GDPR, así es la nueva normativa europea que va a cambiar la protección de datos
El GDPR es la nueva ley de protección de datos unificada para toda Europa. En este artículo te contamos lo que necesitas saber sobre ella
22 abril, 2018 20:00Noticias relacionadas
- Cuando veas porno vigila la puerta... y la privacidad: Google y Facebook saben lo que ves
- Los datos de casi todos los ciudadanos de Bulgaria han sido robados
- Office 365, Google Docs y Apple Cloud prohibidos en los colegios alemanes por los datos que recopilan de los menores
- Estados Unidos multa a Facebook con 5.000 millones por sus escándalos de privacidad
El nuevo Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) de la Unión Europea entró en vigor el pasado 24 de mayo de 2016, y será de obligatorio cumplimiento a partir del 25 de mayo de 2018.
Esta nueva regulación pone el foco en proteger la privacidad de los usuarios; la respuesta de Europa al minado de datos constante de las tecnológicas estadounidenses. También podría interpretarse como el deseo de la UE de demostrar que negocios y privacidad pueden ir de la mano, a pesar de que los datos sean la moneda de cambio.
Dependiendo de a quién se le pregunte hay muchas lecturas que se pueden hacer del reglamento. Lo que parece estar claro es que todavía hay muchas dudas que despejar. Vamos a intentar responderlas en este artículo.
¿A quién afecta el GDPR?
El GDPR afecta a todas las empresas con independencia de su origen, o de su actividad. Si la empresa en cuestión recoge, guarda, trata, usa o gestiona algún tipo de dato de ciudadanos de la Unión Europea, tendrá que ajustarse a esta normativa.
En otras palabras: si compras un artículo en una web estadounidense, deberá tratar tus datos ateniéndose a la legislación europea. Lo que nos lleva al siguiente punto: el GDPR también afecta a todos los ciudadanos que viven en la UE.
¿Cómo te afecta el GDPR como usuario?
Para empezar quizá convenga aclarar qué es un dato personal: cualquier cosa que se pueda relacionar contigo u otra persona física es susceptible de serlo. El rango de posibilidades abarca desde una foto a una dirección de correo electrónico.
El nuevo reglamento nos dice qué derechos tenemos sobre esos datos personales. En primer lugar recoge el derecho al olvido, por el que los ciudadanos podremos solicitar (y lograr) que nuestros datos personales sean eliminados de Internet. De los supuestos para pedir el borrado de datos que la Unión Europa contempla, podemos destacar los siguientes:
- Cuando los datos ya no sean necesarios para la finalidad para la que fueron recogidos.
- Cuando se haya retirado el consentimiento para que se sigan usando esos datos.
- Cuando los datos se hayan obtenido de forma ilícita.
Por otro lado, la normativa también recoge el derecho a la portabilidad. De esta manera el usuario puede, si sus datos se están tratando de modo automatizado, recuperarlos en un formato concreto para cederlos a otro responsable.
De acuerdo con la normativa el formato debe estar estructurado, debe ser común y debe poderse leer. Por ejemplo, una hoja de Excel. Ahora bien, este derecho sólo se aplicaría a los datos aportados en cada web y no a las segmentaciones posteriores.
Es decir, redes sociales como Twitter sólo estarían obligadas a entregarte los datos que les hayas facilitado (ciudad de residencia o fecha de nacimiento). Las aportaciones que tú hayas ido haciendo posteriormente (tuits, contenidos compartidos) no entran dentro de la normativa.
¿Cómo afecta el GDPR a las empresas?
Las empresas tendrán más pasos que dar a la hora de tratar, recoger y utilizar los datos personales de los usuarios. A partir del 25 de mayo de este año necesitarán el consentimiento explícito de los usuarios para recabar su información.
Si los usuarios de la empresa son menores de 16 años será necesario un permiso paterno. Tanto en el caso de los menores de edad, como en el de los adultos, el consentimiento debe ser inequívoco, claro y distinguible de otros asuntos.
