Cómo afecta a las empresas uruguayas la norma de datos personales europea

Es probable que a usted ya le hayan llegado comunicaciones, por ejemplo de servicios como Spotify o de newsletters a los que está suscrito, comentándole de nuevas políticas de privacidad.

Esto responde a que las empresas que recopilan, usan y comparten datos de personas residentes en Europa deberán cumplir con nuevos requisitos de transparencia. Para la llamada Regulación General de Protección de Datos de la Unión Europea no importa el lugar geográfico donde está localizada la empresa, sino que procese datos de residentes europeos. Por ello, también afectará a las empresas uruguayas que trabajen de esta forma.

Los cambios específicos

La nueva legislación amplía el concepto de datos personales protegidos: junto a los habituales como el nombre, domicilio o número de tarjeta de crédito, se agregan otros "identificadores en línea" como la dirección IP.

Se hace mayor hincapié en la transparencia, por lo que las empresas deben facilitar al usuario el saber qué tratamiento le dan a sus datos (cómo se usan, para qué, el tiempo durante el cual los conservarán, con quien se comparten, entre otros), explicó el encargado del Departamento de Derecho Público de Posadas, Posadas & Vecino, Diego Gamarra, en un evento informativo sobre la temática organizado este jueves por Interactive Advertising Bureau (IAB) Uruguay.

La normativa subraya la necesidad del consentimiento válido para la utilización de datos personales: no admite el consentimiento tácito (atribuido al silencio o a la inacción) sino que tiene que haber una clara acción afirmativa por parte del usuario. Se especifica que las empresas deberán facilitar tanto el dar consentimiento como el retirarlo.

Además introduce conceptos como el llamado "derecho al olvido". Esto implica que si uno por ejemplo abre una cuenta en Facebook y después de un tiempo decide cerrarla, puede reclamar que no quede rastro de sus datos. La plataforma está entonces obligada a eliminar todos los datos que guarda de un usuario si este lo solicita; aunque se señala que esto en algunos casos podría entrar en conflicto con otros derechos como el de la libertad de expresión.

Para Gamarra, las empresas deberán tomar medidas con una "responsabilidad proactiva" que permitan la transparencia que se exige, teniendo en cuenta la privacidad "desde el diseño y por defecto". "Se pasa de un esquema de reacción a uno de prevención", señaló el experto.

La multas en caso de incumplimiento serán de un máximo de 20 millones de euros o hasta 4% de la facturación global de la compañía.

¿Cómo puede afectar a las empresas uruguayas?

Gamarra explicó que por el momento quienes deben adecuarse son únicamente las empresas uruguayas que ofrecen productos y servicios a residentes de la Unión Europea o, a través de sus datos, controlan comportamientos. Esto último refiere a si se realiza un seguimiento para elaborar un perfil de la persona con el fin de predecir sus preferencias y comportamientos futuros.

Sin embargo, el experto de Posadas, Posadas & Vecino explicó que para el resto de las empresas uruguayas resulta "sensato" comenzar a trabajar en la temática, ya que es muy probable que este cambio europeo lleve a una adecuación de la normativa uruguaya.

El diputado nacionalista Rodrigo Goñi, presente en el evento, confirmó que se trabajará en ese sentido. En Uruguay está vigente desde hace 10 años la Ley de Protección de Datos Personales, que incluye principios de previo consentimiento informado, seguridad, reserva y responsabilidad, entre otros.

Recomendaciones de IAB

Estos cambios afectarán en forma particular a empresas vinculadas a la comunicación digital dentro y fuera de la Unión Europea. Es por ello que IAB Uruguay recomendó que las agencias de publicidad digital extremen cuidados a la hora de desarrollar acciones para generar bases de datos. Subrayan que "los datos personales recolectados solo pueden ser usados para un propósito específico, para el cual el usuario otorga su explícito consentimiento, y no pueden ser usados luego para otros propósitos nuevos o incompatibles".

A los medios el organismo aconseja que sean exigentes con sus proveedores de tecnología publicitaria, y a los anunciantes les pide que se ciñan a las buenas prácticas de la industria, exigiendo lo mismo a las agencias y teniéndolo en cuenta al seleccionar medios en los que estar presentes.