por: Arun Teja Polcumpally
RESUMEN
- La Ley de Protección de Datos Personales Digitales (DPDP) de la India establece directrices para el tratamiento de datos, así como mecanismos para hacerlas cumplir, y sanciona su incumplimiento.
- La piedra angular de la Ley DPDP reside en definir el consentimiento como un acuerdo consciente y voluntario entre los titulares de los datos y los fiduciarios/encargados de su tratamiento
- A pesar de la posible fatiga informativa, el mecanismo de consentimiento preciso no aborda por completo la cuestión del consentimiento coercitivo
En el panorama en rápida evolución de las interacciones digitales, es primordial garantizar que las personas proporcionen un consentimiento significativo e informado para el uso de sus datos personales.
En consecuencia, la Ley de Protección de Datos Personales Digitales (DPDP) de la India establece directrices para el tratamiento de datos, mecanismos de aplicación y sanciones por incumplimiento, garantizando un mayor control y seguridad de la información sensible de las personas. Sin embargo, la promulgación de esta legislación requiere normas adecuadas y, lo que es más importante, un marco de gestión del consentimiento.
La piedra angular de la Ley DPDP reside en definir el consentimiento como un acuerdo consciente y voluntario entre los titulares de los datos y los fiduciarios/encargados de su tratamiento. Este acuerdo debe basarse en el conocimiento mutuo de los riesgos potenciales, los resultados y la finalidad del uso de los datos.
Además, la definición operativa del consentimiento debe diseñarse después de identificar y comprender los problemas que plantean los actuales mecanismos de consentimiento, ya que supuestamente son ilusorios y tienen alternativas limitadas.
Algunos estudiosos sostienen incluso que el actual mecanismo de consentimiento es más débil a la hora de proteger los datos y la privacidad de los usuarios. Estas razones reiteran aún más la necesidad de investigar los problemas actuales de los mecanismos de consentimiento vigentes.
En general, los mecanismos de consentimiento se enfrentan hoy a tres grandes retos:
Consentimiento involuntario: El consentimiento involuntario surge debido a avisos de consentimiento largos y complejos. Los usuarios pueden tener dificultades para
comprender los riesgos y resultados asociados al intercambio o tratamiento de datos. Para mitigar esta situación es necesario simplificar el lenguaje, ofrecer ayudas visuales y abogar por una comunicación clara.
Consentimiento coaccionado: El consentimiento coaccionado surge cuando los usuarios se enfrentan a alternativas limitadas o a tácticas manipuladoras.
Abordar esta cuestión implica cumplir la normativa contra los patrones oscuros y garantizar que los usuarios tengan alternativas viables a la hora de dar su consentimiento.
Consentimiento incapacitado: El consentimiento válido entre estudiantes y niños presenta un desafío único. Es difícil validar el consentimiento proporcionado por personas que no tienen capacidad para darlo (menores de 18 años). Aprovechar las identificaciones digitales gubernamentales y los métodos de verificación establecidos puede ayudar a determinar la edad y obtener el consentimiento de los padres.
Consentimiento amplio frente a consentimiento preciso
No es que nunca se identifiquen estos retos. Los dos mecanismos -el consentimiento amplio y el consentimiento preciso- los resuelven en parte. Han surgido como marcos fundamentales que configuran las dimensiones ética y jurídica de la utilización de datos.
El consentimiento amplio, como método para obtener la aprobación del usuario para el tratamiento de datos, implica la presentación de un único aviso en el que se describen las diversas formas en que se utilizarán los datos. Este enfoque se considera un medio para salvaguardar la privacidad y la libertad del usuario, situando el consentimiento amplio como paso inicial en el tratamiento o la recogida de datos. Sin embargo, el consentimiento amplio plantea problemas.
Las empresas pueden inundar a los usuarios con amplia información sobre el uso de datos, a menudo ignorada por falta de tiempo, lenguaje complejo, requisitos de servicio y otros factores, lo que conduce a un consentimiento involuntario. Un ejemplo serán los avisos de consentimiento de cookies.
El aviso de consentimiento debería mostrar todas las opciones, incluido el rechazo o la aceptación de todas las cookies, en una única interfaz con el mismo énfasis. La mayoría de las veces, la opción de "Aceptar todas las cookies" aparecerá en la página del aviso y, para ser selectivo en las opciones de consentimiento, sería necesario navegar más.
Además, la uniformidad del consentimiento amplio en servicios similares limita la elección del usuario, lo que puede dar lugar a un consentimiento coaccionado. Por el contrario, el consentimiento preciso implica un proceso de aprobación más detallado y específico, que requiere que los usuarios den su consentimiento para fines o tipos individuales de uso de datos por separado.
Aunque este método proporciona una mayor transparencia y control por parte del usuario, surgen dificultades en el caso de los servicios algorítmicos, lo que dificulta precisar el caso de uso exacto o contextualizar el consentimiento.
A pesar de la posible fatiga informativa, el mecanismo de consentimiento preciso no resuelve por completo la cuestión del consentimiento coercitivo, ya que los avisos repetidos pueden seguir obligando a los usuarios a dar su consentimiento sin comprender plenamente las condiciones de uso de los datos.
Tanto en los mecanismos de consentimiento amplios como en los precisos, el consentimiento incapacitado puede evitarse utilizando identificaciones digitales gubernamentales bloqueadas y mostradas de forma segura utilizando aplicaciones como Digilocker para determinar la edad. Métodos como la verificación por correo electrónico o la verificación OTP para obtener el consentimiento de los padres pueden añadirse para obtener el consentimiento paterno.
No sólo los avisos de consentimiento, hay que dar la misma importancia a la retirada del consentimiento. La Ley de Protección de Datos ya obliga a las empresas de servicios digitales a permitir que el usuario retire su consentimiento de forma sencilla, al igual que da su consentimiento para utilizar sus datos personales. Además, el mecanismo de consentimiento debe obligar a borrar rápidamente los datos personales en caso de retirada del consentimiento.
Por último, las disposiciones de reparación de agravios también deben incluir el uso de prácticas de consentimiento coercitivo. En conclusión, la elaboración de un mecanismo eficaz de consentimiento de datos requiere equilibrar las definiciones jurídicas, abordar los retos y aprovechar las soluciones innovadoras. Las normas de la Ley DPDP, con una definición operativa y una mirada crítica a las cuestiones mencionadas, pueden sentar las bases de un panorama de privacidad de datos transparente y centrado en el usuario.
Fuente: Inc42
