GDPR: 25-5-2018 entran en vigencia las nuevas normas europeas sobre privacidad en internet

Registrado
9 May 2017
Mensajes
29.260
Calificaciones
81.601
Ubicación
Buenos Aires - Argentina
La farsa de la privacidad en la era del exhibicionismo en internet
15271618792361.jpg


Nunca antes habíamos expuesto tanto nuestra vida íntima. Y, a la vez, nunca nos había preocupado tanto que invadan nuestra privacidad. La UE quiere resolver esta paradoja con su nueva Ley de Protección de Datos, que hoy entra en vigor

Qué es la GDPR: guía para entender la nueva ley de protección de datos

L' Alcúdia es un pueblo situado unos 35 kilómetros al sur de Valencia y unos 10.000 al este de Silicon Valley. Tiene 11.820 habitantes, aproximadamente 2.167 millones menos que usuarios activos tiene Facebook. Es L' Alcúdia pero podría ser Anchuelo, en Madrid, que apenas tiene 1.000 vecinos, o Marmolejo, en Jaén, que cuenta unos 7.000, o cualquier otra pequeña ciudad en cualquier otro rincón del planeta.

En la plaza del pueblo está Pepe, Pepe Estrellla, según su nombre de usuario (perdón, su apodo). No tiene cuenta en Facebook, en su vida ha abierto Twitter y nunca usó WhatsApp, pero tiene geolocalizados a todos los vecinos sin ni siquiera saber qué narices es Google Maps. «Mira, ahí se ha hecho una casa don José, el maestro; en la esquina está el horno de María la Coca y justo al lado se acaba de comprar un piso Amparo, la de Pelagatos. Pobre, murió su madre el otro día». ¿Y usted cómo se enteró? «Tocaron a muertos y en el bar ya sabían que era ella».

Las campanas de la iglesia son las notificaciones de Pepe. Cuando alguien fallece en el pueblo, redoblan a un ritmo más lento que cuando marcan las horas. Si al final hay dos toques de campana aislados, es que ha muerto una mujer. Si suenan tres, es que es un hombre quien ha abandonado el grupo.

El nombre del difunto aparecerá horas después en el muro (sí, el muro) que hay en el club social, en el mercado y en la calle principal. Y en un rato la muerte de la madre de Amparo será tendencia en el pueblo. Como cuando el hijo del frutero le puso los cuernos a su mujer -«con lo buen chico que parecía»-, cuando se operó las t*tas Remedios, la Calabazas, o cuando la hija de Pepe Estrella se marchó a Madrid, ya ves tú, «con lo bien que se vive en el pueblo».

-¿Y aquí no usan las redes sociales?

-Eso de internet es más frío que hablar con la gente del pueblo. ¿Quién necesita eso, si aquí, de toda la vida, te enteras de todo en la calle?

398


Antonio García Martínez, ex gerente de producto en Facebook, ex asesor de Twitter, periodista y autor del best seller Chaos Monkeys, un libro en el que advertía que para triunfar en Silicon Valley era imprescindible ser un «sociópata».

Revise su correo electrónico, sus últimas notificaciones. Durante las últimas semanas habrá recibido decenas de mensajes de presuntos «sociópatas» invitándole a aceptar los nuevos términos y condiciones de cada una de las aplicaciones que suele utilizar. «Nos preocupa tu privacidad», dice el asunto. Confiese que los ha aceptado todos sin ni siquiera leerlos, como el 99,9% de la población.

Hoy entra en vigor el nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR), que debería poner orden en la forma en la que las empresas obtienen, guardan y procesan los datos personales de sus usuarios en internet y que, por tanto, debería proteger la intimidad de los ciudadanos. Ya saben, su privacidad.

La ley arroja algo de luz, en definitiva, sobre lo que se conoce como la paradoja de la privacidad. Nos obsesiona nuestra seguridad más que nunca pero a la vez nos exponemos más que nunca. En palabras de Antonio García, «la privacidad entra hoy en conflicto directo con los instintos humanos más profundos en torno a la conexión y la comunidad».

¿Qué preferimos entonces: conservar nuestros secretos o seguir conectados? ¿Nos preocupa realmente la privacidad? Y, sobre todo, ¿desde cuándo nos alarma? Según el ex directivo de Facebook, desde hace relativamente muy poco. «La privacidad es un invento moderno, no tanto un derecho humano fundamental como una costumbre cultural. No aparece en ninguno de los textos fundacionales que inspiraron nuestros sistemas de gobierno y la palabra ni siquiera se conocía en inglés antes de 1814. Si le hablaras de privacidad a un miembro de la tribu !Kung o a un aldeano francés del siglo XIX, no tendría la menor idea de qué le estás hablando», ha explicado en varios mensajes de Twitter Antonio García, que atribuye la repentina inquietud por la privacidad a quienes han hecho de ella un negocio millonario. «El resto del mundo está dispuesto a mostrar su lado más privado a cambio de una sensación fugaz de conexión humana. Y es lo que hacen».

Hace unos años en Dinamarca se hizo un experimento con cámara oculta en el interior de una panadería. A cada cliente que entraba a pedir una barra de pan el dependiente le reclamaba a cambio su número de teléfono, su mail, su dirección, su agenda de contactos, sus fotos... y, si se despistaba, el panadero le acompañaba hasta casa. Todos los clientes se escandalizaban. Moraleja: ¿Regalaríamos nuestros datos a cambio de una barra de pan? Ni de broma. ¿Lo haríamos a cambio de una aplicación gratuita para el móvil? Lo hacemos a diario.



Liliana Arroyo, investigadora de la Universidad de Barcelona y experta en impacto social de la tecnología. «Si es una persona la que te pide tus datos, eres consciente de que estás siendo invadido. Cuando no ves unos ojos al otro lado, pierdes esa noción. Tenemos la sensación de que es más peligroso darle información a un ciudadano cuando es mucho más difícil rastrear lo que lanzamos al universo digital».

La historiadora americana Sarah Igo escribió un libro llamado The Known Citizen (El ciudadano conocido), en el que repasaba la historia de la privacidad en la América moderna, desde la definición del término en 1890 como «el derecho a estar solo» hasta los primeros registros de la Seguridad Social pasando por las primeras casas con tabiques. «Hasta que no se hicieron las primeras letrinas separadas no existió el concepto de privacidad», retrata también Arroyo.

El ensayo de Igo refleja cómo la sociedad americana pasó de la indignada resistencia ante las primeras iniciativas de la Policía a tomar las huellas dactilares a la alegría con la que hoy se las regalamos a Apple para desbloquear nuestro iPhone una media de 80 veces al día. Decían en el FBI que estaban encantados con la llegada de los smartphones porque si ellos hubieran ideado un sistema de rastreo tan eficaz, nadie lo habría tolerado jamás.

«El concepto de privacidad ha cambiado definitivamente a nivel cultural, sobre todo porque no hemos entendido aún que cuando te dan un producto gratis es porque el producto eres tú», reflexiona Arroyo. «A golpe de escándalos, empezamos a ser conscientes de los riesgos. El problema es que si no quieres jugar a este juego, te quedas sin tablero porque la sociedad actual nos ofrece pocas alternativas».

Se han hecho varios estudios preguntando a los usuarios si estarían dispuestos a pagar una cantidad simbólica por usar Facebook o Whatsapp a cambio de que no se usaran sus datos privados. Absolutamente todo el mundo respondió que no. Uno de esos estudios lo firmó Cristina Miguel, profesora titular de la Universidad de Leeds.«Nadie se lee la política de privacidad de una red social. La gente acepta sin más porque prioriza el beneficio de la conectividad», apunta.

Según el abogado especialista en Derecho de las Tecnologías Jorge Campanillas, «la sociedad se ha acostumbrado al uso de herramientas muy buenas y gratuitas y se ha despreocupado de la letra pequeña aunque le aterren los casos particulares».

