¿Quién pregunta? La DVI de Letonia aclara las normas de transparencia para la recopilación de datos públicos

¿Alguna vez se ha desplazado por su muro de redes sociales y se ha topado con un concurso o el registro de un evento que parecía un poco demasiado vago? Quizás se trataba de un concurso de fotografía local o del sorteo de un nuevo dispositivo tecnológico, pero el perfil que lo publicaba era anónimo o el nombre de la organización estaba abreviado hasta resultar irreconocible. Como periodista que pasa sus días analizando la letra pequeña de las políticas de privacidad, estos son los momentos en los que mis alarmas internas empiezan a sonar. En el mundo de la protección de datos, una invitación a enviar datos personales sin una identidad clara no es solo un marketing deficiente: es una señal de alerta regulatoria.

El 19 de marzo de 2026, la Autoridad de Protección de Datos de Letonia (DVI) abordó exactamente este problema. En un nuevo artículo de orientación, la DVI aclaró las obligaciones de transparencia para las organizaciones que emiten anuncios públicos que invitan a las personas a enviar datos personales. Esta medida surge como respuesta directa a un número creciente de quejas de individuos que sintieron que estaban siendo atraídos a compartir su información con "fantasmas". Desde el punto de vista del cumplimiento, la DVI nos recuerda que, si bien el mundo digital parece efímero, la responsabilidad sobre los datos es permanente.

La crisis de identidad en los anuncios públicos

Bajo el marco del Reglamento General de Protección de Datos (RGPD), la transparencia no es una mera sugerencia; es un pilar fundamental. Los artículos 12, 13 y 14 dictan que las personas deben saber siempre quién está tratando sus datos y cómo contactar con ellos. Curiosamente, muchas organizaciones todavía operan bajo el supuesto de que un póster llamativo o un pie de foto pegadizo en las redes sociales las exime de estos requisitos estrictos.

La reciente orientación de la DVI elimina esta ambigüedad. La autoridad señaló que muchos anuncios públicos no cumplen actualmente con la normativa porque carecen de identificadores básicos. Ya sea un nombre incompleto o una publicación de un perfil sin un vínculo perceptible con una entidad legal, estas prácticas crean un entorno opaco donde el interesado queda vulnerable. Dicho de otro modo, pedir datos sin identificarse es como pedirle a alguien que entregue las llaves de su casa a una persona que lleva una máscara.

¿Qué información se requiere realmente?

Una de las conclusiones más prácticas del anuncio de la DVI es la aclaración de que las organizaciones no necesitan utilizar la palabra específica "responsable" en sus publicaciones públicas. Si bien el RGPD es un documento legal robusto, su aplicación en materiales destinados al público debe ser matizada y accesible.

En lugar de una terminología rígida, la DVI espera que dos piezas de información procesable sean claramente visibles:

1. El nombre legal completo: La organización debe indicar su nombre oficial completo. Las abreviaturas o los nombres comerciales ("trading as") que no puedan rastrearse fácilmente son insuficientes.
2. Datos de contacto: Debe haber una vía clara para que el individuo obtenga más información. Esto podría incluir un número de registro, una dirección legal o un enlace directo a una política de privacidad integral.

En mi propio trabajo como editor, a menudo aplico un principio de higiene digital a los materiales que reviso. Si no puedo verificar la fuente de una solicitud de datos en tres clics, la solicitud es fundamentalmente defectuosa. Las organizaciones pueden cumplir con sus obligaciones de transparencia incluyendo un enlace directo a las reglas del evento o a una página de destino que preserve la privacidad y que albergue toda la información necesaria previa a la recopilación.

El peligro de la recopilación de datos anónimos

La DVI destacó varias prácticas inadecuadas que ahora están firmemente bajo el microscopio regulatorio. Publicar desde un perfil anónimo es quizás la más atroz. En un contexto regulatorio, un perfil anónimo actúa como una barrera para la rendición de cuentas. Si ocurriera una brecha de datos —que a menudo comparo con un derrame de petróleo—, las personas afectadas no tendrían forma de saber a quién responsabilizar o dónde ejercer su derecho al olvido.

Recuerdo una investigación que realicé sobre una serie de seminarios web "pop-up" que recopilaban datos de contacto profesionales. Muchos de estos organizadores utilizaban nombres genéricos como "Global Tech Insights" sin ninguna entidad legal subyacente. Cuando profundicé, descubrí que los datos estaban siendo canalizados hacia un mercado secundario. Por eso la postura de la DVI es tan vital: obliga al recolector a ser transparente desde el primer punto de contacto.

El cumplimiento como brújula

Para las organizaciones, ver el cumplimiento como una brújula en lugar de un obstáculo puede ahorrar un daño reputacional significativo. Cuando una empresa es transparente sobre su identidad, construye una base de confianza. Por el contrario, ser vago sobre quién está detrás de un esfuerzo de recopilación de datos hace que la organización parezca tener algo que ocultar. Esencialmente, la DVI está pidiendo el equivalente digital a una tarjeta de visita.

A pesar de las complejidades de las transferencias internacionales de datos o el alcance extraterritorial, el núcleo de esta guía es simple: sea honesto sobre quién es usted. Si está organizando un concurso en Riga o un evento en Jurmala, su audiencia merece saber exactamente en manos de quién están aterrizando sus datos.

Lista de verificación práctica para su próximo anuncio

Para garantizar que su organización se mantenga del lado correcto de las expectativas de la DVI, considere este enfoque metódico para su próxima convocatoria pública de datos:

• Verifique el nombre: ¿Utiliza el anuncio el nombre legal completo registrado en el Registro de Empresas?
• Pruebe los enlaces: Si utiliza un enlace a una política de privacidad, ¿funciona en dispositivos móviles, donde ocurre la mayor parte de la navegación en redes sociales?
• Verifique el perfil: ¿Está la cuenta de redes sociales verificada o claramente vinculada a su sitio web oficial?
• Minimice la solicitud: Aplique la minimización de datos. ¿Realmente necesita su número de teléfono para una suscripción al boletín, o es suficiente con un correo electrónico?

En última instancia, la orientación de la DVI sirve como recordatorio de que la privacidad es un derecho humano fundamental, no una casilla que se debe marcar al final de un proyecto. Al proporcionar una identificación clara, las organizaciones se alejan de las prácticas de datos precarias y avanzan hacia un ecosistema digital más sofisticado y confiable.

Fuentes:

• Artículo oficial de la Inspección de Datos del Estado de Letonia (Datu valsts inspekcija - DVI), marzo de 2026.
• Reglamento General de Protección de Datos (RGPD), Artículos 12, 13 y 14.
• Guía oficial sobre transparencia e identificación del responsable en el espacio público.