Esta entrada del blog trata sobre el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE). Aunque cubro los aspectos básicos del GDPR, me centro principalmente en cómo afecta a freesewing.org, y qué tenemos previsto hacer en los 100 días que quedan antes de que el GDPR entre en vigor.
El GDPR no es diferente. Es una legislación importante que sube el listón de la privacidad en línea, lo cual es estupendo. Pero mientras leía sobre el tema, sentí el impulso de rabiar porque OMG burócratas.
Para bien o para mal (yo creo que para mal), Internet se ha instalado en un modus operandi en el que pagas por *cosas gratis* con tus datos personales. Algunos lo llaman [personas que cultivan](https://ar.al/notes/we-didnt-lose-control-it-was-stolen/), y creo que es un término estupendo.
Los [espantosos cinco](https://www.nytimes.com/2017/05/10/technology/techs-frightful-five-theyve-got-us.html) aspiran cada vez más nuestra vida personal. Aparte de no conectarnos nunca, parece que hay muy poco que podamos hacer al respecto.
El Reglamento General de Protección de Datos impone políticas de privacidad que respetan los derechos de los usuarios. Se aplica a todos los ciudadanos de la UE, todo el tiempo y en todas partes.
> Las organizaciones que incumplan el GDPR pueden ser multadas con hasta el 4% de la facturación global anual o 20 millones de euros (la cantidad que sea mayor).
Como la UE es la UE, el reglamento es una mezcla de objetivos e ideales elevados, diluidos por los grupos de presión, y complicados por el compromiso necesario para conseguir la adhesión de 28 Estados miembros.
La aplicación práctica está en manos del llamado *Grupo de Trabajo del Artículo 29* que actualmente se mantiene ocupado diseñando iconos (no me lo estoy inventando [](https://www.google.be/search?q=standardised+icons+gdpr)) Cambiará su nombre por el de Consejo Europeo de Protección de Datos ** el 25 de mayo, porque no querrás ponerte demasiado cómodo con toda esta jerga ahora, ¿verdad?
> Si realmente quieres saber qué es el GDPR, lo mejor que puedes hacer es [leer la maldita cosa](http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32016R0679). No es ninguna ciencia espacial.
> Si los textos legislativos te hacen huir a las colinas, el ICO del Reino Unido tiene [fácilmente una de las mejores guías sobre el GDPR](https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/).
Las organizaciones que emplean a menos de 250 personas están exentas de algunos de los aspectos más burocráticos del GDPR, como un montón de requisitos de documentación.
Resulta que no. Los datos biométricos son los que puedes utilizar para identificar a una persona, como una huella dactilar o un escáner del iris. Las medidas corporales por sí solas no son datos sensibles.
Para evitar que las empresas levanten un gran muro de jerga legal que la gente tenga que aceptar, el GDPR esboza una serie de principios a los que debe atenerse este consentimiento. He aquí una lista no exhaustiva:
Viendo esa lista, no puedo evitar pensar que la legislación sería mucho más sencilla si los legisladores pudieran limitarse a escribir *no seas gilipollas* y ya está.
Recuerda que no podemos obtener un consentimiento general. Necesitamos obtener el consentimiento para cualquier tipo de tratamiento de datos que hagamos.
Para cada uno de ellos, necesitaremos obtener el consentimiento del usuario, asegurándonos de que es *consentimiento real* como se pretende en el GDPR.
> Ten en cuenta que las maquetas incluidas originalmente en este post ya no están disponibles en . En su lugar, esta funcionalidad se ha implementado en el sitio web.
Tendremos que diseñar los avisos de privacidad individuales, pero también una política de privacidad más global, así como para asegurarnos de que los usuarios están informados de todos sus derechos.
> Las personas no sólo tienen derecho a exportar todos sus datos, sino que esa exportación también debe tener un formato que les facilite llevar sus datos a otro lugar.
Nosotros ya cumplimos, ya que permitimos a los usuarios exportar todos sus datos, y ponerlos a disposición en diferentes formatos estándar (YAML y JSON).
El motivo de publicar estos datos es que queremos disponer de un conjunto de datos de *medidas corporales reales de* , en lugar de las *medidas estándar de* que se suelen utilizar en el sector.
Es algo sobre lo que escribiremos más adelante, pero esencialmente esto entra dentro de la categoría *investigación científica/estadística* . Y aunque los datos estén anonimizados, debemos respetar el derecho de los usuarios a oponerse a este tratamiento.
> Las personas tienen derechos adicionales cuando se trata de la elaboración de perfiles o de decisiones tomadas por IA o algoritmos sin participación humana.
La UE no se contenta con lanzar un par de preguntas de consentimiento y respetar los derechos de las personas al procesar datos. También quiere asegurarse de que tu intimidad esté (mejor) protegida cuando las cosas vayan mal.
Por eso aboga por *privacy by design*. Aunque es un concepto difícil de concretar en la legislación, el propósito de es claro: quieren que todo el mundo tenga en cuenta la privacidad desde el principio de su proyecto/producto/negocio, y no como una idea tardía.
Cosas como la encriptación (tanto en tránsito como para los datos en reposo), los seudónimos y la caducidad de los datos se sugieren como cosas a tener en cuenta al diseñar.
Obviamente, la UE no va a venir a comprobar tu código para ver si te has tomado en serio la privacidad desde el diseño. Pero puede influir (y probablemente influirá) cuando las cosas vayan mal.
Imagina dos empresas que tienen una filtración de datos, una de ellas no ha hecho mucho por salvaguardar la privacidad de sus usuarios, mientras que la otra ha tomado *privacy by design* medidas para mitigar el daño.
Hay más información al respecto en esta entrada del blog: [Las decisiones que he tomado para proteger tu privacidad. O por qué no recibirás ninguna galleta](/blog/privacy-choices/).
Esto ya constituye una muy buena base para un sitio web respetuoso con la privacidad. Pero como de todos modos tendremos que hacer cambios para el GDPR, estamos considerando otras opciones para subir aún más el listón de la privacidad. Concretamente, qué podemos hacer para limitar el daño a nuestros usuarios en caso de que se produzca una fuga de datos.
Sin embargo, el sitio no necesita esta información para funcionar. Sólo la necesitamos para fines administrativos; Envío de regalos y tarjetas de cumpleaños a nuestros clientes.
Por tanto, no hay necesidad real de mantener estos datos en la base de datos de freesewing. También podríamos anotar esta información en un cuaderno que tengamos en la mesita.
Actualmente estamos trabajando en *el derecho a ser informado* y tenemos un plan para los cambios necesarios para respetar *el derecho a restringir el tratamiento* y *el derecho de oposición*.
En el sitio de recogida de datos, tenemos que concretar los detalles de nuestros avisos de privacidad. También redactaremos una política de privacidad detallada que agrupe toda la información de los distintos avisos.
Tendremos que introducir cambios en la incorporación de usuarios para asegurarnos de que los avisos se presentan en el momento correcto. Por no mencionar que tendremos que llevar un registro de quién dio su consentimiento para qué.