15271608590917.jpg


Katrina Gulliver. "La gente siente que ya no debe ser juzgada por nada de lo que hace y eso se une a un nuevo narcisismo.Internet te permite presumir de una manera que nunca antes existió y en los próximos años veremos si la generación que creció con Facebook no tiene que lamentar la cantidad de detalles que compartió".

De nuevo atrapados en la paradoja, arrastrados por lo que tres investigadores coreanos catalogaron como «la fatiga de privacidad», es decir la sensación de cansancio psicológico que nos provoca nuestra falta de habilidades para gestionar eficazmente nuestro anonimato en el laberinto de internet y las redes sociales.

«Necesitamos generar una nueva cultura digital para dejar de aceptar condiciones con alegría», dice Liliana Arroyo, optimista, pese a todo, pese a aquella frase de Mark Zuckerberg en 2010, antes de que se le acumularan los dolores de cabeza: «La privacidad ha dejado de ser una norma social», aventuró.

Quizás el concepto de privacidad no ha cambiado, sólo ha cambiado el tamaño de la plaza del pueblo. «Antes, en tu pueblo, todo el mundo sabía que eras el hijo de la Carmen pero fuera de allí nadie te conocía. Y te morías y se acabó», asegura Jorge Campanillas. «Hoy te mueres y tus datos se almacenan, nada se pierde. Hoy nunca sales del pueblo, porque el pueblo es global».
http://www.elmundo.es/papel/historias/2018/05/25/5b06a409268e3e2f548b4622.html


 
La farsa de la privacidad en la era del exhibicionismo en internet
15271618792361.jpg


Nunca antes habíamos expuesto tanto nuestra vida íntima. Y, a la vez, nunca nos había preocupado tanto que invadan nuestra privacidad. La UE quiere resolver esta paradoja con su nueva Ley de Protección de Datos, que hoy entra en vigor

Qué es la GDPR: guía para entender la nueva ley de protección de datos

L' Alcúdia es un pueblo situado unos 35 kilómetros al sur de Valencia y unos 10.000 al este de Silicon Valley. Tiene 11.820 habitantes, aproximadamente 2.167 millones menos que usuarios activos tiene Facebook. Es L' Alcúdia pero podría ser Anchuelo, en Madrid, que apenas tiene 1.000 vecinos, o Marmolejo, en Jaén, que cuenta unos 7.000, o cualquier otra pequeña ciudad en cualquier otro rincón del planeta.

En la plaza del pueblo está Pepe, Pepe Estrellla, según su nombre de usuario (perdón, su apodo). No tiene cuenta en Facebook, en su vida ha abierto Twitter y nunca usó WhatsApp, pero tiene geolocalizados a todos los vecinos sin ni siquiera saber qué narices es Google Maps. «Mira, ahí se ha hecho una casa don José, el maestro; en la esquina está el horno de María la Coca y justo al lado se acaba de comprar un piso Amparo, la de Pelagatos. Pobre, murió su madre el otro día». ¿Y usted cómo se enteró? «Tocaron a muertos y en el bar ya sabían que era ella».

Las campanas de la iglesia son las notificaciones de Pepe. Cuando alguien fallece en el pueblo, redoblan a un ritmo más lento que cuando marcan las horas. Si al final hay dos toques de campana aislados, es que ha muerto una mujer. Si suenan tres, es que es un hombre quien ha abandonado el grupo.

El nombre del difunto aparecerá horas después en el muro (sí, el muro) que hay en el club social, en el mercado y en la calle principal. Y en un rato la muerte de la madre de Amparo será tendencia en el pueblo. Como cuando el hijo del frutero le puso los cuernos a su mujer -«con lo buen chico que parecía»-, cuando se operó las t*tas Remedios, la Calabazas, o cuando la hija de Pepe Estrella se marchó a Madrid, ya ves tú, «con lo bien que se vive en el pueblo».

-¿Y aquí no usan las redes sociales?

-Eso de internet es más frío que hablar con la gente del pueblo. ¿Quién necesita eso, si aquí, de toda la vida, te enteras de todo en la calle?

398


Antonio García Martínez, ex gerente de producto en Facebook, ex asesor de Twitter, periodista y autor del best seller Chaos Monkeys, un libro en el que advertía que para triunfar en Silicon Valley era imprescindible ser un «sociópata».

Revise su correo electrónico, sus últimas notificaciones. Durante las últimas semanas habrá recibido decenas de mensajes de presuntos «sociópatas» invitándole a aceptar los nuevos términos y condiciones de cada una de las aplicaciones que suele utilizar. «Nos preocupa tu privacidad», dice el asunto. Confiese que los ha aceptado todos sin ni siquiera leerlos, como el 99,9% de la población.

Hoy entra en vigor el nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR), que debería poner orden en la forma en la que las empresas obtienen, guardan y procesan los datos personales de sus usuarios en internet y que, por tanto, debería proteger la intimidad de los ciudadanos. Ya saben, su privacidad.

La ley arroja algo de luz, en definitiva, sobre lo que se conoce como la paradoja de la privacidad. Nos obsesiona nuestra seguridad más que nunca pero a la vez nos exponemos más que nunca. En palabras de Antonio García, «la privacidad entra hoy en conflicto directo con los instintos humanos más profundos en torno a la conexión y la comunidad».

¿Qué preferimos entonces: conservar nuestros secretos o seguir conectados? ¿Nos preocupa realmente la privacidad? Y, sobre todo, ¿desde cuándo nos alarma? Según el ex directivo de Facebook, desde hace relativamente muy poco. «La privacidad es un invento moderno, no tanto un derecho humano fundamental como una costumbre cultural. No aparece en ninguno de los textos fundacionales que inspiraron nuestros sistemas de gobierno y la palabra ni siquiera se conocía en inglés antes de 1814. Si le hablaras de privacidad a un miembro de la tribu !Kung o a un aldeano francés del siglo XIX, no tendría la menor idea de qué le estás hablando», ha explicado en varios mensajes de Twitter Antonio García, que atribuye la repentina inquietud por la privacidad a quienes han hecho de ella un negocio millonario. «El resto del mundo está dispuesto a mostrar su lado más privado a cambio de una sensación fugaz de conexión humana. Y es lo que hacen».

Hace unos años en Dinamarca se hizo un experimento con cámara oculta en el interior de una panadería. A cada cliente que entraba a pedir una barra de pan el dependiente le reclamaba a cambio su número de teléfono, su mail, su dirección, su agenda de contactos, sus fotos... y, si se despistaba, el panadero le acompañaba hasta casa. Todos los clientes se escandalizaban. Moraleja: ¿Regalaríamos nuestros datos a cambio de una barra de pan? Ni de broma. ¿Lo haríamos a cambio de una aplicación gratuita para el móvil? Lo hacemos a diario.



Liliana Arroyo, investigadora de la Universidad de Barcelona y experta en impacto social de la tecnología. «Si es una persona la que te pide tus datos, eres consciente de que estás siendo invadido. Cuando no ves unos ojos al otro lado, pierdes esa noción. Tenemos la sensación de que es más peligroso darle información a un ciudadano cuando es mucho más difícil rastrear lo que lanzamos al universo digital».

La historiadora americana Sarah Igo escribió un libro llamado The Known Citizen (El ciudadano conocido), en el que repasaba la historia de la privacidad en la América moderna, desde la definición del término en 1890 como «el derecho a estar solo» hasta los primeros registros de la Seguridad Social pasando por las primeras casas con tabiques. «Hasta que no se hicieron las primeras letrinas separadas no existió el concepto de privacidad», retrata también Arroyo.

El ensayo de Igo refleja cómo la sociedad americana pasó de la indignada resistencia ante las primeras iniciativas de la Policía a tomar las huellas dactilares a la alegría con la que hoy se las regalamos a Apple para desbloquear nuestro iPhone una media de 80 veces al día. Decían en el FBI que estaban encantados con la llegada de los smartphones porque si ellos hubieran ideado un sistema de rastreo tan eficaz, nadie lo habría tolerado jamás.

