¿Cómo tratar la información de carácter personal?
Una de las falencias más importantes de los procesos de desarrollo digital en los países de la región, corresponden al marco normativo existente, en particular, asociado a la protección de datos personales. Recordemos que un marco jurídico mínimo para avanzar en esta área debe incluir al menos las siguientes áreas:
- Cibercrimen
- Propiedad Intelectual
- Datos Personales
- Neutralidad en la red
entre otros
En el caso de los datos personales y su protección, hoy en día se ha transformado en una preocupación de carácter mundial, es así como hemos visto casos emblemáticos asociados a redes sociales como Facebook, y algunos servicios de Google como es el caso de Google Street View por mencionar algunos.
En nuestro país el tema ha vuelto a estar en la discusión y hoy el Ministerio de Economía ha reimpulsado el proceso discusión, incluyendo una consulta pública en la materia, con miras a mejorar nuestro marco regulatorio, lo cual felicito. Espero lleguemos pronto a contar con una ley que de cuenta de los avances de los últimos 30 años y que el mundo se reconfiguró al menos en esta materia.
Producto de esa discusión y en la cual me ha tocado estar vinculado, es que me pareció pertinente recordar los principios definidos por la FIPP – Fair Information Practice Principles los cuales se han transformado en un estándar de facto a la hora de proteger la privacidad de las personas. Estos principios fueron desarrollados por el Departamento de Salud del gobierno federal de los Estados Unidos hace ya algún tiempo.
Los ocho principios debieran transformarse en la base de cualquier marco regulatorio en esta materia, me refiero a:
- Transparencia: las organizaciones que recopilan y almacenan datos personales, del tipo PII (personal identificable information), deben dar a conocer su proceso y el propósito del mismo.
- Participación de los usuarios: las Organizaciones que recopilan datos personales, deben involucrar a los individuos cuyos datos almacenan y trabajan, permitiendo un acceso a los mismos por parte del usuario final.
- Propósito: Se debe especificar claramente el propósito de uso de los datos recolectados y adicionalmente deben dar cuenta de la autorización respectiva para su procesamiento y almacenamiento.
- Data Minimization: Las organizaciones deben recolectar sólo aquellos datos que son absolutamente necesarios para el propósito definido.
- Limitación de uso: Los datos recopilados no pueden ser utilizados para propósitos diferentes a los declarados originalmente.
- Calidad e Integridad de datos: Las organizaciones que recopilan datos deben asegurar la calidad e integridad de los datos recolectados y así como del proceso para llevarlo a cabo.
- Seguridad: Las organizaciones que recopilan datos deben establecer mecanismos de seguridad de acceso a los mismos, impidiendo acceso no autorizados, abuso en el uso y/o pérdidas de estos.
- Auditoria y Rendición de cuentas (accountability): Las organizaciones que recopilan datos, debe asegurar un proceso con altos niveles de trazabilidad y a su vez poder rendir cuentas de ello.
Yo espero que pronto contemos con una adecuada normativo para ello, y que la discusión parlamentaria, enriquezca el proyecto de ley, así como en el caso de ser necesario introduzca los cambios necesarios para lograr el cumplimientos de los 8 principios del FIPP. Lo que es yo, tengo algunas aprehensiones del proyecto actual:
- bajísimo nivel de las multas establecidas, aproximadamente $33.000.000 (US$ 68.000) no me parece mucho como multa;
- entregar el tema al Servicio Nacional del Consumidor (SERNAC), que en su momento no conocía el concepto de Data Minimization, pero supongo que lo aprenderán, pero mis dudas van más por el lado de la robustez institucional para abordar este tema, y por último;
- modelo de acreditación de “país seguro” el cual creo no va a ser reconocido adecuadamente, me gustaría saber la opinión de la industria de Offshoring.
Es de esperar que mientras no contemos con un mejor marco jurídico, adoptemos buenas prácticas como las propuestas por la FIPP!
Pero bueno, esa es mi opinión….
Imágen: http://www.wattenbergh.info/blogIndex.asp?catID=1
Hola Alejandro
Sobre el tema parece adecuado revisar la flamante recomendación hecha por el Consejo para la Transparencia, el pasado miércoles:
<meta content=”text/html; charset=utf-8″ http-equiv=”content-type” />
http://www.consejotransparencia.cl/cplt-publica-en-diario-oficial-recomendacion-sobre-proteccion-de-datos-personales/consejo/2011-09-14/100108.html
saludos
jcc
Y por favor una ley contra el spam telefónico que ya se escapó de las manos…!!!
La industria del offshoring debería temer verdaderamente al proyecto. No sólo no resuelve el problema que tiene con aquellos países que nos exigen una protección adecuada (Europa y próximamente las principales economías de Latinoamérica), sino que peor introduce ciertas “innovaciones” que incrementarán los costos operacionales de la industria en el país. Esperemos que en el proceso de revision del proyecto el Gobierno y los legisladores enmienden aquellos aspectos del proyecto que socavan la competitividad de la industria local, además de dejar desprotegidos a los ciudadanos y consumidores.
Será interesante ver como se aborda este tema para ámbitos en los cuales la legislación chilena aún es limitada o derechamente no existe. Un ejemplo es el de las empresas/consultoras de lobby, una de cuyas prácticas ya establecidas es la construcción/seguimiento del perfil digital de personas en las redes, cuando aún su propia actividad (el cabildeo) no está regulado y el proyecto de ley que regulará la actividad duerme el sueño de los justos en el parlamento.
Existe una delgada línea entre la privacidad y la información pública. Por ejemplo, qué derecho tienen las empresas a vender nuestros datos, pero por otro lado, cómo informamos de delincuentes y personas que trabajan al margen de la ley… le he dado muchas vueltas y aun no encuentro la verdadera solución. Si existiera.