Aunque lleva en vigor desde el 24 de mayo de 2016, el próximo 25 de mayo de 2018 el nuevo Reglamento General de Protección de Datos de la Unión Europea o GDPR pasa a ser de obligado cumplimiento. Con su entrada en vigor, los usuarios ganan nuevos derechos relacionados con sus datos personales, mientras que las normas a las empresas que los tratan o recopilan se endurecen.
Esto también quiere decir que en las últimas semanas seguro que has recibido varias notificaciones de todos tus servicios online hablándote de los cambios que habrá a partir de ahora. Por eso, hoy vamos a enumerar los cambios inmediatos que tendrá esta nueva normativa en los usuarios, cambios con los que tendrán que cumplir todas las empresas y servicios online que utilices.
Estas normativas afectarán tanto a las organizaciones y empresas que actúen como controladores de datos, la que determina los propósitos y medios para el procesamiento de datos personales, como para las que sean las procesadoras de datos, que son los que se encargan de procesarlos en nombre del controlador. Hay algunas mínimas diferencias entre las exigencias hacia unas u otras, pero en conjunto tienen que asegurarse de que los usuarios puedan beneficiarse de sus derechos.
Qué es el GDPR
El GDPR, por sus siglas en inglés (General Data Protection Regulation), o RGPD por sus siglas en español (Reglamento General de Protección de Datos), es la nueva normativa que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea. Es la primera norma de este tipo que afecta por igual a todos los países de la UE, suponiendo unas normas del juego unificadas que todos deben cumplir.
Durante años, muchas empresas y sectores como el tecnológico venían pidiendo una normativa de estas características, ya que al operar en Europa tenían que hacer frente a 28 legislaciones diferentes sobre el uso y tratamiento de datos personales. A partir de ahora esto no será un problema, ya que todos tendrán unas normas unificadas.
Gran parte del contenido de la GDPR se basa en reglas establecidas por medidas de privacidad anteriores de la UE, como el 'Privacy Shield' o la 'Data Protection Directive'. Sin embargo, amplía parte de lo que ya protegían en dos puntos fundamentales, unos mayores requisitos a la hora de obtener datos personales de los ciudadanos europeos y unas sanciones mucho más severas con multas por infracción que se establecen en el 4% de la facturación global de una empresa.
Aunque los países de la Unión Europea podrán sacar sus propias leyes de protección de datos, España tiene una nueva en proceso de tramitación parlamentaria, estas leyes no podrán contradecir las normas de la GDPR. Como mucho podrán definir algunos de sus aspectos, como cuál es la edad a partir de la cual se considera menor a un usuario.
Por qué todos los servicios hablan ahora de ella
Este nuevo reglamento entró en vigor el 24 de mayo de 2016, pero la mayoría de grandes servicios online no han empezado a implementar medidas para su cumplimiento hasta las últimas semanas. Esto es debido a que en sus dos primeros años en vigor, la GDPR no era de obligado cumplimiento.
El Reglamento General de Protección de Datos pasará a ser de obligado cumplimiento a partir del 25 de mayo de 2018. Eso quiere decir que del 26 de mayo de 2018 en adelante, todos los servicios que operen en países de la UE van a tener que cumplir con la GDPR si no quieren exponerse a las sanciones.
Vamos, que si Facebook, Google, Twitter y todas estas empresas están avisándote ahora es porque lo han dejado todo para el último momento, y han preferido no cumplir la normativa hasta justo antes de que pase a ser obligatoria. Por lo tanto, es posible que en las dos semanas que quedan hasta esta fecha haya otros servicios rezagados que sigan avisándote de los cambios que van a realizar para cumplir con ella.
Los tres principales cambios para las empresas
La nueva GDPR tendrá tres cambios fundamentales con respecto a sus predecesoras, que influyen en aumentar la jurisdicción de la norma, aumentar las multas que se le pueden imponer a las empresas, y tratar de que estas no confundan a los usuarios con términos poco entendibles. Estos son los tres principales cambios a los que se enfrentarán las empresas con la GDPR:
Un mayor control a las empresas no europeas
Hasta ahora, las leyes europeas de protección de datos eran bastante ambiguas en cuanto a los territorios en los que debían aplicarse, ya que hablaba de un "contexto de establecimiento" en el que las cosas dependían en desde dónde se recopilaban los datos de los ciudadanos europeos. Sin embargo, la GDPR es bastante más clara en esta materia.
La nueva normativa se aplica a todas las empresas que procesan los datos personales de los interesados que residen en la Unión Europea, independientemente de la ubicación de la empresa. Todas las empresas que estén recopilando datos de ciudadanos europeos tienen que cumplir con la GDPR, independientemente de que el procesado de los datos se haga dentro de la Unión Europea o fuera de ella.
El GDPR también exigirá a las empresas no europeas que procesen datos de ciudadanos europeos que nombren a un representante en la UE. Esto tendrá lugar tanto si ofrecen bienes y servicios (gratuitos o de pago) como si se obtienen datos del comportamiento de los usuarios de Europa.