«El concepto de privacidad ha cambiado definitivamente a nivel cultural, sobre todo porque no hemos entendido aún que cuando te dan un producto gratis es porque el producto eres tú», reflexiona Arroyo. «A golpe de escándalos, empezamos a ser conscientes de los riesgos. El problema es que si no quieres jugar a este juego, te quedas sin tablero porque la sociedad actual nos ofrece pocas alternativas».

Se han hecho varios estudios preguntando a los usuarios si estarían dispuestos a pagar una cantidad simbólica por usar Facebook o Whatsapp a cambio de que no se usaran sus datos privados. Absolutamente todo el mundo respondió que no. Uno de esos estudios lo firmó Cristina Miguel, profesora titular de la Universidad de Leeds.«Nadie se lee la política de privacidad de una red social. La gente acepta sin más porque prioriza el beneficio de la conectividad», apunta.

Según el abogado especialista en Derecho de las Tecnologías Jorge Campanillas, «la sociedad se ha acostumbrado al uso de herramientas muy buenas y gratuitas y se ha despreocupado de la letra pequeña aunque le aterren los casos particulares».

15271608590917.jpg


Katrina Gulliver. "La gente siente que ya no debe ser juzgada por nada de lo que hace y eso se une a un nuevo narcisismo.Internet te permite presumir de una manera que nunca antes existió y en los próximos años veremos si la generación que creció con Facebook no tiene que lamentar la cantidad de detalles que compartió".

De nuevo atrapados en la paradoja, arrastrados por lo que tres investigadores coreanos catalogaron como «la fatiga de privacidad», es decir la sensación de cansancio psicológico que nos provoca nuestra falta de habilidades para gestionar eficazmente nuestro anonimato en el laberinto de internet y las redes sociales.

«Necesitamos generar una nueva cultura digital para dejar de aceptar condiciones con alegría», dice Liliana Arroyo, optimista, pese a todo, pese a aquella frase de Mark Zuckerberg en 2010, antes de que se le acumularan los dolores de cabeza: «La privacidad ha dejado de ser una norma social», aventuró.

Quizás el concepto de privacidad no ha cambiado, sólo ha cambiado el tamaño de la plaza del pueblo. «Antes, en tu pueblo, todo el mundo sabía que eras el hijo de la Carmen pero fuera de allí nadie te conocía. Y te morías y se acabó», asegura Jorge Campanillas. «Hoy te mueres y tus datos se almacenan, nada se pierde. Hoy nunca sales del pueblo, porque el pueblo es global».
http://www.elmundo.es/papel/historias/2018/05/25/5b06a409268e3e2f548b4622.html


Muchas gracias @Coti7495 , por este maravilloso artículo sobre la nueva Ley Europea de protección de datos que hoy entra en vigor, gracias.-
Hace tiempo que no leo un artículo tan descriptivo de una situación actual que aporte una estampa tan fácil de entender de la vida globalizada como este.-
Describe el autor como es el transcurrir cotidiano en un pequeño Pueblo de España donde no hay Internet, y recurre a la figura de un interlocutor hipotético vecino del mismo que sin modernas Tecnologías sabe todos los datos de los demás.- Cierto todo eso, verdad indiscutible.
Al expandirse ese Pueblo de tal forma que se ha convertido en el Mundo entero, lógico es pensar que los vecinos de ese Mundo sepan todos los datos de los demás, y esa es la realidad de lo que sucede, me temo que esta Ley de buenas voluntades, se quedará en eso, en voluntad. Tendrá poco recorrido práctico, yo solo le veo uno, la recaudación por sanciones al trasgredirse su articulado.-
Mis felicitaciones por tu extrema agudeza al elegir los temas a tratar, y un cordial saludo.-
 
Estimada @Coti7495 dejo aquí este artículo que es consecuencia del tema que trataste. Saludos cordiales.

Cómo afecta la nueva GDPR a las tecnologías y servicios basados en blockchain
450_1000.jpeg


"Algunas blockchains, tal y como están diseñadas actualmente, son incompatibles con GDPR". Laafirmación, realizada por Michèle Finck, profesora de derecho de la UE en la Universidad de Oxford y probablemente la autora de algunos de los papers más influyentes sobre este asunto, ponía sobre la mesa uno de los problemas a los que se enfrenta esta tecnología, a pocos días de la entrada en vigor de la normativa europea de protección de datos.

Aunque no es sencilla, existen y se están desarrollando diferentes soluciones especialmente para las blockchain privadas, aunque para las públicas, como la que soporta el Bitcoin, no parece que haya posibilidad de adaptar o modificar la tecnología. Pero tampoco está tan claro que GDPR pueda aplicarse a este tipo de criptomonedas.

Vayamos por partes.

Los tres actores de una blockchain desde la perspectiva GDPR
En una blockchain participan tres actores principales: quienes mantienen y operan los nodos que habilita la infraestructura, los desarrolladores que construyen las aplicaciones y los usuarios finales.

450_1000.jpg


La infraestructura, en este caso, es distribuida y se basa en un protocolo. Frente a la opción centralizada, en la que hay un servidor central que da servicio y almacena los datos, en las redes descentralizadas quienes ofrecen esta potencia de computación no se conocen entre sí, simplemente se suman a un protocolo. En el caso de los Bitcoin, por ejemplo, este rol lo desempeñan los conocidos mineros que deciden poner sus servidores y los sincronizan con los demás para competir a la vez que habilitan esa blockchain que soporta una única aplicación (en este caso, el bitcoin). El primero que calcule y mine el hash del bloque, se lleva la moneda o el premio. Este primer grupo de actores, desde el punto de vista GDPR se limitan a sincronizar e hiper-replicar la información.



GDPR podría no aplicarse a los blockchain públicos como Bitcoin, pero sí a las redes privadas, como las ICO y otro tipo de aplicaciones y servicios
El segundo rol son los desarrolladores que hacen las aplicaciones encima de blockchain. El servicio que se ofrece va a utilizar total o parcialmente la blockchain, va a tener una parte “on-chain” y otra en ocasiones “off-chain”. Los desarrolladores pueden desplegar sus aplicaciones tanto en blockchain públicas como privadas. En cualquiera de los casos se enfrentan a un mismo marco GDPR. Tendrán que analizar cuándo y cómo trabajan con datos personales.

Por último, encontramos al usuario que utiliza esa aplicación montada sobre tecnología blockchain. Entre los usuarios hay que diferenciar a quienes les resulta de aplicación el marco normativo GDPR (por ejemplo, en el ámbito b2b o incluso p2p, donde habría que ver si realmente aplica). Cuando se utiliza blockchain, no se registra o accede con un usuario y contraseña como en los servicios online tradicionales, sino que será identificado por una clave pública con la que se autentica y transacciona (que siempre estará asociada a su correspondiente clave privada). Cabe señalar que un usuario, para gestionar su propia privacidad, puede tener tantas claves públicas como quiera (por ejemplo en la red Ethereum), de manera que las puede usar en diferentes servicios.

Blockchain públicas y privadas
Además, hay que diferenciar dos tipos principales de blockchain a las que nos hemos referido: las privadas o permissioned (bajo el control de un grupo limitado de nodos conocidos y que suelen estar bajo el gobierno de una empresa o consorcio que “da permisos” para habilitar la infraestructura) y las públicas o permissionless, que realmente no están bajo el control de nadie (como las redes Bitcoin o Ethereum).

450_1000.jpg


Mientras, GDPR es la nueva normativa de protección de datos europea que busca la completa anonimización de los datos; esto es, que ninguna información pueda relacionar e identificar directamente a ninguna persona. Además, aborda el absoluto control del ciudadano de sus datos, como el denominado Derecho al Olvido, por el que un ciudadano puede pedir que se eliminen todos sus datos cuando estos ya no sean relevantes.

