Mantente actualizado sobre la protecci\u00f3n de datos.<\/p>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t
Secure Futures Kaspersky<\/span><\/h3>\n\t\t\t\t\t\t\t\t\t\t\t<\/header>\n\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\t\t\n\t\t\t\t\tSuscr\u00edbete<\/a>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<\/article>\n\t\t<\/div>\n\t\n\u00bfPero, porqu\u00e9 es tan importante la limitaci\u00f3n de prop\u00f3sito? \u00bfSi alguien elige entregar sus datos a una empresa, cree usted que deber\u00eda poder utilizar esos datos sin cualquier limitaci\u00f3n mientras garantice la privacidad del cliente? No exactamente. Este es un problema mucho m\u00e1s grande de lo que parece.<\/p>\n
La joven mujer, el capell\u00e1n y el hospital<\/strong><\/h2>\nAlgunos instructores de privacidad cuentan una historia sobre una mujer que tuvo que rellenar un formulario cuando la internaron en un hospital. Una pregunta de ese formulario era sobre su religi\u00f3n. Como tal vez esa informaci\u00f3n fuera importante para el tratamiento y ya hab\u00eda visto ese tipo de pregunta en otros formularios, la mujer respondi\u00f3 a la pregunta prontamente, como siempre lo hab\u00eda hecho.<\/p>\n
\u00bfPor qu\u00e9 esa pregunta?\u00a0 Ese hospital utiliza esa informaci\u00f3n para avisar a su capell\u00e1n que hay un nuevo paciente que tal vez quiera recibir una visita. El problema es que no avisaron a la paciente de eso.<\/p>\n
Que peque\u00f1o es el mundo: por coincidencia, el capell\u00e1n del hospital era amigo de la familia de la joven mujer. Pero ella no era casada y estaba en el hospital por causa de un problema con su embarazo. Su familia todav\u00eda no sab\u00eda que ella estaba embarazada y ella no quer\u00eda que ellos supieran. Luego, la joven mujer y el capell\u00e1n se vieron en una situaci\u00f3n muy inc\u00f3moda.<\/p>\n
Sin considerar la violaci\u00f3n del reglamento del uso de datos, algunos dir\u00e1n que la mujer es libre para decidir si quiere o no compartir esa informaci\u00f3n, y que por eso es responsable por los resultados de esa situaci\u00f3n. Por otro lado, la confianza que los pacientes tienen en el servicio de un hospital es crucial para que el hospital alcance sus objetivos: ayudar a los pacientes a que mejoren.<\/p>\n
Existe un principio de la privacidad de datos: cualquier organizaci\u00f3n que recibe informaciones personales, sea para ganar dinero o para ayudar personas a salvar el mundo, necesita ser confiable para ser eficiente.<\/p><\/blockquote>\n
\u00bfPero estar\u00e1n las organizaciones a la altura de la confianza que los consumidores depositan en ellas?<\/p>\n
El reciclaje de datos <\/strong><\/h2>\nEn los \u00faltimos a\u00f1os, varios casos que sorprendieron a los consumidores relacionados a como las empresas utilizaron o vendieron sus datos aparecieron en as noticias. Un ejemplo ser\u00eda el caso de la aplicaci\u00f3n de control del ciclo menstrual que vend\u00eda los datos de sus consumidoras a Facebook.<\/a> Esos datos eran utilizados para anunciar productos para mujeres embarazadas.
\nCon eso, se hizo famoso el caso de una usuaria de la app que empez\u00f3 a recibir anuncios de ese tipo de productos como si estuviera embarazada, pero que en realidad solamente hab\u00eda olvidado de actualizar sus datos en la app por un tiempo. Es f\u00e1cil entender como esa manera de utilizar informaciones sensibles puede da\u00f1ar emocionalmente a algunos consumidores.<\/p>\nEn el 2017, la Comisi\u00f3n Federal de Comercio de los E.E.U.U. denunci\u00f3 de manera extrajudicial a Uber. La denuncia trataba de que algunos empleados de la empresa utilizaron una funci\u00f3n llamada \u201cGood View\u201d<\/em> para rastrear pol\u00edticos, celebridades y hasta exnovias<\/a>. Aunque Uber haya sancionado estos abusos, hasta hoy ning\u00fan proceso ha sido creado por la compa\u00f1\u00eda para prevenir este tipo de problema efectivamente.<\/p>\nCuando se descubre que las empresas han reciclado informaciones muchas dicen que \u201cno era su intenci\u00f3n\u201d. Puede que sea verdad, pero eso sigue ocurriendo.<\/p><\/blockquote>\n
\u00bfRealmente entienden las empresas y sus empleados cu\u00e1les son sus responsabilidades en relaci\u00f3n a la manerade como utilizan los datos de sus consumidores?<\/p>\n
