Hoy pasa a ser de obligado cumplimiento el Reglamento General de Protección de Datos de la Unión Europea (RGPD) o GDPR por sus siglas en inglés. Gracias a él, a partir de hoy los usuarios ganan nuevos derechos relacionados con sus datos personales, mientras que las normas a las empresas que los tratan o recopilan se endurecen.
El GDPR entró en vigor el 24 de mayo de 2016, y desde entonces las empresas han tenido dos años para adaptarse a sus requisitos. Hoy vamos a explicarte de forma resumida qué cambios puedes esperar de esta nueva normativa y cómo han ido reaccionando todas esas empresas que lo han dejado para última hora, y que en las últimas semanas nos han dado algunos titulares que vamos a recordar.
Qué es el GDPR o RGPD
El GDPR o General Data Protection Regulation por sus siglas en inglés, es la nueva normativa que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea. Es la primera norma de este tipo que afecta por igual a todos los países de la UE, suponiendo unas normas del juego unificadas que todos deben cumplir.
Durante años, muchas empresas y sectores como el tecnológico venían pidiendo una normativa de estas características, ya que al operar en Europa tenían que hacer frente a 28 legislaciones diferentes sobre el uso y tratamiento de datos personales. Por eso, el 24 de mayo de 2016 entraron en vigor estas normas unificadas que a partir hoy pasan a ser de obligado cumplimiento.
El GDPR también tienen que cumplirlo las empresas de fuera de la unión europea que traten con datos personales de usuarios europeos. En esencia, lo que se busca con ella es proteger nuestros datos, que nos expliquen bien qué hacen con ellos, y que podamos tener la oportunidad de borrarlos o revocarles el permiso para seguir procesándolos.
Y si las empresas u organizaciones vulneran la GDPR, el marco legal establece unas multas mucho más altas de las que se imponían hasta ahora. Las multas pueden ser de hasta el 4% de lo que facturan en todo el mundo al año o 20 millones de euros, la cantidad que sea más grande. También habrá multas menores del 2% de su facturación global anual para incumplimientos más leves.
Gran parte del contenido de la GDPR se basa en reglas establecidas por medidas de privacidad anteriores de la UE, como el 'Privacy Shield' o la 'Data Protection Directive'. Sin embargo, amplía parte de lo que ya protegían en dos puntos fundamentales, unos mayores requisitos a la hora de obtener datos personales de los ciudadanos europeos y unas sanciones mucho más severas.
Aunque los países de la Unión Europea podrán sacar sus propias leyes de protección de datos, España tiene una nueva en proceso de tramitación parlamentaria, estas leyes no podrán contradecir las normas de la GDPR. Como mucho podrán definir algunos de los aspectos que dejen lugar a interpretaciones, como cuál es la edad a partir de la cual se considera menor a un usuario.
Qué supone esto para ti
Aunque hace unas semanas os explicamos a fondo qué supone el GDPR para los usuarios, vamos a resumirlo para que quede claro. La característica principal de esta nueva normativa es que a partir de ahora los usuarios tendremos un mayor control de nuestros datos personales están en poder de empresas o servicios en los que estamos registrados.
Para empezar, las empresas necesitarán tener nuestro consentimiento explícito para seguir procesando nuestros datos personales. Además, también tendrán que tener unas políticas de privacidad claras y entendibles para que nuestro consentimiento sea informado. En estos términos nos tendrán que decir qué datos personales nuestros recopilan, cómo lo hacen, y qué es lo que hacen con ellos.
La GDPR también nos da derecho a que las empresas nos envíen copias de todos los datos personales que tienen sobre nosotros. También tienen que permitirnos revocarles cuando queramos el permiso para que sigan procesando estos datos personales, e incluso poder borrarlos si así quisiéramos. Este derecho al olvido estará sujeto a algunas condiciones, como que no entre en conflicto con la libertad de información o que los datos no sean de interés público.
Por último, una vez obtenidos nuestros datos personales recopilados por una empresa los usuarios tenemos derecho a cedérselos a otras. Además, las empresas tienen que desarrollar su software pensando explícitamente en salvaguardar nuestra privacidad, lo que se llama Privacidad por Diseño.
Todos estos derechos no sólo los tienen que proporcionar las grandes entidades. [Si tienes un blog, una newsletter o un foro] también vas a tener que asegurarte de cumplir con estos requisitos si te toca. Por lo menos a no ser que sean páginas estrictamente personales o familiares.
Una norma con daños colaterales
El hecho de esperar a última hora para aplicar los cambios necesarios para cumplir con una normativa que lleva dos años en vigor está haciendo que haya daños colaterales en Internet. El más notable es que la GDPR está a punto de matar el WHOIS debido a la pereza del ICANN, el organismo que mantiene esta gran base de datos pública de los propietarios de dominios.
Los organismos europeos le negaron moratorias al ICANN, por lo que a principios de esta semana el organismo anunció un cambio temporal en el WHOIS para cumplir con la normativa. Con este cambio, los datos de este directorio dejarán de ser públicos temporalmente, y sólo entidades con intereses legítimos podrán acceder a ellos.
También os hemos contado que algunas empresas internacionales han decidido bloquear el acceso a IPs europeas. Se trata de algunas empresas con muy pocos usuarios o beneficios en Europa, y que mientras se preparan para cumplir con la normativa han decidido bloquear el acceso a los europeos para no poder ser sancionados.
El hecho de que la GDPR pida unas políticas de privacidad más concisas también está teniendo algún efecto negativo. Y es que precisamente para explicarlo todo bien, estamos viendo cómo algunas políticas de privacidad están doblando su tamaño, de manera que aunque más entendibles, se están volviendo más largas de leer.
También os hemos hablado de otras trampas que están haciendo algunas de las mayores redes sociales del mundo. Uno de los cambios que ha realizado Facebook es el de no permitir que los menores de 16 años usen WhatsApp sin consentimiento de padres y tutores. Aunque claro, el consentimiento es sólo una casilla que los propios niños pueden marcar, o sea que es como si no hubieran hecho nada.
Facebook también ha cumplido con la normativa presentando una nueva herramienta para borrar historiales, y ha anunciado varios otros cambios con nuevas opciones y configuraciones para cumplir con la GDPR.
En cualquier caso, a partir de hoy es cuando la nueva legislación europea de protección de datos se pone seria, por lo que estaremos atentos a cualquier otro cambio notable que se aplique en páginas y servicios. Además, también nos quedaremos esperando para ver cuál es la primera empresa en ser multada por no haber estado lo suficientemente rápida a la hora de hacer los cambios necesarios.
Imagen | Dennis van der Heijden
Ver 29 comentarios