Cuando los datos recopilados alcancen un determinado umbral, será necesario nombrar un responsable (llamado oficial de protección de datos) que responda a los clientes en menos de 72 horas en caso de problemas relacionados. Por ejemplo, fugas de datos o hackeos.
Si los datos fugados no sirven para identificar a los usuarios la notificiación no será obligatoria. Lo que sí deberán hacer en cualquier caso será informar a las autoridades competentes (en el caso de España, la Agencia Española de Protección de Datos).
¿Tendrás que aceptar nuevos términos y condiciones?
El GDPR dice que, si los servicios web obtuvieron tus datos personales antes de que el reglamento sea aplicable (antes del 25 de mayo), será necesario solicitar una renovación del consentimiento. O sea, que en la gran mayoría de casos es más que probable que te veas obligado a aceptar nuevos términos y condiciones. Algunas como Oculus ya han anunciado cambios para ajustarse a la nueva normativa.
Puede que en los próximos días recibas notificaciones sobre estos cambios; ya sea en las webs en las que estás inscrito, o en tu correo electrónico. Lo más normal es que se te facilite una forma de dar tu consentimiento expreso.
Con estos cambios el reglamento introduce dos conceptos nuevos:
- Privacidad por diseño: significa que cada paso que una empresa de relacionado con el proceso de datos personales debe hacerse con la intención de proteger la privacidad del usuario.
- Privacidad por defecto: significa que una vez un producto o servicio haya sido lanzado al público, se deben aplicar las medidas de privacidad más estrictas por defecto; sin que el usuario final deba preocuparse por su aplicación.
¿Qué puedes hacer si compruebas que no se cumple la ley?
En caso de que se compruebe que las empresas no cumplen la ley se sancionará con multas que varían dependiendo de la gravedad, que se decide en dos niveles. En el primer nivel, son multas de hasta 10 millones de euros o el 2% del volumen de ingreso anual de la compañía, la cifra que sea mayor. En el nivel más grave, puede alcanzar el 4% del volumen de ingreso anual, o 20 millones de euros, de nuevo la cifra que sea mayor.
Dicho esto, ¿qué podemos hacer como usuarios si detectamos que una empresa no cumple con el GDPR? Lo primero es intentar la vía directa e intentar arreglar el problema con el oficial de protección de datos de la empresa en cuestión. Si esto no funciona, puedes acudir a la Agencia Española de Protección de Datos para ejercer tus derechos.
Otro aspecto interesante para los usuarios que presenta el GDPR es el concepto de ventanilla única. Significa que se agrupa en una sola instancia u organismo todos los trámites que el ciudadano debe realizar ante la Administración pública con un fin particular.
Se espera que con la introducción de la ventanilla única se agilice la presentación de denuncias en caso de que se incumpla el GDPR. Sobre el papel, como usuario vas a tener un poder mayor.
¿Llega la ley a tiempo? ¿Será algo positivo o algo negativo?
El GDPR pretende, como ya hemos visto, dotar a los usuarios de más derechos y mecanismos sobre sus datos. Sobre el papel parece algo positivo; fortalecer el poder de los ciudadanos en Internet era algo que se demandaba desde hacía mucho tiempo. En cuanto a si la ley llega a tiempo, eso es harina de otro costal.
Hay que tener en cuenta que los primeros pasos hacia una ley de protección de datos unificada a nivel europeo se dieron hace nueve años. Durante todo ese tiempo han aparecido todo tipo de problemáticas y usos de datos nuevos, que quizá hacen que el timing de la normativa no sea el más adecuado.
Por ejemplo, el usuario no percibe Internet de la misma manera desde que se destapó el programa PRISM, con el que el gobierno de EE.UU. espiaba masivamente en todo el mundo. Ahora es mucho más consciente de su privacidad.
En cualquier caso, cualquier herramienta destinada a empoderar a los usuarios será bien recibida. Para hacer más valoraciones esperaremos a que el reglamento empiece a aplicarse, y empiecen a notarse sus primeras consecuencias.
Para saber más puedes dirigirte al portal sobre el GDPR.