Unas multas más severas
Las organizaciones que vulneren la GDPR pueden ser multadas con hasta el 4% de lo que facturan en todo el mundo al año o 20 millones de euros, la cantidad que sea más grande. Estas es la multa máxima que se impondrá en las infracciones más graves, como por ejemplo, no tener suficiente consentimiento del cliente para procesar datos o violar el núcleo de los conceptos de Privacidad por Diseño.
También hay otras multas un poco más leves. Por ejemplo, una empresa podrá ser multada con el 2% de su facturación global anual por no tener sus registros de datos personales en orden, no notificar a la autoridad supervisora y al usuario en caso de suceder una filtración o pérdida de datos, o no llevar a cabo una evaluación de impacto de estas.
Estas nuevas normas serán aplicadas tanto a los controladores como a los procesadores de los datos personales de los usuarios. Al no hacer esta distinción todos estarán obligados a cumplir la normativa, incluidos también los servicios en la nube.
Unas solicitudes claras y entendibles
El otro gran caballo de batalla de esta ley tiene que ver con los consentimientos, puesto que las empresas ya no podrán utilizar términos y condiciones extremadamente largos, ilegibles y llenos de palabras legales que los usuarios no van a entender. A partir de ahora, la solicitud de consentimiento para obtener los datos personales y tratarlos tienen que ser fáciles de entender, e incluir el propósito con el que se procesarán los datos de los usuarios.
El consentimiento tiene que ser claro y fácilmente distinguible de otros asuntos. Vamos, que el usuario tiene que saber que le estás pidiendo permiso para obtener sus datos y no para otras cosas. El texto tiene que utilizar un lenguaje claro y sencillo, y el permiso para la recolección y tratado de datos debe ser tan fácil retirar como de darlo.
Los derechos de los propietarios de los datos
Con la entrada en vigor de la obligación de cumplir con la GDPR, los usuarios también podrán disfrutar de nuevos derechos ampliados que pasamos a contarte. Muchos de ellos eran optativos con normas anteriores, pero a partir de ahora serán imperativos y todas las empresas tendrán que asegurarse de proporcionarlos.
Notificaciones de filtraciones
Con la GDPR, las empresas estarán obligadas a notificar si hay algún tipo de filtración que afecte a los datos personales de los usuarios. Las notificaciones tendrán que emitirse a los usuarios de todos los estados miembros de la UE donde la violación de datos pueda "generar un riesgo para los derechos y libertades de las personas".
Estas notificaciones tienen que emitirse en un máximo 72 horas después de que las empresas detecten la filtración. Además, los procesadores de datos también tendrán que notificar a sus clientes, los controladores, de forma inmediata en el primer momento en el que sean conscientes de que ha habido una filtración de datos.
Derecho a acceder a nuestros datos
La GDPR también le dará a los usuarios el derecho de poder obtener una confirmación por parte del controlador de datos de que tus datos personales están siendo procesados, dónde se está haciendo y con qué propósito.
Además, las empresas que hagan de controladores de datos también deberán proporcionar a los usuarios una copia de los datos personales que tienen de ellos si así se solicitase. Esta copia deberá ser en formato electrónico y enviarse sin pedir ningún tipo de cargo a cambio.
Derecho al olvido
Los usuarios tienen derecho a solicitar que el responsable del tratamiento de sus datos personales los borre, que deje de compartirlos e incluso que haga que los terceros con los que los han compartido dejen de procesarlos. Este derecho existe desde la sentencia del Tribunal de Justicia de la Unión Europea, pero ahora pasa a ser parte del reglamento.
No se trata de un derecho absoluto, y está sujeto a algunas condiciones como el no ser datos relevantes para los propósitos originales o que los usuarios hayan retirado el consentimiento para procesarlos. E incluso a pesar de eso puede entrar en conflicto con otros derechos como la libertad de información o el que los datos sean de interés públicos. Por eso, las empresas tendrán que revisar cada caso concreto antes de borrar los datos.
Derecho a la portabilidad de datos
Una vez los usuarios han ejercido su derecho a obtener los datos personales que ha obtenido sobre ellos cualquier servicio, los cuales tienen que estar bien estructurados y organizados, tienen el derecho a entregárselos a otra empresa o controlador de datos si así lo quisieran.
Privacidad por Diseño obligatoria
La Privacidad por Diseño es una noción que obligará a los desarrolladores a incorporar las medidas oportunas para la protección de datos personales directamente en el diseño del software. Aquí, la IP del usuario pasará a considerarse un dato personal más. Esto no son todo ventajas, porque aunque se respete más nuestra privacidad habrá elementos como los banners que seguirán siendo bastante molestos, aunque más configurables.
Hasta ahora esto era algo de lo que todas las empresas hablaban mucho, pero que al final pocas aplicaban a ser opcional y al escudarse en su complejidad técnica o los costes extras que suponía. Pero con la entrada en vigor de la GDPR será obligatorio implementar la Privacidad por Diseño, y todos tendrán que cumplir con ella en servicios de la Unión Europea.
Ver todos los comentarios en https://www.xataka.com
VER 8 Comentarios