A partir del 25 de mayo, tendrás que dar tu consentimiento inequívoco para que las empresas puedan usar tus datos si eres ciudadano europeo. Es más, te tendrán que decir qué datos están utilizando, cómo los están tratando, para qué y quién es la persona responsable de los mismos.
Ese día entra en vigor en toda Europa una nueva ley de protección de datos: GDPR (General Data Protection Regulation). Una normativa que afecta a todas aquellas empresas que traten datos de los ciudadanos europeos aunque sean de Estados Unidos, como Google o Facebook.
Las grandes multas a las que se enfrentan quienes no cumplan con ella son uno de los puntos más controvertidos y mediáticos. Pero detrás de estas siglas también se esconde una nueva manera de informar a los usuarios sobre qué información cedemos y para qué se usa.
Qué es GDPR (o RGPD)
GDPR, por sus siglas en inglés (General Data Protection Regulation), o RGPD por sus siglas en español (Reglamento General de Protección de Datos) es la nueva normativa que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea.
El reglamento entró en vigor el 24 de mayo de 2016, pero será de obligado cumplimiento a partir del 25 de mayo de 2018.
Durante estos dos años, la Ley Orgánica de Protección de Datos (LOPD) ha seguido vigente, pero tiene fecha de caducidad. De hecho, se espera que en unos meses se apruebe una nueva ley (está ahora mismo en proceso de tramitación parlamentaria) que permita o facilite la aplicación del Reglamento. Esta nueva ley no puede contradecir a GDPR, pero sí que definirá mejor algunos de sus aspectos (cuando un usuario es considerado menor, por ejemplo)
Rafael García, responsable del área internacional de AGPD
Se trata de la primera norma sobre esta materia que afecta a todos los países de la Unión Europea y unifica, por tanto, tanto los derechos como las obligaciones.
De hecho, durante años fue una reivindicación de muchas empresas y sectores, como el tecnológico, quienes tenían que hacer frente a 28 legislaciones diferentes sobre el uso y tratamiento de datos personales para poder ofrecer sus servicios en Europa.
José Luis Zimmermann, director general de Adigital
A quién afecta GDPR
Esta nueva normativa determina que todas las empresas, independientemente de su país de origen o de actividad, deberán cumplirla si recogen, guardan, tratan, usan o gestionan algún tipo de dato de los ciudadanos de la Unión Europea. Es decir, que Apple o Amazon (por poner algunos ejemplos) también están sujetas a ella.
Y, por supuesto, nos afecta a todas las personas que vivimos en la Unión Europea.
GDPR va a ofrecer nuevas herramientas para que los usuarios sepamos qué datos cedemos y para qué
El responsable del área internacional de la Agencia Española de Protección de Datos (AGPD), Rafael García, asegura que GPDR da más derechos y mecanismos a los usuarios sobre sus datos. Según su valoración, hay tres ideas generales: habrá nuevas herramientas para controlar los datos (ya que la información tiene que ser más amplia, accesible, directa, comprensible y clara que lo que se hace ahora); hay nuevos derechos; y se da más poder a las agencias de protección de datos de cada país.
“Los usuarios deben ser conscientes de que las empresas que gestionan datos tienen nuevas obligaciones", añade.
Cuáles son tus derechos
Este reglamento recoge y reconoce, por tanto, derechos, como al olvido y el derecho a la portabilidad.
El primero establece que los ciudadanos podemos solicitar y lograr que nuestros datos personales sean eliminados cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
Es cierto que el derecho al olvido existe desde la sentencia del Tribunal de Justicia de la Unión Europea, pero ahora se recoge en este Reglamento. "El problema es que no es un derecho absoluto, existe confrontación con otros derechos (libertad de información por ejemplo), por lo que hay que ponderar cada caso concreto según unos criterios", explica el abogado experto en protección de datos.
Marcos Judel, socio y abogado experto en protección de datos personales de Audens
Mientras, el derecho a la portabilidad te permite que, si tus datos se están tratando de modo automatizado, puedas recuperarlos en un formato para cederlos a otro responsable. Estos datos deben estar "en un formato estructurado, de uso común y lectura mecánica (por ejemplo un excel) para que pueda transmitirlos fácilmente a otro responsable y facilitar así un cambio de proveedor, por ejemplo", explica Marcos Judel.
