Sigo con el análisis de los derechos para los usuarios, contemplados en el «Consumer Data Privacy in a Networked World«. A ver cómo se las gastan en materia de privacidad Made in USA. Después de haber visto las particularidades del «Individual Control«, ahora le toca el turno al principio de transparencia, según el cual los consumidores tienen el derecho a acceder, de forma fácil y entendible, a la siguiente información:

  • qué datos personales se recopilan;
  • por qué son necesarios estos datos;
  • cómo serán utilizados (finalidad);
  • si y cuándo se borrarán los datos (o serán disociados);
  • si existirán cesiones de datos y para qué fines se realizarán estas cesiones.

Una vez más, a ojos de un europeo, este principio, junto con el ya mencionado del «Individual Control«, parece una mezcla de nuestro ya conocido «derecho de acceso«. La verdad es que la sistemática de este texto no parece la más apropiada y, posiblemente, si consigue pasar el escollo del Congreso, verá reformada su estructura. Por mucho que me esfuerce, no consigo ver la autonomía de este derecho de transparencia y en qué se diferencia del derecho al control individual.

En todo caso, la llamada a la «transparencia» me parece muy útil, sobre todo al imponer estándares de información necesaria, sobre todo en aquellos casos (por ejemplo, en las aplicaciones para móviles), donde el usuario hace «click» demasiado alegremente, sin saber exactamente qué porción de su privacidad está cediendo y a quién.

Más sentido tiene la autonomía del derecho al respecto del contextorespect for context«, en su versión inglesa, por si a alguien se le ocurre una traducción más adecuada).

Se trata, en este caso, del derecho de los consumidores (en realidad, parece más una expectativa de derecho: ¿por qué diablos no lo consagran como derecho y lo dejan sólo en un «right to expect«?) a que las empresas recopilen datos personales para su tratamiento y eventual cesión, sólo para las finalidades compatibles con el contexto en el cual fueron recabados. Esto nos acerca a nuestro principio de calidad de los datos previsto en el art. 4 LOPD.

Me parece interesante que el texto estadounidense analice el caso en el que los datos puedan ser tratados por las empresas para fines no inicialmente previstos, es decir, para contextos diferentes (lo que aquí llamamos «finalidades incompatibles«). Un ejemplo: recopilan mis datos personales como estudiante de un comedor escolar, con mi historial de alergias alimenticias (contexto: preparar los menús adecuados); ceden mis datos personales a una empresa que vende productos para celíacos. Es evidente que el contexto es completamente distinto (así como las finalidades que persiguen los distintos tratamiento de datos). De ahí la advertencia del texto de la Casa Blanca según el cual las empresas deberán (por fin encuentro un «must«) aumentar («heighten«) las medidas de Transparencia y Control Individual.

Más acertada me parecen las advertencia sobre el respecto del contexto, visto desde la parte del usuario. Es decir, el «contexto» no es determinado sólo por la empresa, las finalidades, los usos previstos, sino también por el perfil del consumidor: no será lo mismo recabar datos de un menor, de un usuario avanzado de medios TIC o de un principiante en Internet.

En un próximo post, tocará al principio de seguridad, acceso, rectificación, tiempo de cancelación de datos y responsabilidad.