\n\u00bfSe permite el reciclaje de datos personales? Qu\u00e9 dicen las leyes: <\/strong><\/h2>\nLa RGPD implementa la limitaci\u00f3n del prop\u00f3sito como un principio fundamental de la protecci\u00f3n de datos<\/a>. La secci\u00f3n 1B del artigo 5 de ese reglamento realza como los datos personales deber ser colectados solamente cuando su utilizaci\u00f3n es especificada expl\u00edcitamente. Los datos no pueden ser utilizados de otras formas que no coincidan con su prop\u00f3sito original. Existen algunas excepciones para usos hist\u00f3ricos, cient\u00edficos y estad\u00edsticos, y \u201csi los intereses leg\u00edtimos del controlador o de terceros se sobreponen a los intereses de la persona en cuesti\u00f3n<\/a>\u201c.<\/p>\nLa Comisi\u00f3n Europea le ofrece orientaciones a las organizaciones para ayudarlas a saber si lo que planean hacer con los dados coincide, o no, con su prop\u00f3sito<\/a>. Sugieren, por ejemplo, considerar si los datos son sensibles (incluyen informaciones de salud, preferencias pol\u00edticas y m\u00e1s)<\/a> y c\u00f3mo seguir utilizando esos datos puede afectar a la persona involucrada.<\/p>\nMientras las penalizaciones por infringir el principio de limitaci\u00f3n del prop\u00f3sito todav\u00eda no son tan severas, una gran cantidad de procesos han sido abiertos, da\u00f1ando la reputaci\u00f3n de muchas empresas. La autoridad de protecci\u00f3n de datos de Noruega, por ejemplo, ha multado a la Administraci\u00f3n de V\u00edas P\u00fablicas del pa\u00eds en cerca de 50 mil d\u00f3lares por utilizar c\u00e1maras de \u201cseguridad\u201d para monitorear el trabajo de sus empleados<\/a>. Pero infringir este principio con los datos de solamente un consumidor no significa que las multas ser\u00e1n menores: autoridades espa\u00f1olas multaron al banco Bankia en 50 mil d\u00f3lares por almacenar y reutilizar datos de un consumidor que hab\u00eda cerrado su cuenta 16 a\u00f1os antes.<\/a><\/p>\nEsto ocurri\u00f3 porque al considerar a quien multar, las autoridades penalizan no por la violaci\u00f3n del principio, pero s\u00ed por las consecuencias que esa violaci\u00f3n tiene. Por ejemplo, si las compa\u00f1\u00edas no siguen los procesos de limitaci\u00f3n del prop\u00f3sito de los datos, pueden estar infringiendo otras exigencias de la RGPD, como tener una raz\u00f3n legitima para procesar esos datos.<\/p>\n
Pero no ha sido solo en Europa que se ha establecido una limitaci\u00f3n de prop\u00f3sito de datos. En California se a\u00f1adi\u00f3 en 2018 la cl\u00e1usula de limitaci\u00f3n de prop\u00f3sito al California Consumer Privacy Act (CCPA)<\/a>, la nueva ley de privacidad de datos del estado. Esa cl\u00e1usula propone que las empresas deben, antes de colectar informaciones personales, informar a sus consumidores sobre c\u00f3mo esa informaci\u00f3n ser\u00e1 utilizada y exige que tengan el consentimiento de esos consumidores para utilizar sus datos para otro prop\u00f3sito.<\/p>\n
\n\u00bfQu\u00e9 hacen las empresas para respetar las obligaciones de la limitaci\u00f3n de prop\u00f3sito?<\/strong><\/h2>\n\u201cCada empresa procesa diferentes tipos de datos personales, de diferentes formas y con prop\u00f3sitos distintos<\/em>\u201c, afirma el Jefe de Protecci\u00f3n de Datos y Privacidad de Kaspersky en Europa, Alexey Testsov. La RGPD obliga a los controladores y procesadores de datos a mantener registros de cuales datos la empresa est\u00e1 recolectando, del motivo que tiene para colectar esos datos y hasta cuando pretenden almacenarlos. Junto con la fiscalizaci\u00f3n y el mapeo de los datos, esos registros son esenciales para que las responsabilidades con relaci\u00f3n a la limitaci\u00f3n de prop\u00f3sito sean respetadas.<\/p>\n\u201cLos empleados deben saber c\u00f3mo colectar, almacenar y utilizar datos personales sin infringir la legislaci\u00f3n. Con los altos riegos del procesamiento de datos, es mejor discutir cambios en ese procesamiento con un especialista en seguridad o con el departamento jur\u00eddico de la compa\u00f1\u00eda. Los empleados deben saber c\u00f3mo consultar los expertos internos de la empresa sin tener miedo de hacerlo<\/em>\u201c, completa Testsov.<\/p>\nAqu\u00ed siguen dos ejemplos de problemas identificados que pueden causar errores en el control del prop\u00f3sito del uso de datos:<\/p>\n
