallados) aparecen, sin embargo, se convertirán en una buena base para finalizar la ley.
Sin embargo, la llegada de GPDR es un indicador importante del cambio de prioridad. Si antes la administración de datos personales era el "componente oculto" de casi cualquier negocio, y las compañías podían administrarlo como quisieran, ahora los usuarios finalmente tienen al menos algunas herramientas para controlar sus propios datos en la Web.
PD: ¿Qué más estamos escribiendo sobre el primer blog corporativo IaaS:
PPS Algunos materiales sobre un tema de nuestro blog sobre Habré: