Método / Descripción del proceso

• Ejercicio: Para preparar a los participantes para esta lección, comience con un ejercicio que desafíe el sentido de la privacidad. Explica a los participantes que la lección comenzará con una comprobación de seguridad de las aplicaciones de sus smartphones. Pídeles que cojan sus smartphones y los desbloqueen. Para que la comprobación sea objetiva, los participantes deberán intercambiar los smartphones desbloqueados con sus vecinos para que puedan hacer la comprobación por ellos. Observa cómo se comporta el grupo: ¿Se pone la gente nerviosa? ¿Se atreve alguien a negarse a entregar su teléfono? Haz que todos devuelvan sus teléfonos y explica por qué has hecho este primer ejercicio:
  • Para demostrar que todo el mundo tiene datos que quiere proteger.
  • Que debe comprobar cuidadosamente cuando alguien quiere acceder a sus datos.
  • Que tienes derecho a oponerte a que otra persona entregue tus datos (siempre que no haya demostrado un interés legal en tus datos).  
  • También puedes hacer el ejercicio con las carteras de los participantes si no hay suficientes smartphones en el grupo.  
• Introducción: Introducir la idea básica de la protección de datos (ver Módulo 4 Seguridad, Privacidad y Protección > 3. Mis datos, mis derechos > 3.2 El Reglamento General de Protección de Datos (RGPD))
  • Destacar que la protección de datos no tiene como objetivo principal la protección de los datos, sino la protección de la libertad de las personas.
  • Explicar qué es el Reglamento General de Protección de Datos (RGPD) de la UE.
  • Explicar qué son los datos personales: https://gdpr.eu/eu-gdpr-personal-data/
  • Explicar los derechos básicos del GDPR:
    • Consentimiento - Quien procesa sus datos tiene que pedir su consentimiento antes de recopilar, almacenar o distribuir datos. 
    • Documentación - Quien tenga sus datos debe mantener una documentación detallada sobre qué datos se almacenan, quién tiene acceso, cómo se almacenan y por qué se almacenan los datos.  
    • Acceso a la información - Toda persona tiene derecho a solicitar información sobre los datos que se almacenan sobre ella a quien procesa sus datos. 
    • Borrado de datos: toda persona tiene derecho a solicitar la eliminación de sus datos personales (siempre que no se vean afectadas las obligaciones legales, como por ejemplo el almacenamiento de facturas para la fiscalidad). 
    • Modificación de datos: toda persona tiene derecho a solicitar que se modifiquen los datos inexactos.
    • Objeto - Todo el mundo tiene derecho a oponerse al tratamiento de los datos (de nuevo, siempre que no se vean afectadas las obligaciones legales).
    • Protección especial de datos sensibles: los datos sobre raza, origen étnico, orientación sexual, género, opiniones políticas, creencias religiosas y otros tipos de perfiles, así como los datos de los niños, están bajo protección especial. 
  • Dé algunos ejemplos que pongan de manifiesto por qué es importante la protección de datos:
    • El régimen nazi en la Segunda Guerra Mundial:
      • En Ámsterdam los funcionarios habían creado registros detallados sobre los habitantes indicando también su religión. Estas listas fueron utilizadas posteriormente por los nazis para deportar a los judíos a los campos de concentración (https://en.wikipedia.org/wiki/History_of_the_Jews_in_the_Netherlands#The_Holocaust).
      • La policía de Viena había reunido listas de personas sospechosas de ser homosexuales (las llamadas "listas rosas"). Estas listas fueron utilizadas posteriormente por los nazis para deportar a estas personas a campos de concentración (http://theviennaproject.org/wp-content/uploads/2014/09/TVP-Article_Homosexual-Victims1.pdf).        
    • Solicitudes de datos ilegales por parte de la policía alemana: Se han podido comprobar varios cientos de solicitudes de datos ilegales internas en los ordenadores de la policía alemana (https://www.zeit.de/politik/deutschland/2020-07/nsu-2-0-polizei-datenabfrage-verfahren-rechtsextremismus-hessen). Aunque no se ha demostrado finalmente, se especula que algunas de las solicitudes están relacionadas con los incidentes de "NSU 2.0", en los que se amenazó anónimamente a políticos y abogados utilizando su información de contacto privada que sólo conocía la policía (https://www.dw.com/en/germany-frankfurt-police-unit-to-be-disbanded-over-far-right-chats/a-57840014). 
    • Los empleados de Amazon escuchan los registros de Alexa: Por defecto la configuración de Amazon Alexa está activada para que los empleados puedan escuchar los registros para "optimizar el servicio". La mayoría de los usuarios no eran conscientes de la función aunque interfiere en el espacio más privado y protegido que tenemos: nuestro hogar: https://time.com/5568815/amazon-workers-listen-to-alexa/  
• Ejercicio: Dividir la clase en grupos de 3-4 personas. Discutir y reunir durante 10 minutos en los grupos dónde en la vida cotidiana el GDPR tiene un impacto o es visible para los participantes. Anotar también las preguntas. En el pleno recoger los resultados de los grupos en la pizarra.
  • Puede haber confusión sobre las imágenes y los vídeos. Aquí es importante entender que las fotos y los vídeos son datos y contienen datos, pero más allá de eso hay leyes adicionales que rigen cómo se procesan las imágenes de las personas. A menudo se aplican múltiples leyes al uso de las imágenes:
    • Derecho de publicidad (también derechos de la personalidad):  Otorga a las personas el derecho a controlar el uso de su identidad, como el nombre, la imagen u otros identificadores. https://es.wikipedia.org/wiki/Derechos de la personalidad
    • GDPR: Apenas hay una foto de una persona que no incluya ningún dato. Las imágenes tomadas digitalmente incluyen datos en los archivos de imagen sobre cuándo y dónde estaba una persona en un momento determinado. Las imágenes se etiquetan con información adicional, por ejemplo, en el software de procesamiento de imágenes o en las redes sociales. Incluso las imágenes analógicas que se almacenan en algún tipo de registro están sujetas al RGPD. 
    • Ley de derechos de autor: protege las obras originales (como fotos o vídeos) para que no se distribuyan o publiquen ilegalmente. https://es.wikipedia.org/wiki/Ley de derechos de autor de la Unión Europea