Sistemas que mantienen los datos separados<\/strong><\/h2>\nProtecciones eficientes contra el uso indebido de datos pueden haber evitado recientemente algunos casos de reciclaje de datos. En el Reino Unido, la Oficina de Comisarios de la Informaci\u00f3n (del ingl\u00e9s \u201cInformation Commissioners\u2019 Office\u201d<\/em> o ICO) mult\u00f3 a una empresa de campa\u00f1as pol\u00edticas y a una compa\u00f1\u00eda de seguros en 120 mil libras cada. El ICO descubri\u00f3 que informaciones personales recolectadas durante una campa\u00f1a pol\u00edtica fueron utilizadas para ofrecer seguros, realzando errores en los sistemas de protecci\u00f3n de datos de las dos empresas<\/a>. \u201cLos sistemas que separan los datos personales de clientes de la compa\u00f1\u00eda de seguros de los datos de los suscritos pol\u00edticos fueron ineficientes en este caso\u201d, <\/em>afirma el informe de ICO.<\/p>\nLos controladores y procesadores de datos deber tener en mente que los avanzos en los softwares pueden causar cambios en la forma de utilizaci\u00f3n de los datos. Eso es conocido como \u201cfunction creep\u201d<\/em>: cuando el uso de una tecnolog\u00eda o sistema va m\u00e1s all\u00e1 del prop\u00f3sito que ten\u00eda originalmente, especialmente cuando puede llegar a una potencial invasi\u00f3n de la privacidad.<\/p><\/blockquote>\n
\u00bfPero, porqu\u00e9 es tan importante la limitaci\u00f3n de prop\u00f3sito? \u00bfSi alguien elige entregar sus datos a una empresa, cree usted que deber\u00eda poder utilizar esos datos sin cualquier limitaci\u00f3n mientras garantice la privacidad del cliente? No exactamente. Este es un problema mucho m\u00e1s grande de lo que parece.<\/p>\n
La joven mujer, el capell\u00e1n y el hospital<\/strong><\/h2>\nAlgunos instructores de privacidad cuentan una historia sobre una mujer que tuvo que rellenar un formulario cuando la internaron en un hospital. Una pregunta de ese formulario era sobre su religi\u00f3n. Como tal vez esa informaci\u00f3n fuera importante para el tratamiento y ya hab\u00eda visto ese tipo de pregunta en otros formularios, la mujer respondi\u00f3 a la pregunta prontamente, como siempre lo hab\u00eda hecho.<\/p>\n
\u00bfPor qu\u00e9 esa pregunta?\u00a0 Ese hospital utiliza esa informaci\u00f3n para avisar a su capell\u00e1n que hay un nuevo paciente que tal vez quiera recibir una visita. El problema es que no avisaron a la paciente de eso.<\/p>\n
Que peque\u00f1o es el mundo: por coincidencia, el capell\u00e1n del hospital era amigo de la familia de la joven mujer. Pero ella no era casada y estaba en el hospital por causa de un problema con su embarazo. Su familia todav\u00eda no sab\u00eda que ella estaba embarazada y ella no quer\u00eda que ellos supieran. Luego, la joven mujer y el capell\u00e1n se vieron en una situaci\u00f3n muy inc\u00f3moda.<\/p>\n
Sin considerar la violaci\u00f3n del reglamento del uso de datos, algunos dir\u00e1n que la mujer es libre para decidir si quiere o no compartir esa informaci\u00f3n, y que por eso es responsable por los resultados de esa situaci\u00f3n. Por otro lado, la confianza que los pacientes tienen en el servicio de un hospital es crucial para que el hospital alcance sus objetivos: ayudar a los pacientes a que mejoren.<\/p>\n
Existe un principio de la privacidad de datos: cualquier organizaci\u00f3n que recibe informaciones personales, sea para ganar dinero o para ayudar personas a salvar el mundo, necesita ser confiable para ser eficiente.<\/p><\/blockquote>\n
\u00bfPero estar\u00e1n las organizaciones a la altura de la confianza que los consumidores depositan en ellas?<\/p>\n
El reciclaje de datos <\/strong><\/h2>\nEn los \u00faltimos a\u00f1os, varios casos que sorprendieron a los consumidores relacionados a como las empresas utilizaron o vendieron sus datos aparecieron en as noticias. Un ejemplo ser\u00eda el caso de la aplicaci\u00f3n de control del ciclo menstrual que vend\u00eda los datos de sus consumidoras a Facebook.<\/a> Esos datos eran utilizados para anunciar productos para mujeres embarazadas.