Esa clave pública con la que funcionan todas las blockchain, en términos de GDPR, podría ser en un muchas ocasiones un dato seudónimo, según Moisés Menéndez Andrés, abogado, Co-director del observatorio Fintech de ICADE-EVERIS, equipo promotor de Alastria y socio de Everis Initiatives.

Las complicaciones principales GDPR tienen su origen en la seudonimización de la información del blockchain y los derechos de rectificación y borrado de los posibles datos.

Aquí podríamos encontrar el primer problema de la tecnología con la normativa europea, puesto que si alguien desvela qué persona está detrás de esa clave pública podríamos saber todos los movimientos que ha realizado esa persona en una blockchain.

Por ejemplo, ahora mismo en las blockchain Ethereum o Bitcoin, sabiendo la clave pública de un usuario (puede que, por ejemplo, la haya publicado en su blog para recibir donaciones) podemos saber todo lo que hace. “Si has vinculado tu clave pública a estas operaciones, es como navegar en Google: se puede conocer hasta las horas de las compras, de cualquier transacción”, explica este abogado. “Si has invertido en criptodivisas y desvelas tu clave pública y, en el lado “on-chain” no controlas tu información, no hay nadie que responda por tus derechos GDPR (que tampoco probablemente tendrías), no puedes pedir que se elimine o anonimicen tus datos. No hay ni persona de contacto a la que dirigirse, puesto que es una tecnología totalmente descentralizada”, recuerda.

450_1000.jpeg


En “Accountss” de Ethreum podemos ver quiénes son las claves públicas que más saldos tienen de Ethers o las cantidades de criptomonedas han movido. Pero nadie sabe quién está detrás de esas identidades. De hecho es frecuente ver a la comunidad de desarrolladores buscando de quién es determinada clave pública cuando por ejemplo han robado unos Ethers o desplegado determinado smart contract.

"Suponiendo que la información personal esté encriptada antes de que se escriba en una cadena de bloques, la destrucción de la clave haría que los datos sean ilegibles", asegura en una reflexión en Medium Greg McMullen, abogado, activista de Internet y Director de la Base de Datos Interplanetaria (IPDB). ¿Valdría para cumplir con el derecho al olvido? "Los reguladores deberían aceptar la destrucción de una clave como un borrado a los efectos del GDPR, siempre que la destrucción se realice de acuerdo con las mejores prácticas y de manera auditable", asegura este experto.

El hackeo de datos en blockchain: algo que suena peregrino
¿Pueden las aplicaciones y servicios basados en blockchain sufrir un hackeo de la información como otros servicios online? (léase redes sociales tipo Twitter, aplicaciones como Office 365 o servicios de almacenamiento como Dropbox).

El hackeo en los servicios tradicionales puede hacerse normalmente de dos formas: a nivel de usuario particular (que averigüe nuestra ID y contraseña, de manera que pueda acceder a nuestra información e incluso suplantar nuestra identidad) o a nivel corporativo, accediendo a los servidores empresariales, entrar en su sistema y acceder a los ID y contraseñas de los usuarios.

Cada usuario tiene su clave privada, que no está en la blockchain, sino que está fuera de ella, off-chain. El mayor riesgo es que alguien robe al usuario la clave privada
En el caso de una blockchain, es cierto que un hackeo se puede plantear también a estos dos niveles: intentar hackear y tomar control de la clave pública y privada de un usuario oalterar la información de la blockchain. “Lo segundo, por cómo está configurado un protocolo blockchain, lo hace imposible”, sentencia Moisés Menéndez.

Pensemos en Bitcoin: si quisiéramos hackearlo y alterar un registro, tendríamos que atacar miles de nodos a la vez. “Teóricamente es posible. Algunos dicen que con los ordenadores cuánticos es factible. Pero si fuera posible es mucho más interesante atacar al resto de servicios online -como por ejemplo un banco- porque serían más vulnerables aún si cabe y va a resultar más lucrativo”, explica. “Es más resiliente una red distribuida que una centralizada en la que solo tengo que atacar un ordenador en lugar de los 11.000 que hacen de nodos”.

450_1000.jpg


En cuanto a la posibilidad de que se intente hackear a un usuario concreto, este experto tampoco lo ve como algo realizable. “Las claves públicas con más Ethers o Bitcoins están públicamente expuestas, conocemos hasta de retos en el mundo para intentar averiguar quién está detrás de esas claves públicas, pero nadie ha conseguido robar los Ethers directamente en la blockchain”, asegura Moisés Menéndez, que recuerda así la dificultad de romper la seguridad de estas medidas criptográficas.

“Es mucho más segura el mecanismo criptográfico de uso de una clave privada y pública que una clave-contraseña de un servicio online. La relación es “de uno a un millón" por poner un número bajo”, sentencia.

La información que está onchain y la que está offchain
Para poder usar cada blockchain se tiene, pues, que tener una clave pública siempre vinculada a la clave privada del usuario. De hecho la criptografía es similar a la de un certificado digital que se utilizan ya desde hace varios años, como CERES de la FNMT.

Cuando obtenemos este certificado o clave digital, se instala un componente en nuestro dispositivo que genera una clave privada. “Clave privada y su clave pública son vinculadas y asociadas a su persona titular compareciendo físicamente ante un funcionario en el caso de este Certificado”, explica este experto. A partir de ese momento, para Hacienda podremos identificarnos con una clave pública que tiene capacidad de firmar transacciones utilizando su clave privada.

Si alguien quisiera hackear y alterar un registro en una blockchain, tendría que atacar miles de nodos a la vez. Teóricamente es posible, pero parece poco probable que se haga
En la blockchain ocurre lo mismo. “Cada usuario tiene su clave privada, que no está en la blockchain, sino que está fuera de ella”, es decir, off-chain. El mayor riesgo es que alguien robe al usuario la clave privada. “Cuando alguien te roba los bitcoins, en realidad lo que hace es tomar control de tu clave privada”, detalla Moisés Menéndez.

Ante este riesgo de que alguien se haga con nuestra clave privada, hay gente que llega incluso a no almacenarla en ningún dispositivo tecnológico o lo hace en servidores fríos, no conectados a Internet, precisamente para evitar el hackeo y robo de estas credenciales. De hecho, no es la primera vez que se producen robos físicos, a mano armada, para hacerse con estas claves privadas.

450_1000.jpg


Minimizando los riesgos
Dado que la tecnología blockchain es un modelo distribuido y está basado, en parte, en sistemas criptográficos, este experto considera que “si se sabe utilizar, puede ser un entorno magnífico para gestionar tu privacidad. Por eso, las blockchain públicas son tan buenas para los piratas, porque no hay nada en la clave pública que te pude identificar directamente aunque, eso sí, puedo trazar todo el comportamiento y actividad de esa clave”.

Esta visión sobre cómo casan GDPR y blockchain es algo en lo que coincide con la experta Michèle Finck, quien asegura que estas cadenas de bloques, "si se diseñan adecuadamente, pueden compartir un objetivo común con GDPR: otorgarle a un sujeto más control sobre sus datos, siempre que el blockchain esté específicamente diseñadas para lograr ese objetivo".

¿Cuáles son los riesgos entonces en lo que a nuestra privacidad se refiere? Por un lado, por la parte del usuario, que utilice una misma clave pública para todos los servicios blockchain. Vendría a ser algo así como utilizar la misma contraseña para todos los servicios que utilizamos hoy en día. Si alguien llegara a conocer o a relacionar nuestra clave pública con nuestra identidad, podría conocer todos aquellos servicios que utilizamos y los movimientos que hacemos en ellos.


