Main logo

Guía para solicitar tus datos personales a Cambridge Analytica

La ONG SonTusDatos promueve que ciudadanos mexicanos le exijan a la firma británica envuelta en el escándalo con Facebook conocer si cuenta con información

Escrito en NACIÓN el

La asociación SonTusDatos busca incentivar a usuarios en México a pedir información formal a Cambridge Analytica, organización dedicada a la defensa, promoción y protección de los derechos a la privacidad y a la protección de datos personales de los usuarios de Internet y otras Tecnologías de la Información y la Comunicación (TIC). 

Para ello, promueve una especie de guía para solicitar de manera puntual información a Cambridge Analytica en virtud de la Sección 7 de la Ley de Protección de Datos del Reino Unido de 1998.

SonTusDatos promueve lo siguiente:

Bajo el ámbito de la Directiva de Protección de Datos de la Unión Europea 95/46/CE y la Ley de Protección de Datos del Reino Unidos de 1998 (Data Protection Act 1998), quisiera:

1. saber si su empresa o alguno de sus encargados de tratamiento posee mis datos personales (esto incluye Cambridge Analytica Ltd y otras compañías del Grupo SCL);

2. conocer la base legal de tal tratamiento, para cada una de las compañías que tratan mis datos personales (si valida su tratamiento con base en mi consentimiento, sea lo específico sobre cuándo podría haber dado mi consentimiento y cómo);

3. saber cómo clasifica estos datos en las diferentes categorías reconocidas por los regímenes de protección de datos aplicables;

4. saber con qué finalidades trata estos datos;

5. conocer las bases legales de las posibles transferencias de dichos datos personales a México o a cualquier otro país, por cada proveedor;

6. por cada proveedor, obtener mis identificadores dentro de los sistemas de tratamiento de datos personales de ese proveedor;

7. para cada dato personal relacionado a mi persona, obtener información completa sobre su fuente;

8. obtener una explicación sobre la "lógica del tratamiento" de mis datos personales;

9. obtener una lista de todos los terceros receptores de mis datos personales;

10. obtener una copia de todos mis datos personales.

 

Le recuerdo que la fecha límite para responder a esta solicitud es de 40 días calendario. Confío en que, a la luz de la seriedad del asunto, usted cumplirá idóneamente con este plazo.

Como otros titulares de datos personales antes que yo, y que han enviado solicitudes de datos personales a su compañía, han enfatizado:

• Le recuerdo que no existe ninguna exención en la Ley de Protección de Datos del Reino Unido para el derecho de acceso con respecto a secretos comerciales (consulte https://doi.org/10.1093/idpl/ipv030: “Secretos comerciales v Datos personales: una posible solución para equilibrar derechos”, página 6, abajo de la 1ra columna). Esta excepción sólo se aplica a la divulgación de la "lógica del procesamiento", e incluso debe interpretarse en el sentido más estricto. Como consecuencia, aún necesitaría divulgar los datos almacenados de forma intermediaria tratados como parte del perfilado, así como dar una idea de la "lógica del tratamiento", sin revelar explícitamente los algoritmos utilizados.

• Además, le recuerdo que cualquier limitación al derecho de acceso en la Ley de Protección de Datos del Reino Unido con respecto a la privacidad de otros (es decir, el Artículo 7.4) está expresamente limitada a la protección de las personas físicas y, por lo tanto, no se aplica a la protección de la identidad de personas morales que su empresa hubiera contratado, ya sea como fuente o tercero receptor de mis datos personales. Los derechos de protección de datos de personas morales nunca han sido reconocidos en la legislación del Reino Unido (ni en la legislación de los Estados Unidos). Por lo tanto, si tiene la información que solicito en los puntos 6, 7 y 9, tiene que divulgarla. Entiendo que algunas de las comunicaciones con esos terceros pueden incluir datos personales de otras personas físicas (nombres de funcionarios en esas compañías, por ejemplo). En este caso, el Artículo 7.5 de la Ley de Protección de Datos del Reino Unido proporciona una base jurídica muy clara: sólo información muy limitada puede eliminarse (nombres y otra información identificativa de esas personas físicas), pero se debe entregar a mi el resto de los datos, es decir, todos mis datos personales.

