This ar­ti­cle orig­i­nal­ly ap­peared on the Lerman&Szlak web­site.

Basa­do en la pre­sentación en el even­to de AM­DIA – CACE so­bre Pri­vaci­dad en la Uni­ver­si­dad de San An­dres, el 8 de noviem­bre de 2018

  • E- Com­merce

Es mi turno aho­ra hablar de las reper­cu­siones de es­tos cam­bios de la leg­is­lación de pri­vaci­dad en el e‑commerce. Para poder analizar en el tema, quiero que pense­mos có­mo le afectan los cam­bios a una em­pre­sa típi­ca de ECOM­MERCE.

Pense­mos en un mar­ket­place que vende difer­entes pro­duc­tos (sean pro­pios o de ter­ceros), que hace mar­ket­ing en múlti­ples medios dig­i­tales, que re­al­iza track­ing y ll­e­va un reg­istro de las ac­tivi­dades y pref­er­en­cias del con­sum­i­dor en su platafor­ma, y guar­da datos no só­lo co­mo nom­bre, apel­li­do, domi­cilio, DNI, telé­fono, sino tam­bién datos fi­nancieros, datos de ge­olo­cal­ización (GPS, di­rec­ción IP), pref­er­en­cias de con­sumo (que muchas ve­ces pueden rev­e­lar datos sen­si­bles tales co­mo datos médi­cos y rel­a­tivos a la salud, afil­ia­ciones políti­cas, pref­er­en­cias sex­u­ales).

Mi idea es poder con­tar­les có­mo afec­ta el cam­bio de leg­is­lación al e‑commerce en Eu­ropa y aquí, y  qué pau­tas tienen que adop­tar las em­pre­sas para cumplir con la nor­ma­ti­va y poder seguir cre­cien­do e im­ple­men­tan­do sus planes de ne­go­cio par­tien­do de es­ta base de pro­tec­ción.

  • Primera pau­ta: Prin­ci­pio de la Re­spon­s­abil­i­dad PROAC­TI­VA

Así lla­ma la nue­va leg­is­lación y la GDPR a la re­spon­s­abil­i­dad de las em­pre­sas por el tratamien­to de datos.

Este con­cep­to es fun­da­men­tal porque sien­ta las bases de que no so­la­mente hay que cumplir con la leg­is­lación, sino que tam­bién hay que es­tar en condi­ciones de acred­i­tar frente a la en­ti­dad reg­u­la­to­ria que uno es­tá en cumplim­ien­to de la ley.

En­tonces real­mente el cumplim­ien­to no se vuelve tan te­dioso, ni tan mis­te­rioso, ni tan in­abar­ca­ble, so­bre to­do: si uno cumple con adop­tar las pau­tas bási­cas que pi­de la leg­is­lación, y es­tá en condi­ciones de acred­i­tar que lo hi­zo, en­tonces no de­bería ten­er prob­le­mas frente a los nuevos cam­bios.

Qué pau­tas hay que adop­tar?