\nCon eso, se hizo famoso el caso de una usuaria de la app que empez\u00f3 a recibir anuncios de ese tipo de productos como si estuviera embarazada, pero que en realidad solamente hab\u00eda olvidado de actualizar sus datos en la app por un tiempo. Es f\u00e1cil entender como esa manera de utilizar informaciones sensibles puede da\u00f1ar emocionalmente a algunos consumidores.<\/p>\nEn el 2017, la Comisi\u00f3n Federal de Comercio de los E.E.U.U. denunci\u00f3 de manera extrajudicial a Uber. La denuncia trataba de que algunos empleados de la empresa utilizaron una funci\u00f3n llamada \u201cGood View\u201d<\/em> para rastrear pol\u00edticos, celebridades y hasta exnovias<\/a>. Aunque Uber haya sancionado estos abusos, hasta hoy ning\u00fan proceso ha sido creado por la compa\u00f1\u00eda para prevenir este tipo de problema efectivamente.<\/p>\nCuando se descubre que las empresas han reciclado informaciones muchas dicen que \u201cno era su intenci\u00f3n\u201d. Puede que sea verdad, pero eso sigue ocurriendo.<\/p><\/blockquote>\n
\u00bfRealmente entienden las empresas y sus empleados cu\u00e1les son sus responsabilidades en relaci\u00f3n a la manerade como utilizan los datos de sus consumidores?<\/p>\n
\n\u00bfSe permite el reciclaje de datos personales? Qu\u00e9 dicen las leyes: <\/strong><\/h2>\nLa RGPD implementa la limitaci\u00f3n del prop\u00f3sito como un principio fundamental de la protecci\u00f3n de datos<\/a>. La secci\u00f3n 1B del artigo 5 de ese reglamento realza como los datos personales deber ser colectados solamente cuando su utilizaci\u00f3n es especificada expl\u00edcitamente. Los datos no pueden ser utilizados de otras formas que no coincidan con su prop\u00f3sito original. Existen algunas excepciones para usos hist\u00f3ricos, cient\u00edficos y estad\u00edsticos, y \u201csi los intereses leg\u00edtimos del controlador o de terceros se sobreponen a los intereses de la persona en cuesti\u00f3n<\/a>\u201c.<\/p>\nLa Comisi\u00f3n Europea le ofrece orientaciones a las organizaciones para ayudarlas a saber si lo que planean hacer con los dados coincide, o no, con su prop\u00f3sito<\/a>. Sugieren, por ejemplo, considerar si los datos son sensibles (incluyen informaciones de salud, preferencias pol\u00edticas y m\u00e1s)<\/a> y c\u00f3mo seguir utilizando esos datos puede afectar a la persona involucrada.<\/p>\nMientras las penalizaciones por infringir el principio de limitaci\u00f3n del prop\u00f3sito todav\u00eda no son tan severas, una gran cantidad de procesos han sido abiertos, da\u00f1ando la reputaci\u00f3n de muchas empresas. La autoridad de protecci\u00f3n de datos de Noruega, por ejemplo, ha multado a la Administraci\u00f3n de V\u00edas P\u00fablicas del pa\u00eds en cerca de 50 mil d\u00f3lares por utilizar c\u00e1maras de \u201cseguridad\u201d para monitorear el trabajo de sus empleados<\/a>. Pero infringir este principio con los datos de solamente un consumidor no significa que las multas ser\u00e1n menores: autoridades espa\u00f1olas multaron al banco Bankia en 50 mil d\u00f3lares por almacenar y reutilizar datos de un consumidor que hab\u00eda cerrado su cuenta 16 a\u00f1os antes.<\/a><\/p>\nEsto ocurri\u00f3 porque al considerar a quien multar, las autoridades penalizan no por la violaci\u00f3n del principio, pero s\u00ed por las consecuencias que esa violaci\u00f3n tiene. Por ejemplo, si las compa\u00f1\u00edas no siguen los procesos de limitaci\u00f3n del prop\u00f3sito de los datos, pueden estar infringiendo otras exigencias de la RGPD, como tener una raz\u00f3n legitima para procesar esos datos.<\/p>\n