• Información: Cualquier persona que almacene y procese datos en la UE es responsable de los mismos. Esto también puede afectar a personas privadas, por ejemplo, padres que son responsables de las listas de direcciones de una clase, personas responsables en un club deportivo de la administración de los socios. Averigüe si existe una página web en su país que explique la normativa (por ejemplo, para Alemania: https://deutsches-ehrenamt.de/datenschutz-verein/) Algunas medidas básicas para proteger los datos son
  • Hacer un registro de los datos que almacena:
    • ¿Qué datos almacena?
    • ¿Por qué los almacena y existe un interés legítimo o una obligación legal de almacenarlos?
    • ¿Dónde almacena los datos?
    • ¿Cuánto tiempo se almacenan los datos?
    • ¿Qué partes externas tienen acceso a los datos y cumplen la legislación de la UE (por ejemplo, el almacenamiento de datos en la nube)? 
  • Controlar el acceso a los datos:
    • Definir quién necesita acceder a los datos y utilizarlos (por ejemplo, los datos de facturación de su club deportivo sólo son relevantes para su tesorero, los entrenadores no necesitan verlos).
  • Proteger los datos:
    • Manténgalos a salvo del acceso externo, por ejemplo, guardándolos en una habitación cerrada con llave o en una caja fuerte.
    • Si almacena los datos digitalmente, asegúrese de que nadie del exterior tenga acceso (por ejemplo, encriptando los datos y los dispositivos, protegiendo los dispositivos con contraseñas u otro tipo de seguridad de acceso, restringiendo el acceso de otros usuarios)
    • Hacer una copia de seguridad de los datos  
• Ejercicio "Protección de datos para las familias": Dividir la clase en grupos de 2-3 personas y repartir a cada grupo la hoja de trabajo "Protección de datos en las familias". Deje que los grupos busquen las respuestas en Internet durante 15 minutos y vuelva a reunirse en el pleno para intercambiar los resultados.
  • Información sobre la edad y el artículo: https://www.betterinternetforkids.eu/en-GB/practice/awareness/article?id=3017751
  • Autoridades de protección de datos: https://edpb.europa.eu/about-edpb/about-edpb/members_en
  • Cómo ejercer sus derechos: https://noyb.eu/en/exercise-your-rights 

• Reflexión:
  • En casa los participantes analizan una declaración de privacidad y tratan de identificar los principios que se han tratado en la lección 
    • ES https://trade.ec.europa.eu/doclib/docs/2020/may/tradoc_158759.pdf
    • DE https://europa.eu/european-union/abouteuropa/privacy-policy_de
    • ES https://www.ecb.europa.eu/services/data-protection/privacy-statements/website/html/index.es.html
  • Si alguien está interesado en profundizar en el tema, hay un documental muy bueno: "Democracy - Im Rausch der Daten", que explica cómo surgió el GDPR de la UE. También muestra gran parte del trabajo entre bastidores de las instituciones de la UE: https://www.bpb.de/gesellschaft/digitales/democracy/  (también disponible en YouTube, donde se puede configurar el idioma de los subtítulos).

Material de descarga

• Ficha de trabajo "Protección de datos en las familias"

Referencias

• Un año en la vida del GDPR: Estadísticas y conclusiones imprescindibles -  https://www.varonis.com/blog/gdpr-effect-review/
• Ejerce tus derechos (NOYB): https://noyb.eu/en/exercise-your-rights

• Status quo en relación con la edad de consentimiento del niño según el artículo 8 del RGPD para el tratamiento de datos en toda la UE https://www.betterinternetforkids.eu/en-GB/practice/awareness/article?id=3017751