La importancia de la discusión del GDPR en Latinoamérica

Tras el escándalo de Cambridge Analytica, en el que esta compañía inglesa en conjunto con Facebook utilizaron datos de los usuarios de esta red social con el fin de influir en las elecciones presidenciales de EE.UU y el referendo del Brexit en el 2016, se hizo evidente el uso indebido y no informado de la información personal de los usuarios por lo que desencadenó el debate acerca de qué tan seguros están los datos que compartimos en los servicios gratuitos que utilizamos en internet.

A consecuencia de esta situación y de otras que se venían discutiendo sobre el tema, la Unión Europea (UE) dio un paso importante al crear e implementar la política del GDPR (General Data Privacy Regulation), la cual empezó su ejecución en mayo de 2018. Los objetivos centrales de esta política son: 1) “dar a las personas más control sobre cómo se utilizan sus datos personales, teniendo en cuenta que muchas empresas como Facebook y Google intercambian el acceso a los datos de las personas para el uso de sus servicios” y 2), “dar a las empresas un entorno jurídico más simple y más claro para operar” . Sin embargo, hay que tener en cuenta que, a pesar de la existencia de esta normativa, algunas empresas han organizado sus términos y condiciones de tal manera que los usuarios den su consentimiento de manera forzada o se les cancele el servicio al no aceptar las nuevas reglas de juego.

En este punto surge la pregunta, ¿cómo opera el GDPR en nuestras vidas? Las empresas que recolecten, almacenen, registren y procesen datos personales con bases de datos o durante la navegación en algún sitio web, desde el inicio deben expresar de forma clara sobre los usos que le van a dar a estos. Un ejemplo, es solicitar explícitamente el uso de cookies al ingresar a una página web de una empresa. Estas permiten que la navegación sea más rápida y la experiencia sea más eficiente cada vez que se ingrese. También permiten identificar información en el historial de las búsquedas en internet para ser vendido o compartido a un tercero. Por lo general, su visualización está en un pequeño aviso en el que se comunica que se necesita la aceptación de cookies para continuar, el tamaño de la letra es pequeño y por el afán con el que navegamos damos “aceptar” sin leer en profundidad lo que aparece allí.

Teniendo en cuenta lo anterior, las empresas que operan dentro de la UE y fuera de ella, pero que tengan visitantes que habite la UE, deben cumplir el GDPR. De ahí el interés de varias compañías por entender esta normativa y aplicarla, para así no tener sanciones. En este contexto, los experimentos basados en la metodología de behaviorial economics y la arquitectura de decisión han permitido aumentar el número de usuarios consientes sobre los términos y condiciones en las políticas de privacidad que se les presentan.

‍

Como obtener el consentimiento

¿Por qué las personas se niegan a dar su consentimiento?

• Falta de entendimiento sobre el destino y propósito de los datos personales
• Incertidumbre sobre las consecuencias de compartir los datos personales
• Deseo de protegerse a sí mismo de la discriminación de precios

¿Cuando los consumidores están dispuestos a dar su consentimiento?

• Cuando se siente con poder de decisión sobre sus datos personales
• Cuando la publicidad no es invasiva o agresiva
• Cuando los consumidores están seguros de que sus datos personales no serán vendidos a terceros

¿Qué pueden hacer las empresas?

• Entender las posibilidades de elección y aprender sobre las percepciones de los consumidores
• Informar a sus usuarios acerca del destino y propósito de los datos recolectados mostrando los beneficios que trae este intercambio
• Ayudar a los consumidores a tomar mejores decisiones acerca de sus datos personales (Nudge and Boost)

En un estudio conducido recientemente por Expilab Research S.L. para una empresa multinacional de seguros, se logró incrementar el consentimiento informado en cookies y boletines de marketing. Este estudio, en el cual se desarrollaron intervenciones basadas en la normativa del GDPR, logró por un lado, aumentar de 0% a 79.37% el consentimiento informado sobre las cookies junto con un incremento de su comprensión del 24,73%; por otro lado, se logró un incremento de los boletines de marketing del 17,35% al 31,32%, junto con un incremento de su comprensión del 21,18%.

Actualmente, el eco de GDPR se está trasladando a otras latitudes, particularmente en Latinoamérica, a países como Brasil y Colombia. Sobre el primero se habla de la Lei Geral de Proteção de Dados (LGPD) que fue aprobaba en el gobierno de Michel Temer en agosto de 2020 y con inicio el 16 de agosto de 2020. Esta comparte temas en común con la original, tales como el derecho acceder a los datos o de negar el consentimiento y sus consecuencias. Sin embargo, hay diferencias como quién será el Oficial de Protección de Datos (DPO) que para el contexto brasileño se exige que se contrate un DPO mientras en la europea es menos estricta.

En el caso colombiano, está la Ley 1581 en la que se busca regular la recolección y divulgación de datos públicos, semiprivados, privados y sensibles, dentro de esta norma no se incluye: bases de datos de uso personal, doméstico, bancario, censos y servicios, y sobre información de seguridad, defensa, contra inteligencia militar y periodística. Si bien, es una normativa de este tipo, la conversación profunda sobre el real uso y protección de datos no se ha dado al nivel de debatirlo en el congreso o de formular una normativa fuerte semejante al GDPR.

Probablemente a raíz de la orden de obligatorio cumplimiento emitida a inicio de septiembre de 2020 por parte de la Superintendencia de Industria y Comercio en la que se llama la atención a Google por incumplir el 52,63% de los requisitos de la normativa anteriormente nombrada. A causa de esto se exige a la empresa norteamericana que implemente un mecanismo o procedimiento a la hora de solicitar la autorización a una persona, registrar sus bases de datos en la Registraduría Nacional de Bases de Datos y de crear una política de tratamiento de información basada en el artículo 12 del Decreto 1377 de 2013..

‍

Un estudio reciente conducido por Expilab  Research S.L. encontró que con un buen diseño de arquitectura de decisión se puede incrementar de 17,35% al 31,32% el consentimiento informado de boletines de marketing junto con un incremento del 21,18% en su comprensión del

‍

Motivados a seguir estudiando como esta reglamentación aplicada a Latinoamérica ha modificado los comportamientos de los usuarios de internet, Expilab está apoyando estudiantes de Master o Doctorado que estén interesados en desarrollar sus trabajos de grado o tesis doctoral en estos temas y encontrar soluciones a estas problemáticas. En caso de que este tema sea de su interés, no dude en comunicarse con nosotros al correo assist@expilab.com.

Finalmente, la polémica que ha suscitado en los últimos años en el mundo este tema se debe en gran parte a la publicación de investigaciones en medios de comunicación sobre el uso indebido de información de los usuarios en redes sociales y plataformas con fines políticos, tal como se ha evidenciado en las elecciones de Brasil, México, Kenia, Nigeria, Malasia y Colombia. El modus operandi se refleja a través de la divulgación en masa de noticias falsas de sus contrincantes o la captura de datos con encuestas, test de personalidad o el ofrecimiento de minutos o datos móviles a cambio de recibir publicidad.

Por lo tanto, estos hechos y otros que no han sido públicos, han impulsado la necesidad de ampliar el debate al aspecto ético, al cuestionar el engaño del que es víctima la persona al brindar unos permisos sin tener la información clara sobre lo que está aceptando. Adicionalmente, se habla de una adicción y manipulación a los usuarios de las redes sociales con el fin de mantenerlos conectados e interactuando gran parte del día, y así lograr obtener datos útiles para empresas, sobre esto último puede encontrarse en el documental The social dilema disponible en Netflix.

‍