  • Pon­er a pun­to sus Políti­cas de Pri­vaci­dad y sus Tér­mi­nos y Condi­ciones. Es­to nor­mal­mente ya se en­cuen­tra en los sitios y platafor­mas de e‑commerce, en la may­oría de los ca­sos, pero es al­go para afi­nar el lápiz con pau­tas que ver­e­mos aquí.
  • Tomar Me­di­das de Se­guri­dad Ade­cuadas re­spec­to de los datos y ar­mar Doc­u­men­tos de Se­guri­dad In­ter­nos Las em­pre­sas más se­rias es­to ya lo ha­cen, muchas ve­ces es prin­ci­pal­mente cuestión de plas­mar­lo en un doc­u­men­to for­mal in­ter­no, definir mín­i­mos de se­guri­dad, y definir los re­spon­s­ables legales y téc­ni­cos el doc­u­men­to.
  • Man­ten­er con­tratos ade­cua­dos con to­dos los provee­dores que tratan datos per­son­ales (lo que se lla­ma DPA, “Da­ta Pro­cess­ing Agree­ments” o con­tratos con los en­car­ga­dos de proce­samien­to de datos”). Es­tos con­tratos tienen que es­tar, y son fun­da­men­tales tan­to para em­pre­sas chi­cas y grandes. Si to­do o parte de los datos se guardan en servi­dores de otra em­pre­sa en la nube (co­mo Ama­zon Web Ser­vices, por ejem­p­lo), si con­ta­mos con un provee­dor ex­ter­no para analizar nue­stros datos (Google An­a­lyt­ics), si ten­emos con­sul­tores o pro­gra­madores que es­tán a car­go de la se­guri­dad o man­ten­imien­to de nues­tra platafor­ma (es­to apli­ca so­bre to­do a star­tups).
  • Ir te­nien­do en cuen­ta la figu­ra del Del­e­ga­do de Pro­tec­ción de Datos (Da­ta Pro­tec­tion Of­fi­cer, DPO), que la es­tablece tan­to la reg­u­lación va a ser una figu­ra im­por­tante para poder mostrar que uno cumple con la nor­ma­ti­va, para cier­tos tipos de em­pre­sas (so­bre to­do las que trat­en datos a gran es­cala o trat­en datos sen­si­bles)
  • Y en gen­er­al, im­ple­men­tar to­das las me­di­das de Pri­va­cy by De­sign, es de­cir, in­cor­po­rar en el pro­ce­so de dis­eño de la platafor­ma y del pro­duc­to tec­nológi­co, me­di­das para poder cumplir con la nor­ma­ti­va de datos y poder demostrar que lo hace­mos.

Ese es el panora­ma gen­er­al, y repi­to, si so­mos con­scientes de que ten­emos que cumplir con cier­tas pau­tas bási­cas, que el es­tán­dar mundi­al subió y que real­mente al gener­ar buenos doc­u­men­tos (Políti­cas de Pri­vaci­dad, Doc­u­men­tos de se­guri­dad, Con­tratos de DPA con Provee­dores), ir pen­san­do en Da­ta Pri­va­cy Of­fi­cer e im­ple­men­tar me­di­das de pri­vaci­dad por dis­eño, en­tonces es­ta­mos bi­en para­dos frente a lo que se viene.

  • Aho­ra, to­do es­to con una aclaración: si se tratan Datos Sen­si­bles, tales co­mo datos rel­a­tivos a la salud, afil­ia­ciones políti­cas, pref­er­en­cias sex­u­ales, datos bio­métri­cos, datos genéti­cos, en­tonces lo an­te­ri­or apli­ca pero se agre­gar además cuida­dos es­pe­ciales que debe­mos ten­er, que son ca­sos aparte.
  • Check­list para cumplim­ien­to
  • (1) Pon­er a Pun­to las Políti­cas de Pri­vaci­dad y los Tér­mi­nos y Condi­ciones: ¿Qué pun­tos no pueden fal­tar?
    • Iden­ti­dad y datos de con­tac­to del Re­spon­s­able del tratamien­to
      • + Datos del Del­e­ga­do de Pro­tec­ción de datos
    • FI­NAL­I­DAD: Con qué ob­je­ti­vo recolec­ta­mos los datos, y con qué base ju­rídi­ca (le ped­i­mos con­sen­timien­to, la ley nos ha­bili­ta a no hac­er­lo,)
    • DES­TI­NATAR­IOS: Quiénes recibirán los datos, y en su ca­so, cat­e­gorías
    • TRANS­FER­EN­CIA IN­TER­NA­CIONAL DE DATOS: Si los datos se van a trans­ferir a en­ti­dades en el ex­te­ri­or, si hay cloud com­put­ing, “blan­quear” ex­pre­sa­mente si se guardan los datos afuera y que el ser­vi­cio opera así
    • PLA­ZO: Pla­zo en que se guardan los datos y CRI­TE­RIO para es­table­cer­lo
    • DERE­CHO DE LOS IN­TERE­SA­DOS: Tiene un fin ed­uca­ti­vo!!
      • Dere­cho de Ac­ce­so
      • Dere­cho de Oposi­ción
      • Dere­cho de Supre­sión (“dere­cho al olvi­do”)
      • Dere­cho de Rec­ti­fi­cación
      • Dere­cho de porta­bil­i­dad de los datos, de re­ti­rar con­sen­timien­to, de recla­mar
    • CON­SE­CUEN­CIAS DE NO FA­CIL­I­TAR LOS DATOS: Si se les so­lic­i­tan los datos co­mo parte de un obligación le­gal o con­trac­tu­al, qué pasa si no da los datos, en gen­er­al es una pe­or ex­pe­ri­en­cia del usuario,
    • TOMA DE DE­CI­SIONES AU­TOM­A­TI­ZADAS: Ej. Cuán­do se elab­o­ran per­files y para qué (para mejo­rar la ex­pe­ri­en­cia, para con­trol de cal­i­dad), si és­tos sir­ven para toma de de­ci­siones au­tom­a­ti­zadas sin in­ter­ven­ción hu­mana, “blan­quear” el pro­ced­imien­to.
      • La toma de de­ci­siones es ap­ta sí:
        • Es nece­saria para un con­tra­to en­tre el tit­u­lar y el re­spon­s­able
        • Es por Ley
        • Hay con­sen­timien­to ex­plíc­i­to.