Entre las soluciones más simples, además de no permitir el registro de datos personales en blockchain, está romper toda vinculación entre esa clave pública y los datos que identifican a cualquier usuario
Otro riesgo es que sea este mismo usuario el que publique abiertamente cuál es su clave pública. “Cuando alguien desvela su clave pública, no solamente es como dar el número de una cuenta bancaria, si no dar acceso al extracto de esa cuenta bancaria y ver todos los movimientos”, pone como ejemplo este experto. Basta recordar lo que podemos ver en las cuentas de Etherscan.

En cuanto a los desarrolladores que trabajan sobre blockchain, el mayor riesgo es que en la programación y codificación de lossmart contracts no se relacione ningún dato personal con cada clave pública.

Por eso, y en opinión de Michèle Finck, los reguladores deben motivar a los desarrolladores de blockchain para diseñar sus productos de conformidad con este importante objetivo de protección de datos".

El escenario ideal, desde el punto de vista de desarrollo de los servicios sería el siguiente

Persona[[[[[[[BLOCKCHAIN]]]]]]] >Clave Pública->Datos

Pero, si en este esquema puede haber algo más que pueda clasificarse como dato personal, es cuando puede producirse un problema de incompatibilidad con GDPR, que como hemos visto exige que la información sea anonimizada para poder gestionar los derechos de rectificación y borrado. Y estos obliga a desarrollar parte de las soluciones “off-chain”.

Estos escenarios podrían ser del tipo

Persona->Clave Pública->datos[[[[[[[[[[BLOCKCHAIN]]]]]]]]]]] ->Hash registro transacción

Vamos a añadir un “secreto”
Las complicaciones principales GDPR tienen su origen en la seudonimización de la información del blockchain y los derechos de rectificación y borrado de los posibles datos. "Se ha impuesto la opinión de que los datos vinculados a una clave pública son seudónimos porque puede producirse la vinculación de la persona a su clave pública", explica Menéndez. Además, al ser un registro inmutable y permanente, la información no puede rectificarse ni borrarse.

450_1000.jpg


Teóricamente, se podría reescribir los datos almacenados en una cadena de bloques, pero solo si la mayoría de los nodos de la red están de acuerdo, cosa prácticamente imposible en una blockchain pública y que no tiene sentido en la mayoría de las blockchain privadas (ya que, según este experto, así "eliminamos una de sus ventajas, la “inmutabilidad” de la información"). Pero, este “problema de blockchain con GDPR tiene varias soluciones que se están desarrollando" y, en todo caso, “puede haber medidas relativamente simples a tener en cuenta en el desarrollo de las aplicaciones”, explica Moisés Menéndez Andrés.

Entre las soluciones más simples, además de no permitir el registro de datos personales en blockchain, está romper toda vinculación entre esa clave pública y los datos que identifican a cualquier usuario. Esto se debería tener en cuenta a la hora de desarrollar nuevas app basadas en blockchain, especialmente si se van a desplegar en redes públicas. En las redes privadas se introducen este tipo de medidas como políticas básicas a cumplir por los desarrolladores.


GDPR no aplica a criptomonedas tipo Bitcoin porque no hay nadie responsable. Habría que hacer extensivo a todos los mineros
Sería como añadir un “secreto” entre la identidad y la blockchain. Ese secreto podría ser “un número que me genere una clave pública por transacción al añadirse a mi clave privada”, explica Menéndez. De esta forma, si se rompe ese código secreto, gestionado offchain junto mi clave privada, también se desvincula la clave pública de la transacción, haciendo imposible que se pueda recuperar. “Es una técnica de anonimización que estamos planteando al regulador GDPR”, explica.

Sin embargo, esta solución sería más complejas en las blockchain públicas actuales, donde, además, tampoco podríamos reclamar nuestros derechos GDPR, al no haber una única autoridad gestora de la información.

No reclames tus derechos GDPR en Bitcoin
Es decir, que las criptomonedas tipo Bitcoin pueden no verse reguladas por GDPR. “Si tu inversión está relacionada con Bitcoin, Ethers o cualquier otro tipo de criptomonedas, si concluyéramos que hay datos personales y la existencia de un responsable de estos, cosa muy cuestionable, no puedes ejercitar tus derechos GDPR, porque no podrían gestionarse en este tipo de tecnologías peer-to-peer”, asegura Menéndez Andrés.

450_1000.jpg


Además, debes tener en cuenta que, ahora mismo, si alguien conoce tu clave pública pueda saber todo lo que haces en Ethereum o Bitcoin. “Si has vinculado tu clave pública a estas operaciones, es como navegar en Google: se puede conocer hasta las horas de ejecución de las transacciones”, explica este abogado. “Si has invertido en criptodivisas no hay nadie que responda por tus derechos GDPR. No es solo que no tenga sentido la figura responsable-encargado del tratamiento, es que no hay ni persona de contacto, es una tecnología totalmente descentralizada y fuera de una jurisdicción concreta”, recuerda.

Por eso, este experto asegura que en su opinión GDPR no aplica a este tipo de criptomonedas “porque no hay nadie responsable. Habría que hacer extensivo a todos los mineros la condición de responsable o encargado del tratamiento de los datos, consideración de consecuencias absurdas”. Otra cosa es la relación del inversor con su “exchange” si lo utiliza para comprar y vender criptomonedas. "Éste sí es un servicio centralizado y clásico a efectos de la aplicación de GDPR, porque en realidad estamos fuera de la blockchain", añade.


El miedo a las altas multas que puede acarrear un incumplimiento está haciendo que se adopte una política de “por si acaso” en el desarrollo de aplicaciones basadas en blockchain
En las ICO, por tanto, sí tienes derechos GDPR. Una normativa, por tanto, que no podría aplicarse en las criptomonedas, pero sí en cualquier otro tipo de token, sea “security” o “utility” o servicio en el que esté detrás una organización que lo promueva, que haya construido una aplicación o plataforma que los gestione

Así pues, si has invertido en algún tipo de ICO(oferta inicial de monedas), sí que estás amparado por GDPR, independientemente del país en el que esta ICO opere si facilitas alguno de tus datos personales.

Estas empresas deben gestionar bien los datos de los ciudadanos europeos que compran ese token, porque sí que son responsable de garantizar la normativa de protección de datos. Si alguien hackea sus bases de datos, sería capaz de relacionar los movimientos en estos activos con personas concretas y eso plantea muchos problemas con la nueva normativa de protección de datos europea.

450_1000.jpg


La “histeria” GDPR
Aunque GDPR se aprobó hace dos años, es ahora que se acerca su entrada en vigor cuando corre prisa saber si se es compatible o no con la normativa. Menéndez Andrés cree que muchas de las empresas que promueven ICO “están descuidando a sus potenciales suscriptores europeos” y considera factible que, al igual que hay ICOS que advierten en su página web a los estadounidenses no comprar algo porque lo prohíbe la SEC (la Comisión del Mercado y Valores del país), con GDPR podría ocurrir algo parecido: “si es usted ciudadano UE no puede adquirir estos tokens”.

Además, este experto considera que hay que evitar el alarmismo. “Ahora mismo hay una especie de paranoia con GDPR. Estamos en el riesgo de que los ciudadanos europeos nos convirtamos en una especie de Amish tecnológicos, yendo en un carromato en esto de la innovación mientras nos pasan los americanos por la izquierda con coches autopilotados y los asiáticos en vehículos voladores”.


Blockchain es un modelo distribuido y está basado, en parte, en sistemas criptográficos. “Si se sabe utilizar, puede ser un entorno magnífico para gestionar la privacidad"
Lo cual no quita para que los desarrolladores de aplicaciones blockchain las construyan correctamente para que no se produzca esta vinculación entre dato personal e identificación de una persona. “Si soy una empresa y controlo datos personales, estoy obligado a evitar que se vincule la clave pública con una persona concreta”, por lo que tengo que garantizar que no se produzca esa vinculación.

