Desde el primer momento en que nuestra información personal es solicitada por un tercero, bajo previo consentimiento y con un fin legítimo y específico, entra en escena las regulaciones en materia de protección de datos personales. Como adelantamos en el post anterior, la intencionalidad de estas no es la plena prohibición del uso de datos, sino más bien el tratamiento adecuado, proporcional y seguro de nuestra información.

La gran mayoría de casos, una vez entregados nuestros datos, no existe mayor incentivo para conocer qué, dónde y quién hace uso de ella, más que en aquellos en donde detectamos mal uso de nuestra información. Ejemplo de ello, el escenario en el que varios vendedores de operadoras telefónicas llaman durante todo el día para que cambies a su compañía o compres algún plan postpago; en el más desalentado de estos escenarios, pareciera que lo único que se pudiera hacer es pegar una rabieta al cielo y preguntarse: ¿Quién y cómo accedieron a mi información personal?

Como parte de este ejercicio en el que nosotros, todos los usuarios, interiorizamos los derechos, límites que deben respetar los recolectores de datos y demás entes que traten nuestra información, y los mecanismos mínimos que deben implementarse en el proceso, es necesario tener claro al menos una imagen global, desde su recolección hasta su eventual destrucción.

El ciclo original

1. Recolección

Aun cuando su título es lo suficientemente descriptivo, en esta etapa un interesado solicita a una persona en particular el acceso y uso a un conjunto de información. Esta información, para propósito de nuestro tema de interés, debe permitir identificar o hacer identificable a su titular. Salvo una de las siguientes etapas de las que hablaremos más abajo, todos los datos son recolectados desde el mismo usuario.

En días anteriores, ya señalábamos cómo en el uso de bienes y servicios, los usuarios brindan su consentimiento para la recolección de datos personales, bien sea para el acceso a un servicio (piénsese en las creaciones de cuentas en un servicio web) o bien para obtener servicios más personalizados. Una vez recolectados los datos, estos pueden ser almacenados o directamente utilizados.

Lo importante de esta etapa es que el usuario tiene el derecho no solo a ser informado de la recolección en sí misma, sino también a conocer cuáles son los usos que se dará a su información, cuál es la finalidad del uso y a conocer el lugar de almacenamiento de su información, de modo que bien pueda negar la recolección de sus datos o posteriormente solicitar la corrección, actualización o destrucción de su información.

Acerca del consentimiento, este deberá ser libre, específico, informado e inequívoco. La ley ecuatoriana en la materia, en su artículo 8 señala que “El consentimiento será válido cuando la manifestación de la voluntad sea:

1. Libre, es decir, cuando se encuentre exenta de vicio del consentimiento; 2. Específica, en cuanto a la determinación concreta de los medios y fines del tratamiento; 3. Informada, de modo que cumpla con el principio de transparencia y se efectivice el derecho a la transparencia, 4. Inequívoca, de manera que no presente dudas sobre el alcance de la autorización otorgada por el titular.”

El numeral 4 merece su especial consideración, ya que en la práctica, los medios en que se recolecta el consentimiento no solo deben incluir el uso, finalidad, medio, etc., sino también deben presentarlos en un lenguaje lo suficientemente claro para que cualquier usuario conozca las limitaciones bajo las que autoriza el procesamiento de sus datos, es decir, que no lleve a confusiones por el uso de lenguaje técnico o por lo mala organización y presentación de la información. Un ejemplo de mala práctica del último punto es la remisión de una parte de las políticas de uso y recolección de datos a otros documentos o páginas de un sitio web no tan fácilmente accesibles.

2. Almacenamiento

El almacenamiento de datos se realiza en “ficheros o bases de datos”, independiente de si estos están en soporte físico (en su versión más gráfica, en una matriz o en una carpeta) o bien en soporte digital (en una base de datos). La Ley de Protección de Datos Personales, en su Art. 4, los define como:

Conjunto estructurado de datos de cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.

Al hablar de un conjunto estructurado, los ficheros se diferencian de cualquier otra forma de almacenamiento, por el uso de criterios para la clasificación, organización y registro de la información, de modo que no solo asigna una ubicación específica para la información, sino que obtiene información adicional mediante este registro. Simplificado, piensa en una tabla o un conjunto de tablas en donde la información es almacenada.

Este almacenamiento debe estar justificado en la finalidad y los medios que el recolector ha previsto para aquello y también debe realizarse por un periodo específico de tiempo. Adicionalmente, debe existir razón suficiente para que el uso inmediatamente después de su recolección no permita el cumplimiento de las finalidades para la que fue recolectada. De manera menos abstracta, siempre que se almacenen datos personales, es porque el encargado o el responsable de los datos aún no puede usar los datos- bien sea porque necesita usarla junto con la de otros usuarios, aplicar cierta técnica en específico, etc.- o porque espera seguir usándolos en el futuro.

En algunas legislaciones, el regulador puede señalar el tiempo máximo de almacenamiento de acuerdo a la sensibilidad de la información o la actividad para la que se solicita al titular, pero en su generalidad, es el recolector de datos quien debe justificar este periodo de tiempo. La regla general es que bajo ningún caso la información puede ser almacenada de manera indefinida.

Así también, mientras la información se almacene, se deberán implementar las suficientes medidas de ciberseguridad (humanas, organizacionales, técnicas) para que la información no pueda ser sujeta de ataques informáticos, independientemente de que esta reporte o no un perjuicio directo a los usuarios por su filtración. Principalmente, los responsables de los datos personales deben solicitar y almacenar la menor cantidad de datos, de modo que el riesgo también disminuya ante la limitada información que posean del titular; mientras más datos se tengan sobre un titular, más grande es la posibilidad de identificarlo.