Pero no ha sido solo en Europa que se ha establecido una limitaci\u00f3n de prop\u00f3sito de datos. En California se a\u00f1adi\u00f3 en 2018 la cl\u00e1usula de limitaci\u00f3n de prop\u00f3sito al California Consumer Privacy Act (CCPA)<\/a>, la nueva ley de privacidad de datos del estado. Esa cl\u00e1usula propone que las empresas deben, antes de colectar informaciones personales, informar a sus consumidores sobre c\u00f3mo esa informaci\u00f3n ser\u00e1 utilizada y exige que tengan el consentimiento de esos consumidores para utilizar sus datos para otro prop\u00f3sito.<\/p>\n
\n\u00bfQu\u00e9 hacen las empresas para respetar las obligaciones de la limitaci\u00f3n de prop\u00f3sito?<\/strong><\/h2>\n\u201cCada empresa procesa diferentes tipos de datos personales, de diferentes formas y con prop\u00f3sitos distintos<\/em>\u201c, afirma el Jefe de Protecci\u00f3n de Datos y Privacidad de Kaspersky en Europa, Alexey Testsov. La RGPD obliga a los controladores y procesadores de datos a mantener registros de cuales datos la empresa est\u00e1 recolectando, del motivo que tiene para colectar esos datos y hasta cuando pretenden almacenarlos. Junto con la fiscalizaci\u00f3n y el mapeo de los datos, esos registros son esenciales para que las responsabilidades con relaci\u00f3n a la limitaci\u00f3n de prop\u00f3sito sean respetadas.<\/p>\n\u201cLos empleados deben saber c\u00f3mo colectar, almacenar y utilizar datos personales sin infringir la legislaci\u00f3n. Con los altos riegos del procesamiento de datos, es mejor discutir cambios en ese procesamiento con un especialista en seguridad o con el departamento jur\u00eddico de la compa\u00f1\u00eda. Los empleados deben saber c\u00f3mo consultar los expertos internos de la empresa sin tener miedo de hacerlo<\/em>\u201c, completa Testsov.<\/p>\nAqu\u00ed siguen dos ejemplos de problemas identificados que pueden causar errores en el control del prop\u00f3sito del uso de datos:<\/p>\n
Sistemas que mantienen los datos separados<\/strong><\/h2>\nProtecciones eficientes contra el uso indebido de datos pueden haber evitado recientemente algunos casos de reciclaje de datos. En el Reino Unido, la Oficina de Comisarios de la Informaci\u00f3n (del ingl\u00e9s \u201cInformation Commissioners\u2019 Office\u201d<\/em> o ICO) mult\u00f3 a una empresa de campa\u00f1as pol\u00edticas y a una compa\u00f1\u00eda de seguros en 120 mil libras cada. El ICO descubri\u00f3 que informaciones personales recolectadas durante una campa\u00f1a pol\u00edtica fueron utilizadas para ofrecer seguros, realzando errores en los sistemas de protecci\u00f3n de datos de las dos empresas<\/a>. \u201cLos sistemas que separan los datos personales de clientes de la compa\u00f1\u00eda de seguros de los datos de los suscritos pol\u00edticos fueron ineficientes en este caso\u201d, <\/em>afirma el informe de ICO.<\/p>\nLos controladores y procesadores de datos deber tener en mente que los avanzos en los softwares pueden causar cambios en la forma de utilizaci\u00f3n de los datos. Eso es conocido como \u201cfunction creep\u201d<\/em>: cuando el uso de una tecnolog\u00eda o sistema va m\u00e1s all\u00e1 del prop\u00f3sito que ten\u00eda originalmente, especialmente cuando puede llegar a una potencial invasi\u00f3n de la privacidad.<\/p><\/blockquote>\n
Existe un principio de la privacidad de datos: cualquier organizaci\u00f3n que recibe informaciones personales, sea para ganar dinero o para ayudar personas a salvar el mundo, necesita ser confiable para ser eficiente.<\/p><\/blockquote>\n
\u00bfPero estar\u00e1n las organizaciones a la altura de la confianza que los consumidores depositan en ellas?<\/p>\n
El reciclaje de datos <\/strong><\/h2>\nEn los \u00faltimos a\u00f1os, varios casos que sorprendieron a los consumidores relacionados a como las empresas utilizaron o vendieron sus datos aparecieron en as noticias. Un ejemplo ser\u00eda el caso de la aplicaci\u00f3n de control del ciclo menstrual que vend\u00eda los datos de sus consumidoras a Facebook.<\/a> Esos datos eran utilizados para anunciar productos para mujeres embarazadas.