Este tipo de riesgos son los que se pretenden evitar en la blockchain promovida por Alastria, un consorcio de 205 miembros (abril 2018 y sigue creciendo) que está desarrollando las reglas de gobierno para que los principios básicos de los proyectos y aplicaciones blockchain sean anónimos y compatibles con GDPR. “Intentamos facilitar las guías de buenas prácticas y, en su momento, probablemente se elaborará un Código de Conducta que haga segura esta red, explica Moisés Menéndez.

Aunque este experto considera que hay que construir las app teniendo extremado cuidado con la regulación de GDPR, y no solo por las sanciones, sino por los derechos esenciales que se protegen, también confiesa que hay “cierto histerismo en relación a la normativa. Estamos siendo muy conservadores y prudentes con la norma. Pero no puede haber parálisis por una visión histérica e histriónica en ocasiones”, añade.

El miedo a las altas multas que puede acarrear un incumplimiento está haciendo que se adopte una política de “por si acaso”. Algo que, según este abogado, “hace mucho daño a la innovación. Si tienes dudas debes ir al regulador”, añade, y confía en la utilización de los sandbox para probar de manera segura los conceptos quizás más agresivos a la vista de la regulación y en que la legislación que se apruebe en cada país “sea más ad hoc para esta tecnología blockchain”.

Si el futuro pasa por blockchain, ¿qué hacemos con GDPR?
Como decíamos antes, GDPR está pensado para un sistema centralizado de información. Sin embargo, la tecnología blockchain es justo la desintermediación y descentralización. Al mismo tiempo, se llega a asegurar que blockchain será en el futuro, una tecnología tan revolucionaria como lo ha sido la propia Internet. Si va a ser así, ¿cómo puede aplicarse GDPR?

La ley suele ir siempre por detrás del cambio tecnológico, pero, en opinión de Michèle Finck en su paper sobre GDPR y blockchain, esta división se agudiza a medida que el ritmo de la innovación se acelera en la era digital. Con respecto al GDPR, asegura que aspectos fundamentales (como los derechos de enmienda y al olvido) "no pueden aplicarse fácilmente a las nuevas tecnologías de almacenamiento y procesamiento de datos".

“Las autoridades GDPR van a tener que hacer un esfuerzo de comprensión de la tecnología para su aplicación a blockchain, ya que es muy diferente al Internet de los silos de información que hoy todos utilizamos”, asegura este abogado. No en vano, en las blockchian es a veces muy complicado entender que es un dato personal, los roles, incluso la existencia de un “responsable” de estos datos.

El reto, según Michèle Finck, consiste en "aplicar el marco de protección de datos de la UE de una manera que no asfixie el potencial innovador de blockchain, pero que al mismo tiempo garantice la protección de datos".

Por otro lado, insiste: “no hay que olvidar que en los entornos de blockchains privadas o semipúblicas, como lo es Alastria, la problemática GDPR se puede mitigar enormemente en la medida en que se implementen las diferentes soluciones hoy en desarrollo, que aseguran la gestión criptográficamente segura de la información, o la propia privacidad de las transacciones, solo completamente visibles entre las partes que intervienen frente al resto de la red”.

https://www.xataka.com/criptomonedas/como-afecta-nueva-gdpr-tecnologias-servicios-basados-blockchain














 
GDPR, reflexiones y explicaciones.

1*1Xr1_-ysVp-sfdQE_u5mHw.jpeg


En razón de la entrada en vigencia a partir de hoy 25 de mayo de 2018, de una de las normas sobre protección de datos más importantes y posiblemente una de las más restrictivas del mundo e impulsado por la Unión Europea (GDRP: Reglamento General de Protección de Datos/General Data Protection Regulation); es importante tener en cuenta que su aplicación es directa sobre todos los países miembros de la Unión Europea y se superpone a la legislación de los países, así que todas las instituciones con sede dentro del ente comunitario se ven obligados a acatarlo a partir de hoy, sin esperar a que los estados miembros adapten sus propias legislaciones para adaptarlas al GDPR.

A pesar de que entro en vigor el 25 de mayo de 2016 -dando la Unión Europea 2 años para que todas las instituciones se adaptasen a ella-, hoy es la puesta efectiva en marcha de la ley.

Desde los años 90 se han impulsado muchas normativas que regulan el tratamiento de los datos dentro de empresas e instituciones, con el objetivo de que los datos fuesen protegidos y se velara por la privacidad de las comunicaciones electrónicas.

Muchas leyes se promulgaron antes de la llegada a Internet, y otras se hicieron a finales de los 90, cuando Internet no era todavía la gigantesca red que es hoy en día, y a eso hay que sumar otros campos como la computación en la nube.

La rápida evolución de Internet y las tecnologías que se apoyan o derivan en él han hecho que las legislaciones vigentes hasta ayer se hayan quedado obsoletas, haciendo que no sean capaces de hacer frente a los desafíos actuales en materia de protección a la privacidad.

La Unión Europea aspira a tener una legislación única que se aplique sobre todos los estados miembros, así que además de armonizar en este sentido, el GDPR pretende reforzar la protección de datos para todos los individuos de la Unión Europea, regular la exportación de datos personales fuera de la UE y establecer un conjunto de “derechos digitales” para todas las personas físicas de su ámbito de actuación. La intención es que los residentes de la UE puedan tener un mayor control sobre sus datos, ofreciendo a las empresas un marco más transparente para operar, simplificando el entorno regulador de los negocios internacionales y unificando la regulación.

El GDPR también pretende reforzar la confianza en la economía digital, intentando despejar los miedos de usuarios y empresas sobre cómo tratan ciertas compañías los datos personales.

El GDPR afecta a cualquier organización que opere dentro de la Unión Europea que maneje datos de una persona física residente en el ente comunitario, y no solo eso, sino que amplía su ámbito de su aplicación a organizaciones no europeas que tengan su residencia en cualquier parte del mundo, siempre que procesen datos de residentes de la UE.

Esto quiere decir que se aplica si el controlador de datos -una organización que recolecta datos de residentes de la UE- o el procesador -una organización que procesa datos en nombre del controlador de datos como servicios en la nube- o el interesado –persona- tienen su sede en la UE, además de a cualquier organización con sede fuera de la Unión Europea, si esta recopila o procesa datos personales de residentes en la comunidad económica europea.

El GDPR posee fuertes sanciones, que pueden llegar hasta los 20 millones de euros o el 4% del volumen de ingresos anuales de la institución u organización infractora. Esto hace que su cumplimiento tenga que ser, sobre todo a partir de hoy, una prioridad absoluta. Los seis pasos a seguir para velar por su cumplimiento son:

1. Entender el marco legal del GDPR: Entender la legislación vigente es algo crítico para evitar problemas y sanciones. Para evitarlos, se puede recurrir a auditorías sobre su cumplimiento. Posiblemente sea necesario contratar a un técnico de protección de datos para que explique las regulaciones y cómo aplicarlas a la organización.

2. Crear un registro de datos: Cuando la organización tenga más claro el marco legal y sus requisitos, deben mantener un registro del proceso. Esto debe hacerse a través del mantenimiento de un Registro de Datos, que es esencialmente un diario de GDPR. Cada país cuenta con una Asociación de Protección de Datos (DPA) que será responsable de hacer cumplir el GDPR. Es esta organización la que juzgará si una empresa ha sido compatible, con la determinación de posibles sanciones por incumplimiento.

3. Clasificación de datos: Se trata de entender qué datos las empresas necesitan proteger y cómo se está haciendo. Primero las empresas deben encontrar Información Personal Identificable (PII) de ciudadanos de la Unión Europea. Es importante identificar dónde se almacenan esos datos, quién tiene acceso a ellos, con quién se comparte, etc.