(2) Me­di­das de Se­guri­dad Ade­cuadas re­spec­to de los datos y ar­mar Doc­u­men­tos de Se­guri­dad In­ter­nos per­ti­nentes

  • Qué per­sonas tine­nen ac­ce­so a qué in­for­ma­ción
  • Con­trol de er­rores
  • Con­troles y copias de Se­guri­dad
  • Reg­istro de logs e in­ci­dentes, pro­ced­imien­tos in­ter­nos a ese fin
  • Políti­cas de pass­words
  • Iden­ti­fi­cación y au­t­en­ti­cación de los usuar­ios
  • Pre­ven­ción de mal­ware
  • En­crip­tar
  • Disociar/anonimizar datos en lo posi­ble
  • Au­di­torías
  • Pro­to­co­los de trans­misión de datos

(3) Man­ten­er con­tratos ade­cua­dos con to­dos los provee­dores que tratan datos per­son­ales (lo que se lla­ma DPA, “Da­ta Pro­cess­ing Agree­ments” o con­tratos con los en­car­ga­dos de proce­samien­to de datos”)

            Ej. Em­pre­sas co­mo Ama­zon in­cor­po­raron DA­TA PRO­CESS­ING AD­DEN­DUM

  • Con­fi­den­cial­i­dad de los datos
  • NO Uso de los datos por el­los para otros fines fuera de los in­stru­i­dos
  • Me­di­das téc­ni­cas y or­ga­ni­za­ti­vas para re­spon­der a In­ci­dentes de se­guri­dad
  • No­ti­fi­cación de in­ci­dentes de se­guri­dad, hac­erse re­spon­s­able por el­los
  • Si usa sub­proce­sadores y cuáles — TRANS­PAREN­CIA
  • Con­tar con cer­ti­fi­ca­dos

(4) Ir te­nien­do en cuen­ta la figu­ra del Del­e­ga­do de Pro­tec­ción de Datos (Da­ta Pro­tec­tion Of­fi­cer, DPO)

            -Em­pre­sas de +250 Em­plea­d­os (Eu­ropa)

- Tratamien­to de datos a gran es­cala

- Ac­tivi­dad prin­ci­pal de tratamien­to de datos sen­si­bles

(5) Pri­va­cy by De­sign: Pen­sar en es­tos as­pec­tos des­de el primer mo­men­to, co­op­er­ar en­tre ar­eas de la em­pre­sa, no es­per­ar para ll­la­mar a legales a ul­ti­mo mo­men­to.

Si adop­ta­mos es­tas me­di­das, or­ga­ni­zan­do los re­cur­sos que ya ten­emos y acom­pañan­do a nue­stros usuar­ios, dán­doles se­guri­dad y trans­paren­cia en el tratamien­to, acom­pañán­dono de los ex­per­tos en el tema, en­tonces es­ta­mos en bue­nas condi­ciones de cumplir con la leg­is­lación y ase­gu­rar una tran­scisión ex­i­tosa.