El próximo 25 de mayo comienza a aplicarse plenamente el nuevo Reglamento General de Protección de Datos (RGPD) de la UE, que promete el amparo de la privacidad más riguroso del mundo. The Economist lo ha descrito como “la pieza de regulación más compleja que haya producido la Unión Europea”.
El RGPD desplazará las leyes en materia de protección de datos vigentes en cada uno de los 28 países –incluido el Reino Unido– hasta que cada Parlamento adecue su ley a la nueva norma; algo que, de momento, sólo han hecho Austria y Alemania.
Se introduce el derecho a la portabilidad: los ciudadanos podrán pedir a una organización que les entregue los datos personales, y llevárselos
Ya antes de la próxima aplicación plena, desde que entrara en vigor hace dos años, las organizaciones de todo el mundo que manejan datos de ciudadanos europeos han ido a trabajando su puesta al día y, en las últimas semanas, los usuarios hemos recibido decenas de mensajes sobre sus nuevas políticas de privacidad: Facebook te pregunta si quieres activar el reconocimiento facial; Google te recuerda que puedes acceder a tus datos y confirmar los que quieres que usen y para qué; y lo mismo hacen WhatsApp y tantos otros, a través de correo electrónico o postal.
Resumimos en 10 puntos clave lo que el RGPD supone para los usuarios particulares.
1. Deslocalización
Desde hace mucho tiempo, operamos, casi sin saberlo, con empresas que manejan nuestros datos desde distintas partes del mundo. Cada una de ellas se rige por la legislación vigente en su país de origen, que suele ser mucho más laxa que la europea.
Ahora –es una novedad histórica–, el nuevo Reglamento se aplicará extraterritorialmente, es decir, a todas las organizaciones del mundo que recopilen o procesen los datos personales de los residentes de la UE, independientemente del lugar donde lo hagan.
2. Consentimiento inequívoco
Con el nuevo Reglamento los usuarios europeos tendrán que dar su consentimiento libre, informado, específico e inequívoco para que las organizaciones y administraciones públicas puedan usar sus datos. Y eso tiene muchas consecuencias.
Los herederos podrán solicitar el acceso a los datos de la persona fallecida, su rectificación o su eliminación
Por ejemplo, a partir de ahora, se sustituirán las cláusulas interminables de condiciones de privacidad, que casi nadie lee, por textos sencillos y breves, pictogramas, incluso vídeos… Porque las instituciones tendrán obligación de explicar de manera simple y transparente qué datos personales tienen de cada individuo (nombres, direcciones o información que hayan publicado en redes sociales), para qué los usan, si los ceden a alguien y cuánto tiempo los van a conservar.
Por eso, también se han acabado las casillas premarcadas de los formularios, donde los usuarios aceptaban ceder sus datos para fines comerciales en general, y tampoco servirán explicaciones del tipo “sus datos se usarán para mejorar nuestros servicios”.
3. Consentimiento anterior a la RGPD
Para las empresas que manejen datos personales desde hace tiempo, si en su día no obtuvieron el consentimiento de los usuarios conforme a las condiciones del RGPD, tal consentimiento ya no es válido. Deberán volver a pedirlo a cada usuario y, en caso de no obtener respuesta, borrar los datos. De ahí la insistencia, en los últimos tiempos, de las grandes plataformas en que los usuarios revisen su actividad, sus datos… y “acepten” o “cancelen” que estos sean guardados porque, si hubiera una auditoria, las organizaciones deben tener forma de verificar que han obtenido el consentimiento de cada usuario.
4. Menores
Cada país de la UE se encargará de fijar una edad mínima para que un menor pueda dar el consentimiento para el uso de sus datos –por ejemplo, para crear una cuenta en una red social–, pero establece que sea entre los 13 y los 16 años. En el caso de España, ese límite se rebaja desde los 14 a los 13 años, aunque algunas plataformas, como por ejemplo Instagram, mantienen la edad mínima para hacerse una cuenta en los 14.
5. Categorías especiales de datos
En el nuevo Reglamento no todos los datos de carácter personal se tratan de la misma manera. Existen las llamadas “categorías especiales de datos”, que incluyen, entre otros, la religión, la salud, la vida sexual o las infracciones penales cometidas por una persona. Estos se deben obtener, distinguir y tratar de manera más cualificada, con el fin de evitar situaciones discriminatorias.
6. Derecho al olvido
El nuevo Reglamento se aplicará extraterritorialmente, a todas las organizaciones del mundo que recopilen o procesen datos personales de los residentes de la UE, independientemente del lugar donde lo hagan
A partir de ahora, los ciudadanos europeos tendrán derecho a solicitar que sus datos personales se corrijan o a retirar su consentimiento y que sean suprimidos. El llamado “derecho al olvido” incluye, incluso, la posibilidad de solicitar el bloqueo de una búsqueda en Internet, cuando los resultados lleven a informaciones obsoletas, incompletas, falsas o irrelevantes, siempre que no sean de interés público.
7. Personas fallecidas
Otro de los vacíos legales que pretende resolver el RGPD es el tratamiento de datos de personas fallecidas. Cerrar un perfil en una red social y consultar o cancelar los datos de un difunto en una base de datos digital de cualquier tipo podía llegar a ser una misión imposible. Ahora, sin embargo, los herederos podrán solicitar el acceso a los datos de la persona fallecida, su rectificación o su eliminación.
8. Derecho a la portabilidad
Los ciudadanos europeos también tendrán derecho a pedir a una organización que les confirme qué datos personales suyos está usando… ¡y llevárselos!, porque el nuevo Reglamento introduce el derecho a la portabilidad. Es decir, si una persona quiere cambiarse de un proveedor de servicios a otro de la competencia, no hace falta que vuelva a dar, uno por uno, todos sus datos al nuevo; tiene derecho solicitar su información personal en un formato que le permita trasladarla (por ejemplo, en una hoja Excel) o, si es técnicamente imposible, que el proveedor antiguo la transfiera directamente al nuevo.
9. ¿Y si usan mis datos de manera ilícita?
La nueva norma quiere promover que sean las propias organizaciones las que se autorregulen en el modo de usar los datos de los ciudadanos, por eso se centra en medidas preventivas más que en sanciones.
Cada organización deberá tener un responsable llamado “Delegado de Datos” (puede ser compartido en el caso de las pymes o administraciones públicas muy pequeñas) al que los usuarios pueden acudir en primera instancia, en caso de que detecten fallos o errores en el tratamiento de su información personal.
10. Reclamaciones a la autoridad
Si la organización reclamada no responde o el fallo detectado persiste, se debe acudir a la autoridad reguladora nacional (por ejemplo, la Agencia Española de Protección de Datos), que efectuará todos los trámites con efectos para toda la UE.
Aunque se ha insistido en que el nuevo Reglamento no pretende ser punitivo, las multas previstas en el caso de que una organización no cumpla con algún aspecto de la norma o haga caso omiso de las reclamaciones de un usuario, ascienden hasta 20 millones de euros o el 4% de las ventas anuales en todo el mundo: la cantidad que sea mayor.
Para saber más |