4. Empezar con lo que es prioritario: Una vez que los datos han sido identificados, lo importante es comenzar a evaluarlos, incluyendo cómo se están produciendo y protegiendo, siendo lo prioritario proteger la privacidad de usuarios y consumidores. Las organizaciones tienen deben completar una Evaluación de Impacto de la Privacidad (PIA) y la Evaluación de Impacto de la Protección de Datos (DPIA) de todas las políticas de seguridad, evaluando los ciclos de vida de los datos desde el origen hasta su destrucción.

5. Evaluar y documentos riesgos y procesos adicionales: No solo hay que proteger los datos sensibles, sino también evaluar y documentar otros riegos con el objetivo de averiguar dónde puede ser la organización más vulnerable en otros procesos. Es importante mantener una hoja de ruta plasmada en un documento para mostrar a la DPA correspondiente cómo y cuándo se va a abordar los riesgos pendientes para así mostrarle que la organización se está tomando el cumplimiento y la protección de datos seriamente.

6. Revisar y repetir: Tras obtener los resultados de los pasos anteriores, hay que revisarlos y remediar cualquier posible eliminación, modificación y actualización cuando sea necesario. Una vez que esto se haya completado, las empresas deben determinar sus próximas prioridades y repetir el proceso desde el cuarto paso.

¿Cómo no afecta a este lado del planeta? Bien, la base principal del GDRP quiere garantizar la libre circulación de datos en el seno de la UE. Desde esta consideración, el Principio de Transferencias Internacionales recoge que únicamente podrá realizarse una transferencia de datos personales a un tercer país u organización internacional, cuando la Comisión haya considerado que éstos (país u organización) disponen de un adecuado nivel de protección; ofrecen garantías adecuadas sobre la protección que los datos recibirán en su destino; o se dan circunstancias previstas como excepciones, y siempre y cuando se observen los demás requisitos del Reglamento.

Ciertamente, la nube permite traspasar fronteras tecnológicas, geográficas y administrativas, asegurando la disponibilidad, accesibilidad y compartición de los datos, pero también impulsa un importante abanico de amenazas. Así, uno de los mayores problemas que surge en torno a esta infraestructura es que los datos personales se procesan en la nube, por lo que los equipos de seguridad y de TI no tienen percepción ni control sobre lo que sucede con ellos. Estos equipos, además, han perdido visibilidad sobre el número de aplicaciones de nube utilizadas en el entorno empresarial.

A raíz de esta situación, y, sobre todo a causa de leyes como GDPR, las empresas que utilizan aplicaciones en la nube deben optar desde ya por implementar políticas y controles de seguridad que les ayuden a proteger y utilizar los datos personales de forma apropiada.

En América Latina, y pese a la entrada en vigor de este Reglamento, muchas organizaciones desconocen o dudan acerca de los aspectos más relevantes relacionados con su cumplimiento. Nadie quiere incurrir en faltas que puedan conllevar sanciones y en este tema de la globalización y geo-posicionamiento distribuido de los datos a través de tecnologías de nube, podría ponernos en la mira, si nuestros servicios son consumidos en esas latitudes y esa particularidad nos obliga a custodiar información de ciudadanos de la comunidad europea.

Fuente base: Muy Canal
 
GDPR y los dos tipos de emails, ¿necesitan o no las empresas mi permiso para seguir comunicándose conmigo?

450_1000.jpg


Salvo que lleves días o semanas encerrado en una cueva, sabrás que hoy es la fecha límite (aunque entró en vigor hace dos años pero no era obligatorio su cumplimiento hasta hoy) para que las empresas cumplan el nuevo RGPD o GDPR en inglés, un reglamento europeo que tiene como objetivo reforzar la privacidad de los ciudadanos europeos. Lo de estos días, y sobre todo las últimas horas, está siendo una auténtica avalancha. Los buzones de correo de los usuarios europeos se han llenado de emails en los que empresas, que en muchas ocasiones ni recordamos.

Esos correos nos solicitan confirmar que queremos seguir suscritos a sus newsletters o que permitimos que usen nuestros datos, mientras que otros solo comunican un cambio en las políticas de protección de datos. ¿Qué está pasando? Con las prisas de última hora, hemos visto esos dos tipos de emails y nos preguntamos, ¿por qué unas empresas piden de nuevo permiso para comunicarse con nosotros y otras no?

Para entrar de lleno en materia mostraremos un ejemplo muy claro de dos emails recibidos a raíz de la obligación de cumplir con el RGPD:

450_1000.jpg


Las diferencias saltan a la vista enseguida: mientras que FNAC simplemente comunica que ha actualizado su política de privacidad, sin solicitar nada a los usuarios, Media Markt está pidiéndonos que confirmemos que queremos seguir recibiendo sus comunicaciones, con el gancho de entrar en el sorteo de una GoPro Hero 5 Black de por medio. Nota: la práctica de "confirma que quieres seguir recibiendo nuestros mails y entrarás en el sorteo de..." no es exclusiva de Media Markt, la han hecho muchas empresas.

Los dos tipos de emails son correctos
Ante las prisas de las empresas por cumplir con el nuevo reglamento, podríamos pensar que algunas no estén actuando correctamente. Contar con el permiso explícito para contactar con los usuarios es solo uno de los requisitos del RGPD, que también obliga a las empresas a garantizar el derecho al olvido o a proporcionar a los usuarios una vía o herramienta para descargarse sus datos de usuario (como ya hace por ejemplo WhatsApp), con el fin de facilitar su migración a otra empresa.

Pero volvamos a los ejemplos que hemos expuesto anteriormente, ¿por qué Media Markt está solicitando de nuevo permiso a los suscritos a su newsletter para que la sigan recibiendo y FNAC no? La respuesta nos la proporciona Sergio Carrasco, Consultor en Fase Consulting:

"El spam de mensajes pidiendo de nuevo el consentimiento ha venido provocado en parte por una inadecuada gestión de los datos con anterioridad a la aplicación del RGPD, y por otra parte por un asesoramiento deficiente.

Como bien indica el RGPD, los consentimientos que cumplan con los requisitos de la nueva normativa siguen siendo válidos, con lo cual es innecesario (y totalmente improductivo) requerir un nuevo consentimiento para continuar mandando correos. Ha habido casos en los que pese a existir una relación contractual (uno de los supuestos habilitantes), se ha vuelto a mandar un correo indicando que en caso contrario se eliminarán los datos de la Base de Datos.

Al final, la causa es que pese a haber tenido dos años para analizar el tratamiento y finalidades en cada caso las adaptaciones se han intentado hacer durante los últimos días, con prisas y asesoramientos en algunos casos negligentes."

De las declaraciones de Carrasco deducimos que FNAC considera que ya contaba con los consentimientos explícitos de los receptores de su newsletter, por lo que no solicita ninguna confirmación, mientras que Media Markt no lo tenía o simplemente se ha querido cubrir y solicitarlo de nuevo. En cualquier caso, también hay una tercera vía, las empresas que han actualizado su política de privacidad y no han visto necesario comunicarlo mediante un email porque no hay cambio de finalidades o porque ya lo hicieron en el pasado.

A partir de hoy recibirás menos emails

450_1000.jpg

Fuente imagen: Pixabay
Por tanto, nos encontramos con una situación con distintos escenarios: empresas que ya lo hacían o consideraban que lo hacían bien y no necesitan realizar cambios o pedir a sus clientes que confirmen sus suscripciones, las que han avisado de los cambios sin pedir ninguna acción a los usuarios y las que porque no lo habían recabado o por cubrirse las espaldas están solicitando de nuevo los permisos.

El resultado no puede ser otro que los usuarios recibiremos menos emails publicitarios a partir de hoy, si las empresas cumplen con una ley que de ser incumplida les expone a multas de hasta el 4% de su facturación anual. Si no hacemos ninguna acción ante los correos que piden que confirmemos la suscripción la empresa en cuestión nos tiene que dar de baja de su base de datos, ya que como indica el RGPD el consentimiento tiene que ser libre, inequívoco, expreso y explícito. En muchas newsletters estaríamos suscritos mediante permisos tácitos, que ya no son validos.