• Para concluir, le llamo su atención sobre los artículos relacionados a las "Disposiciones generales relativas a los delitos" en la Ley de Protección de Datos de 1998, ya que se refieren a responsabilidades de entidades corporativas, pero también a la responsabilidad personal de cualquier funcionario de dicha entidad.

Atentamente,

<nombre(s),></nombre(s),>

<dirección></dirección>

En inglés:

Data Protection Act 1998 (https://www.legislation.gov.uk/ukpga/1998/29/section/7)

Under the purview of the EU Data Protection Directive 95/46/EC and the Data Protection Act of 1998, I wish to:

1.  know whether your company or any of its processors hold any of my personal data (this includes Cambridge Analytica Ltd and other companies in the SCL Group);

2. know the legal basis of such processing, for each of those companies holding my data (if you rely on consent, please be specific on when I might have given consent and how);

3. know how you classify this data into the different categories recognized by applicable data protection regimes;

4. know for what purposes you process this data;

5. know the legal bases of potential transfers of such personal data to Mexico or any other country, for each vendor;

6. for each vendor, obtain my own identifiers within that vendor’s systems;

7.  for each data point, obtain full information as to its source;

8. get an explanation on the “logic of the processing” of my personal data;

9. get a list of recipients of my personal data;

10. obtain a copy of all my personal data.

 

I remind you that the deadline to respond to this request is 40 calendar days. I trust that in light of the seriousness of the issue, you will faithfully respect this deadline.

As other data subjects before me who have filed data subject requests with your company have emphasized:

•  I remind you that no exemption exists in UK Data Protection Act for the right of access with respect to trade secrets (see doi.org/10.1093/idpl/ipv030 Trade Secrets v Personal Data: a possible solution for balancing rights, page 6, bottom 1st column). This exception only applies to the “logic of the processing” disclosure, and even than has to be interpreted in the narrowest sense. As a consequence, you would still need to disclose intermediate stored data computed as part of the profiling, as well as give a sense of the “logic of the processing”, without explicitly disclosing the algorithms used.

• In addition, I remind you that any limitation on the access right in the UK Data Protection Act regarding the privacy of others (i.e. Article 7.4) is expressly limited to the protection of individuals and therefore does not apply to the protection of the identity of other companies or legal persons that your company would have contracted with, either as a source or recipient of my personal data. Corporate privacy rights have never been recognised in UK law (or US law, for that matter). Therefore, if you have the information I ask for in points 6, 7 and 9, you have to disclose it. I understand that some communications with those third parties might include personal information of other individuals (names of officers at those companies for instance). In this case, Article 7.5 of the DPA provides a very clear basis: only very limited information should be excised (names and other identifying information of those individuals), but all the rest of the data, i.e. all my personal data, should be given to me.

•  To conclude, I particularly wish to attract your attention to the “General provisions relating to offences” articles in the Data Protection Act 1998, as they pertain to liabilities by body corporates, but also the personal liability of any officer in such body.

Sincerely Yours,

 

PRIMEROS PASOS:

1.- Ingresa a https://datarequests.cambridgeanalytica.org/.

2.- Ingresa tu información personal. Te pedirán tu nombre, un correo electrónico, tu dirección completa (incluye ciudad, país y código postal), y tu fecha de nacimiento.

3. Activa la casilla “no soy un robot” y da clic sobre “submit”.

Una vez enviados los datos en la plataforma de Cambridge Analytica, automáticamente se creará un documento con un número de serie, en él, se especifican los siguientes pasos y requisitos específicos, asegúrate de descargar este documento en formato PDF.