\nCon eso, se hizo famoso el caso de una usuaria de la app que empez\u00f3 a recibir anuncios de ese tipo de productos como si estuviera embarazada, pero que en realidad solamente hab\u00eda olvidado de actualizar sus datos en la app por un tiempo. Es f\u00e1cil entender como esa manera de utilizar informaciones sensibles puede da\u00f1ar emocionalmente a algunos consumidores.<\/p>\nEn el 2017, la Comisi\u00f3n Federal de Comercio de los E.E.U.U. denunci\u00f3 de manera extrajudicial a Uber. La denuncia trataba de que algunos empleados de la empresa utilizaron una funci\u00f3n llamada \u201cGood View\u201d<\/em> para rastrear pol\u00edticos, celebridades y hasta exnovias<\/a>. Aunque Uber haya sancionado estos abusos, hasta hoy ning\u00fan proceso ha sido creado por la compa\u00f1\u00eda para prevenir este tipo de problema efectivamente.<\/p>\nCuando se descubre que las empresas han reciclado informaciones muchas dicen que \u201cno era su intenci\u00f3n\u201d. Puede que sea verdad, pero eso sigue ocurriendo.<\/p><\/blockquote>\n
\u00bfRealmente entienden las empresas y sus empleados cu\u00e1les son sus responsabilidades en relaci\u00f3n a la manerade como utilizan los datos de sus consumidores?<\/p>\n
\n\u00bfSe permite el reciclaje de datos personales? Qu\u00e9 dicen las leyes: <\/strong><\/h2>\nLa RGPD implementa la limitaci\u00f3n del prop\u00f3sito como un principio fundamental de la protecci\u00f3n de datos<\/a>. La secci\u00f3n 1B del artigo 5 de ese reglamento realza como los datos personales deber ser colectados solamente cuando su utilizaci\u00f3n es especificada expl\u00edcitamente. Los datos no pueden ser utilizados de otras formas que no coincidan con su prop\u00f3sito original. Existen algunas excepciones para usos hist\u00f3ricos, cient\u00edficos y estad\u00edsticos, y \u201csi los intereses leg\u00edtimos del controlador o de terceros se sobreponen a los intereses de la persona en cuesti\u00f3n<\/a>\u201c.<\/p>\nLa Comisi\u00f3n Europea le ofrece orientaciones a las organizaciones para ayudarlas a saber si lo que planean hacer con los dados coincide, o no, con su prop\u00f3sito<\/a>. Sugieren, por ejemplo, considerar si los datos son sensibles (incluyen informaciones de salud, preferencias pol\u00edticas y m\u00e1s)<\/a> y c\u00f3mo seguir utilizando esos datos puede afectar a la persona involucrada.<\/p>\nMientras las penalizaciones por infringir el principio de limitaci\u00f3n del prop\u00f3sito todav\u00eda no son tan severas, una gran cantidad de procesos han sido abiertos, da\u00f1ando la reputaci\u00f3n de muchas empresas. La autoridad de protecci\u00f3n de datos de Noruega, por ejemplo, ha multado a la Administraci\u00f3n de V\u00edas P\u00fablicas del pa\u00eds en cerca de 50 mil d\u00f3lares por utilizar c\u00e1maras de \u201cseguridad\u201d para monitorear el trabajo de sus empleados<\/a>. Pero infringir este principio con los datos de solamente un consumidor no significa que las multas ser\u00e1n menores: autoridades espa\u00f1olas multaron al banco Bankia en 50 mil d\u00f3lares por almacenar y reutilizar datos de un consumidor que hab\u00eda cerrado su cuenta 16 a\u00f1os antes.<\/a><\/p>\nEsto ocurri\u00f3 porque al considerar a quien multar, las autoridades penalizan no por la violaci\u00f3n del principio, pero s\u00ed por las consecuencias que esa violaci\u00f3n tiene. Por ejemplo, si las compa\u00f1\u00edas no siguen los procesos de limitaci\u00f3n del prop\u00f3sito de los datos, pueden estar infringiendo otras exigencias de la RGPD, como tener una raz\u00f3n legitima para procesar esos datos.<\/p>\n
Pero no ha sido solo en Europa que se ha establecido una limitaci\u00f3n de prop\u00f3sito de datos. En California se a\u00f1adi\u00f3 en 2018 la cl\u00e1usula de limitaci\u00f3n de prop\u00f3sito al California Consumer Privacy Act (CCPA)<\/a>, la nueva ley de privacidad de datos del estado. Esa cl\u00e1usula propone que las empresas deben, antes de colectar informaciones personales, informar a sus consumidores sobre c\u00f3mo esa informaci\u00f3n ser\u00e1 utilizada y exige que tengan el consentimiento de esos consumidores para utilizar sus datos para otro prop\u00f3sito.<\/p>\n