Ante las exigencias del RGPD, hay empresas que incluso han optado por no ofrecer sus servicios en Europa
Todo deberían ser beneficios para los usuarios, aunque ya hay empresas que han dejado de ofrecer sus servicios en Europa, que ganamos en derechos y protección de datos. En el lado de las empresas no parece que haya tantos beneficios, ya que aunque las que siempre han actuado correctamente no tendrían que sufrir ninguna consecuencia, muchas verán el número de suscriptores a sus newsletters descender drásticamente.

https://www.xataka.com/legislacion-...-mi-permiso-para-seguir-comunicandose-conmigo



 
La resaca de la GDPR: "esto es un caos"
TECNOLOGÍA
    • BRUNO TOLEDANO
  • 29 may. 2018 02:16
15275230349857.jpg

0 comentariosComentar
La nuevo reglamento de privacidad aprobado el pasado viernes 25 de mayo ha pillado por sorpresa a negocios de todo el mundo

Grandes y pequeñas empresas temen las represalias de no cumplir la legislación, que contempla multas de hasta 20 millones de euros

La GDPR, el nuevo reglamento general de protección de datos de la Unión Europea, ya entrado en vigor. Seguramente te has enterado de ello por la ingente cantidad de correos electrónicos y avisos que has recibido en las últimas dos semanas pues, aunque la legislación lleva aprobada desde 2016, parece que el toro ha pillado a todo el mundo, usuarios y empresas por igual.

Pero ya ha pasado el chaparrón de consentimientos y correos, ahora queda lidiar con las inundaciones. Aunque el usuario básico no vaya a notarlo en un primer momento, hay muchos negocios, de todo tamaño y tipo, que van a tener severos problemas a corto plazo.

Microsoft, Instagram, Zara, Renfe y un inmenso número de empresas multimillonarias no van a tener problemas para seguir comunicándose con sus usuarios, ya sea porque no recopilan datos para los que necesiten consentimiento o porque dan por hecho ese permiso de manera implícita.

Es algo que contempla la ley y que es totalmente legal: no has dado permiso a Facebook para nada porque la compañía considera que recopilar tus datos es algo legítimo para su servicio y para ti. Te guste o no. Aún así, Facebook, junto con Google, es una de las primeras empresas en haber sido denunciadas por infringir la normativa: según None of Your Business, un organismo sin ánimo de lucro, esto sería un "consentimiento forzado".

Falta de información en pequeños negocios
Si las grandes empresas tienen algunos problemas, las más pequeñas lo tienen aún más crudo. Pongamos, por ejemplo, una tienda de zapatillas de Madrid con un nicho de compradores muy concret,y que tiene una newsletter y que manda algunos avisos por correo de ofertas. "Está todo parado", asegura Fran, propietaro de Nigra Mercato, una tienda especializada en sneakers. "Ahora mismo todavía no estoy adaptado y si me inspeccionan supongo que me podrían multar".

Uno de los puntos críticos de la GDPR son las multas que se pueden imponer por violar el derecho a la privacidad de los usuarios. Pueden ascender hasta los 20 millones de euros o cobrarse un 4% de la recaudación anual, que en el caso de Facebook o Google o Amazon, serían unas cifras inmensas.

En el caso de Nigra Mercato, no serían cifras tan altas, pero el miedo está ahí. "Estoy actualizando para adaptarme. Nosotros en principio no vendemos los datos de nadie, así que adaptarnos a la nueva normativa supondría perder el 90% de los suscriptores que tenemos".

Este es uno de los problemas de recibir tantos mails sobre consentimiento de golpe: no se les ha hecho caso y muchas suscripciones dejarán de funcionar en consecuencia. "Tampoco va a ser mucha sangría en nuestro caso", asegura, aludiendo a que su negocio no depende de la venta de datos ni de esa newsletter que ahora ha quedado paralizada.

"Esto es un caos"
Como en este caso, otras muchas empresas tienen que adaptarse a toda velocidad, y esto está llevando al colapso de las consultorías especializadas en protección de datos y en la adaptación de nuevas normativas.

Un informe de Capgemini no deja lugar a dudas: el 45% de las empresas españolas no está adaptada aún a la GDPR, cifra que aumenta hasta unos temibles 85% si se habla de empresas europeas y de EEUU. Y a final de año, calculan que un 25% todavía no estarán al día.

"Se pueden llegar a necesitar hasta cuatro meses para implantar por completo la legislación", asegura Antonio Quevedo, director general de Audisec."El 25 había que tener unas tareas hechas, las normativas hay que cumplirla ese día, no hacer tres papeles para salir del paso"

Hay muchas empresas españolas a las que les ha pillado el toro no por "un hecho cultural", sino porque esos dos años entre la aprobación y la aplicación del reglamente al final se han hecho bastante cortos.

Quevedo culpa de esto a cierta "inflación" legislativa. "Muchas empresas están cansadas de la carga que supone cumplir con todas las leyes nuevas", a lo que hay que sumar muchas pensaban que "con la actual ley estaban cubiertas, pero no ha sido el caso". "Hay tanta normativa que es difícil estar al dia con ella".

Sean grandes o pequeñas, muchas compañías se han dado de bruces con esta realidad, así como con las limitaciones de las consultorías y abogados especializados en protección de datos. "Esto es un caos. Hay empresas que hicieron peticiones de un jueves por la mañana a un jueves por la tarde, y eso es imposible". Quevedo asegura que, en el caso de su compañía, el número de clientes y de servicios exigidos ha crecido "exponencialmente" y que no dan abasto.

Al desconocimiento y a cierta pereza hay que sumar que la normativa no es sencilla, pero parece que la mayoría de empresas han actuado correctamente. "Las sanciones tienen parte de la culpa. Restar un 4% de la facturación global es muchísimo y esto ha hecho que se pongan las pilas las grandes compañías, y las pequeñas por contagio".

Aún así, ha habido errores en todos los tramos, al margen del tamaño. "En algunos casos", apunta Quevedo, "las empresas estaban ya legitimadas de anteriores ocasiones para tratar con la información, pero ha pasado que mucha gente, mal asesorada, han vuelto a solicitar consentimiento". Lejos de ser algo positivo, esto ha sido un problema para la mayoría. "Si pides una nueva autorización y no te la dan, entonces sí has perdido el permiso".

Los que no quieren saber nada de Europa
Tarde o temprano, los problemas que han surgido a raíz de la aplicación del GDPR tienen solución si ocurren dentro del territorio de la Unión Europea. Pero en empresas que operan fuera, quizá haya bloqueos irreversibles en los servicios.

Si eres lector de prensa internacional, quizás te lleves algún disgusto al consultar medios de comunicación que no son europeos. Aunque en algunos casos te encontrarás con versiones muy pulidas y sin publicidad por defecto, como la de USA Today; si lees Los Angeles Times, vas a pasar unos meses sin información suya: han bloqueado el acceso a los lectores europeos para evitar la GDPR.

Del mismo modo, hay aplicaciones y servicios que han optado por métodos similares. Si jugabas a Ragnarok Online, un popular videojuego online para navegadores de Internet, se acabó la partida: los servidores europeos son historia y no podrás acceder al juego. Klout, un servicio online pensado para redes sociales que mide la influencia de usuarios, dejará de funcionar también para europeos. Y así, un largo etcétera.

Estos bloqueos o limitadores se darán en casos muy específicos, por lo que la mayoría de usuarios que viven en las nubes de Google, Amazon, Microsoft y Facebook no van a tener problemas para seguir haciendo una vida digital similar a la que llevaban antes del 25 de mayo. Todo lo contrario, pues según apuntan muchos crítico, su papel como intermediario se puede ver reforzado con la nueva legislación.

http://www.elmundo.es/tecnologia/2018/05/29/5b0bd534268e3e40068b4580.html
 
Back