Requisitos:

Asegúrate de tener a la mano los siguientes documentos:

• Identificación oficial expedida por el gobierno del país de residencia (credencial del INE, Pasaporte, licencia de conducir, etc.). Tu identificación debe estar vigente y actualizada, es decir, el domicilio señalado en el documento debe ser en donde actualmente vives.

• 2 comprobantes de domicilio como facturas o recibos de servicios públicos o privados que estén dirigidos a ti (recibo de luz, agua, predio, teléfono, historial bancario, etc.). En ellos deben venir tu nombre y tu domicilio, tal como aparecen en tu identificación oficial.

Envío de la solicitud por correo electrónico:

Una vez enviada la solicitud de acceso a datos personales en la plataforma de Cambridge Analytica y después de haber descargado el documento que la plataforma genera, deberás enviar un correo electrónico a data.compliance@cambridgeanalytica.org.

En el asunto del correo escribe “Subject Access Request”.

En el cuerpo del correo debes especificar la información que necesitas. Puedes consultar la solicitud que envió SonTusDatos para saber qué información solicitar.

En primer lugar, deberás adjuntar el PDF que descargaste de la plataforma de Cambridge Analytica.

Además, deberás adjuntar los documentos (tu identificación oficial y tus dos comprobantes de domicilio), para que sean totalmente legibles. Recomendamos escanear las imágenes, aunque también puedes tomar una foto de los documentos, siempre y cuando se vean claramente todos sus datos.

Para adjuntar un documento, deberás buscar el icono de adjuntar que generalmente está representado por un clip o puede decir verbalmente "adjuntar” o “attach”.

Búscalo en la parte superior de la página donde estás redactando tu email.

Una vez localizado el icono, da clic sobre él: se va a desplegar una ventana en donde deberás buscar la carpeta donde guardaste las fotos o imágenes escaneadas de tu identificación, tus dos comprobantes de domicilio y el documento en pdf de la plataforma de Cambridge Analytica.

Selecciona los 4 documentos y da clic en “abrir”.

Una vez adjuntados los documentos y redactada la solicitud, entonces da clic en enviar.

No pagues antes de saber si tiene la empresa tus datos Cambridge Analytica solicitará un pago de 10 GBP (+/- 250 pesos mexicanos) para hacer la búsqueda de tu información. Los detalles de la forma de pago vienen en el documento al formato pdf que descargas de la plataforma.

Puedes hacer el pago mediante una transferencia bancaria a SCL Elections Ltd, con los siguientes detalles:

• Compañía: SCL Elections Ltd.

• Número de cuenta bancaria: 86165433

• Sort code: 20-67-83

• SWIFT: BARCGB22

• IBAN: GB82 BARC 20675986165433

TIP: antes de pagar, puedes solicitar que Cambridge Analytica confirme si tiene información tuya para que procedas a hacer tu pago y, para cuando lo hagas, te envíen copia de la información que tienen sobre ti.

Cambridge Analytica tiene hasta 40 días calendario para contestarte, por lo que deberás estar pendiente de tus mensajes de correo electrónico. Incluso revisa la bandeja de “spam” o “correo no deseado”.

¿Cómo hacer el seguimiento después de enviar tu solicitud?

Ya recibiste tu respuesta y descubriste que Cambridge Analytica tiene información sobre ti.

De acuerdo con el artículo 14 de la legislación británica de protección de datos [https://www.legislation.gov.uk/ukpga/1998/29/section/14] (Data Protection Act de

1998), tienes derecho a solicitar la eliminación de los datos personales que Cambridge Analytica posea sobre ti, principalmente porque, en este caso, la compañía habrá tratado tus datos sin tu consentimiento.

Para lo que deberás enviar otro email a data.compliance@cambridgeanalytica.org usando como fundamento el artículo antes mencionado para solicitar que Cambridge Analytica suprima los datos personales que tiene de ti en sus bases de datos. Si tienes dudas sobre cómo hacer el seguimiento a tu solicitud de acceso a datos personales, ponte en contacto con nosotros a contacto [arroba] sontusdatos [punto]org.

106409" />

106410" />

AJ