\n\u00bfQu\u00e9 hacen las empresas para respetar las obligaciones de la limitaci\u00f3n de prop\u00f3sito?<\/strong><\/h2>\n\u201cCada empresa procesa diferentes tipos de datos personales, de diferentes formas y con prop\u00f3sitos distintos<\/em>\u201c, afirma el Jefe de Protecci\u00f3n de Datos y Privacidad de Kaspersky en Europa, Alexey Testsov. La RGPD obliga a los controladores y procesadores de datos a mantener registros de cuales datos la empresa est\u00e1 recolectando, del motivo que tiene para colectar esos datos y hasta cuando pretenden almacenarlos. Junto con la fiscalizaci\u00f3n y el mapeo de los datos, esos registros son esenciales para que las responsabilidades con relaci\u00f3n a la limitaci\u00f3n de prop\u00f3sito sean respetadas.<\/p>\n\u201cLos empleados deben saber c\u00f3mo colectar, almacenar y utilizar datos personales sin infringir la legislaci\u00f3n. Con los altos riegos del procesamiento de datos, es mejor discutir cambios en ese procesamiento con un especialista en seguridad o con el departamento jur\u00eddico de la compa\u00f1\u00eda. Los empleados deben saber c\u00f3mo consultar los expertos internos de la empresa sin tener miedo de hacerlo<\/em>\u201c, completa Testsov.<\/p>\nAqu\u00ed siguen dos ejemplos de problemas identificados que pueden causar errores en el control del prop\u00f3sito del uso de datos:<\/p>\n
Sistemas que mantienen los datos separados<\/strong><\/h2>\nProtecciones eficientes contra el uso indebido de datos pueden haber evitado recientemente algunos casos de reciclaje de datos. En el Reino Unido, la Oficina de Comisarios de la Informaci\u00f3n (del ingl\u00e9s \u201cInformation Commissioners\u2019 Office\u201d<\/em> o ICO) mult\u00f3 a una empresa de campa\u00f1as pol\u00edticas y a una compa\u00f1\u00eda de seguros en 120 mil libras cada. El ICO descubri\u00f3 que informaciones personales recolectadas durante una campa\u00f1a pol\u00edtica fueron utilizadas para ofrecer seguros, realzando errores en los sistemas de protecci\u00f3n de datos de las dos empresas<\/a>. \u201cLos sistemas que separan los datos personales de clientes de la compa\u00f1\u00eda de seguros de los datos de los suscritos pol\u00edticos fueron ineficientes en este caso\u201d, <\/em>afirma el informe de ICO.<\/p>\nLos controladores y procesadores de datos deber tener en mente que los avanzos en los softwares pueden causar cambios en la forma de utilizaci\u00f3n de los datos. Eso es conocido como \u201cfunction creep\u201d<\/em>: cuando el uso de una tecnolog\u00eda o sistema va m\u00e1s all\u00e1 del prop\u00f3sito que ten\u00eda originalmente, especialmente cuando puede llegar a una potencial invasi\u00f3n de la privacidad.<\/p><\/blockquote>\n
\nCon eso, se hizo famoso el caso de una usuaria de la app que empez\u00f3 a recibir anuncios de ese tipo de productos como si estuviera embarazada, pero que en realidad solamente hab\u00eda olvidado de actualizar sus datos en la app por un tiempo. Es f\u00e1cil entender como esa manera de utilizar informaciones sensibles puede da\u00f1ar emocionalmente a algunos consumidores.<\/p>\n
En el 2017, la Comisi\u00f3n Federal de Comercio de los E.E.U.U. denunci\u00f3 de manera extrajudicial a Uber. La denuncia trataba de que algunos empleados de la empresa utilizaron una funci\u00f3n llamada \u201cGood View\u201d<\/em> para rastrear pol\u00edticos, celebridades y hasta exnovias<\/a>. Aunque Uber haya sancionado estos abusos, hasta hoy ning\u00fan proceso ha sido creado por la compa\u00f1\u00eda para prevenir este tipo de problema efectivamente.<\/p>\n Cuando se descubre que las empresas han reciclado informaciones muchas dicen que \u201cno era su intenci\u00f3n\u201d. Puede que sea verdad, pero eso sigue ocurriendo.<\/p><\/blockquote>\n \u00bfRealmente entienden las empresas y sus empleados cu\u00e1les son sus responsabilidades en relaci\u00f3n a la manerade como utilizan los datos de sus consumidores?<\/p>\n La RGPD implementa la limitaci\u00f3n del prop\u00f3sito como un principio fundamental de la protecci\u00f3n de datos<\/a>. La secci\u00f3n 1B del artigo 5 de ese reglamento realza como los datos personales deber ser colectados solamente cuando su utilizaci\u00f3n es especificada expl\u00edcitamente. Los datos no pueden ser utilizados de otras formas que no coincidan con su prop\u00f3sito original. Existen algunas excepciones para usos hist\u00f3ricos, cient\u00edficos y estad\u00edsticos, y \u201csi los intereses leg\u00edtimos del controlador o de terceros se sobreponen a los intereses de la persona en cuesti\u00f3n<\/a>\u201c.<\/p>\n La Comisi\u00f3n Europea le ofrece orientaciones a las organizaciones para ayudarlas a saber si lo que planean hacer con los dados coincide, o no, con su prop\u00f3sito<\/a>. Sugieren, por ejemplo, considerar si los datos son sensibles (incluyen informaciones de salud, preferencias pol\u00edticas y m\u00e1s)<\/a> y c\u00f3mo seguir utilizando esos datos puede afectar a la persona involucrada.