3. Uso

La información de un solo usuario, si bien es de singular valor para su propietario, bien puede ser insuficiente para el cumplimiento de la finalidad prevista por la persona o empresa que las ha recolectado.

El uso de la información personal en gran escala, es decir, de miles de usuarios que usan un servicio, es la que motiva para su recolección y tratamiento. De acuerdo a un artículo de la Revista de Negocios de Harvard, publicada en el año 2014, se pueden diferenciar 5 patrones para el uso de datos (no solo personales, los datos en general) para la generación de bienes y servicios más innovadores, eficientes, y en general, que representarían una gran oportunidad de rédito económico.

Adelante, incorporo un pequeño resumen de 4 de ellos que considero para nuestro tema, sin que por ello deje de recomendar la lectura del artículo completo.

1. El aumento de dispositivos que generan datos.- Con la incorporación de cada vez más sensores en cualquier equipo tecnológico, los datos pueden ser usados para “mejorar el diseño, operación, mantenimiento, y reparación de activos o para mejorar cómo se lleva a cabo una actividad.”
2. Digitalización de activos.- Con la mudanza de gran parte de la información o bienes al mundo digital, bien sea para ofrecer un mejor servicio, ampliar su alcance o abaratar costos con la digitalización, también aparece un gran negocio dedicado al almacenamiento de esta información digitalizada o digital (servicios cloud).
3. Uso combinado de información entre industrias.- Bien sean empresas dedicadas a la misma área de negocio o a áreas en principio completamente diferentes, el cruce de datos puede reportar beneficios para mejorar la eficiencia, evitar la duplicación de procesos, tener una mayor comunicación entre los distintos actores de una misma cadena de producción y venta, e integrar nueva información- que en principio un solo actor no podría contar- para encontrar puntos en donde el bien o servicio puede ser mejorado en tiempo de respuesta o en su calidad.
4. Venta de datos. - Mediante la combinación de conjuntos de datos distintos, las empresas pueden vender datos que generan al prestar sus servicios a cualquier otra que pueda reportar beneficio con el uso de ella.

Al analizar cualquiera de los patrones incluidos, podemos deducir el uso de datos personales en cualquiera de ellos, convirtiendo a nuestra información en el recurso más valioso en la economía digital; es por ello que la recolección, almacenamiento y procesamiento se ha dado en gran escala desde hace varios años.

El uso, a breves rasgos, debe estar limitado a un número específico de técnicos, con la implementación de las medidas suficientes para la validación de su identidad y el monitoreo de las actividades que han llevado a cabo para el cumplimiento de los fines por los que nuestros datos fueron recolectados. Aquí las medidas de identificación y autorización implementadas principalmente por el encargado juegan un rol fundamental. De esta forma pueden coexistir estos patrones de uso de datos y el respeto al conjunto de derechos que protege el correcto tratamiento de datos personales.

4. Destrucción

Dado que todos los datos personales han sido recolectados para una o un conjunto limitado de finalidades, una vez que estas han sido alcanzadas, el responsable o procesador de datos deben asegurarse de la destrucción de toda la información. Salvo excepciones (que analizaremos en siguientes posts), no existe razón alguna para almacenar la información una vez se le ha dado el uso para el que fue solicitada.

Cuando nos referimos a esta etapa, es preciso mencionar que la destrucción afecta a todos los ficheros en que se haya almacenado datos personales, incluyendo copias, duplicados, respaldos, etc.

Las variantes del ciclo

El ciclo en sí mismo puede tener variaciones de acuerdo a la forma en que el titular ejerza sus derechos o el responsable de los datos requiera realizar actuaciones adicionales para el cumplimiento de los fines.

0.1 Actualización, corrección

Mientras dura el almacenamiento de la información, el usuario puede solicitar la corrección o actualización de la información que ha entregado al responsable del tratamiento. Piénsese por ejemplo en la actualización de datos de contacto, historial laboral, datos crediticios, etc., que bien pueden mutar de acuerdo a las actividades que el titular realiza o bien, el cambio de información erróneamente relacionada con el titular. En cualquiera de ambos casos, el responsable debe implementar los canales adecuados para que el titular pueda comunicar su ánimo en actualizar o corregir su información, y que el proceso sea sencillo y de fácil acceso.

Así también, el responsable del tratamiento debe establecer los mecanismos necesarios para la actualización de información a petición suya. Esto es común en datos personales almacenados durante considerables periodos de tiempo, en donde el responsable considera necesaria la actualización de los mismos

0.2 Transferencia y comunicación de datos

Es probable que el responsable de los datos personales, para el cumplimiento de las finalidades por las que ha recolectado la información, entregue datos personales a un tercero que no es titular. Esto bien puede suceder para el uso en sí mismo, entregando a un encargado de datos (siendo otra persona natural o jurídica), o bien para satisfacer la finalidad en sí misma (recuerda la recolección de datos para su posterior venta).

En esto, es importante que el titular haya sido informado de estas eventualidades al momento de la recolección, y que a la vez haya convenido en ello en la forma en que establece la ley. De este modo, una vez recabado el consentimiento, el titular no necesita ser consultado una vez que los datos personales sean transferidos. Esto puede suponer un problema cuando el titular no tiene control sobre el destino de sus datos y le sea dificultoso el ejercicio a su derecho de corrección, actualización y olvido.

Esta es aquella excepción que mencionábamos en la etapa de recolección, en donde un tercero adquiere datos personales sin solicitarlo directamente al titular. Al respecto, la ley ecuatoriana en la materia señala que:

Art. 4.- (…) Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier otra forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que se comuniquen deben ser exactos, completos y actualizados.

Fuentes: The New Patterns of Innovation (hbr.org), Ley Orgánica de Protección de Datos Personales, Social computing and digital privacy