<\/p>\n Mientras las penalizaciones por infringir el principio de limitaci\u00f3n del prop\u00f3sito todav\u00eda no son tan severas, una gran cantidad de procesos han sido abiertos, da\u00f1ando la reputaci\u00f3n de muchas empresas. La autoridad de protecci\u00f3n de datos de Noruega, por ejemplo, ha multado a la Administraci\u00f3n de V\u00edas P\u00fablicas del pa\u00eds en cerca de 50 mil d\u00f3lares por utilizar c\u00e1maras de \u201cseguridad\u201d para monitorear el trabajo de sus empleados<\/a>. Pero infringir este principio con los datos de solamente un consumidor no significa que las multas ser\u00e1n menores: autoridades espa\u00f1olas multaron al banco Bankia en 50 mil d\u00f3lares por almacenar y reutilizar datos de un consumidor que hab\u00eda cerrado su cuenta 16 a\u00f1os antes.<\/a><\/p>\n Esto ocurri\u00f3 porque al considerar a quien multar, las autoridades penalizan no por la violaci\u00f3n del principio, pero s\u00ed por las consecuencias que esa violaci\u00f3n tiene. Por ejemplo, si las compa\u00f1\u00edas no siguen los procesos de limitaci\u00f3n del prop\u00f3sito de los datos, pueden estar infringiendo otras exigencias de la RGPD, como tener una raz\u00f3n legitima para procesar esos datos.<\/p>\n Pero no ha sido solo en Europa que se ha establecido una limitaci\u00f3n de prop\u00f3sito de datos. En California se a\u00f1adi\u00f3 en 2018 la cl\u00e1usula de limitaci\u00f3n de prop\u00f3sito al California Consumer Privacy Act (CCPA)<\/a>, la nueva ley de privacidad de datos del estado. Esa cl\u00e1usula propone que las empresas deben, antes de colectar informaciones personales, informar a sus consumidores sobre c\u00f3mo esa informaci\u00f3n ser\u00e1 utilizada y exige que tengan el consentimiento de esos consumidores para utilizar sus datos para otro prop\u00f3sito.<\/p>\n \u201cCada empresa procesa diferentes tipos de datos personales, de diferentes formas y con prop\u00f3sitos distintos<\/em>\u201c, afirma el Jefe de Protecci\u00f3n de Datos y Privacidad de Kaspersky en Europa, Alexey Testsov. La RGPD obliga a los controladores y procesadores de datos a mantener registros de cuales datos la empresa est\u00e1 recolectando, del motivo que tiene para colectar esos datos y hasta cuando pretenden almacenarlos. Junto con la fiscalizaci\u00f3n y el mapeo de los datos, esos registros son esenciales para que las responsabilidades con relaci\u00f3n a la limitaci\u00f3n de prop\u00f3sito sean respetadas.<\/p>\n \u201cLos empleados deben saber c\u00f3mo colectar, almacenar y utilizar datos personales sin infringir la legislaci\u00f3n. Con los altos riegos del procesamiento de datos, es mejor discutir cambios en ese procesamiento con un especialista en seguridad o con el departamento jur\u00eddico de la compa\u00f1\u00eda. Los empleados deben saber c\u00f3mo consultar los expertos internos de la empresa sin tener miedo de hacerlo<\/em>\u201c, completa Testsov.<\/p>\n Aqu\u00ed siguen dos ejemplos de problemas identificados que pueden causar errores en el control del prop\u00f3sito del uso de datos:<\/p>\n Protecciones eficientes contra el uso indebido de datos pueden haber evitado recientemente algunos casos de reciclaje de datos. En el Reino Unido, la Oficina de Comisarios de la Informaci\u00f3n (del ingl\u00e9s \u201cInformation Commissioners\u2019 Office\u201d<\/em> o ICO) mult\u00f3 a una empresa de campa\u00f1as pol\u00edticas y a una compa\u00f1\u00eda de seguros en 120 mil libras cada. El ICO descubri\u00f3 que informaciones personales recolectadas durante una campa\u00f1a pol\u00edtica fueron utilizadas para ofrecer seguros, realzando errores en los sistemas de protecci\u00f3n de datos de las dos empresas<\/a>. \u201cLos sistemas que separan los datos personales de clientes de la compa\u00f1\u00eda de seguros de los datos de los suscritos pol\u00edticos fueron ineficientes en este caso\u201d, <\/em>afirma el informe de ICO.<\/p>\n Los controladores y procesadores de datos deber tener en mente que los avanzos en los softwares pueden causar cambios en la forma de utilizaci\u00f3n de los datos. Eso es conocido como \u201cfunction creep\u201d<\/em>: cuando el uso de una tecnolog\u00eda o sistema va m\u00e1s all\u00e1 del prop\u00f3sito que ten\u00eda originalmente, especialmente cuando puede llegar a una potencial invasi\u00f3n de la privacidad.<\/p><\/blockquote>\n
\n\u00bfSe permite el reciclaje de datos personales? Qu\u00e9 dicen las leyes: <\/strong><\/h2>\n
\n\u00bfQu\u00e9 hacen las empresas para respetar las obligaciones de la limitaci\u00f3n de prop\u00f3sito?<\/strong><\/h2>\nSistemas que mantienen los datos separados<\/strong><\/h2>\n