En principio, y según nos explica este abogado, este derecho sólo se aplicaría a los que has aportado en cada web, "no las segmentaciones que realizan o los tratamientos inferidos posteriores". Es decir, Facebook solo estaría obligado a darte los datos que tú has facilitado, no la información que hayas ido dejando con tus acciones en la red social. Sin embargo, "en el futuro seguramente veamos muchas resoluciones de las autoridades de control perfilando este tema".
Sobre todo porque hay algunos aspectos de la normativa, como éste, que permite varias interpretaciones según el experto al que se consulte.
¿En qué casos puedes pedir que cancelen tus datos? Este abogado explica que los derechos siempre se pueden ejercitar, pero que hay casos en los que la práctica es tan fácil. Por ejemplo, si está en vigor una relación contractual o existe un plazo legal de conservación (como puede ser mantener los datos fiscales a disposición de la Agencia Tributaria).
Otro de los nuevos derechos que contempla GDPR es el de acceso. Así, podrás pedir a las empresas que te confirmen si tus datos se están procesando, dónde y con qué propósito. Si lo haces, puedes pedir también una copia de tus datos personales sin que se te cobre por ello.
Dato eres tú
Pero, ¿qué es un dato personal? Cualquier información relacionada con una persona física que se puede utilizar para identificarla directa o indirectamente.
Puede ser cualquier cosa: desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica o una dirección IP de un ordenador.
Adiós a las casillas premarcadas
Para que una empresa pueda utilizar estos datos, tendrás que dar tu consentimiento. Pero ya no se hará como hasta ahora, cuando las empresas suelen utilizar largos términos ilegibles y condiciones plenas de jerga legal.
Condiciones de uso de Facebook
Con la entrada en vigor de GDPR, la solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso, con el propósito del procesamiento de datos adjunto a ese consentimiento. Es decir, que el consentimiento debe ser inequívoco, claro y distinguible de otros asuntos. Las empresas tendrán que mostrar sus condiciones de forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo.
Esto implica dos cosas. Por un lado, que cuando te des de alta en un servicio, web, aplicación o producto, el aceptar los términos de uso irá por un lado y, por otro, todo lo relativo al tratamiento de tus datos.
GDPR prevé multas de hasta el 4% de la facturación global anual o 20 millones de euros para quienes lo incumplan
Por otro lado, dejaremos de ver casillas premarcadas para el envío de publicidad, consentimientos tácitos para comunicaciones comerciales o cesiones de datos. A partir del 25 de mayo, las empresas están obligadas a informarte sobre cada finalidad del tratamiento de los datos, "la legitimación para su recogida y uso, y en su caso, la obtención del consentimiento por separado para cada finalidad", por lo que empezaremos a ver más casillas para que aceptes cada uno de estos aspectos, según nos avanza Marcos Judel, abogado experto en protección de datos del despacho Audens.
Incluso se está estudiando la posibilidad de crear unos iconos estandarizados para facilitar la transmisión y comprensión de estas condiciones. Algo que depende, según nos explica Rafael García, de que la Comisión Europea desarrolle esta posibilidad.
En cualquier caso, y como sentencia Judel, "con lo que pretende acabar el GRPD es con cláusulas oscuras, ilegibles e incomprensibles y que el usuario pueda conocer a qué se enfrenta y hacer valer sus derechos más fácilmente".
¿Cómo se determinará si algo es entendible o no? Este abogado tira de humor y sentencia que algo será legible "cuando una persona media lo puede entender todo, sin tener que leerlo cinco veces o preguntarle a un abogado". Eso sí, "si el tratamiento afecta a menores de edad, el lenguaje debe ser entendible por los niños".
Aunque, eso sí, adivierte que, al final, en sus manos está el leer y aceptar las políticas de privacidad, por muy fáciles y sencillas que sean".
Eso sí, parece que textos en los que se pueda leer frases típicas como “En cumplimiento de la Ley Orgánica 15/1999 de Protección de Datos y su normativa de desarrollo el Real Decreto 1720/2007 de desarrollo de la LOPD le informamos que…” pueden pasar a la historia. "Basta con que las cosas queden claras. Cuanto más sencillo y fácil, mejor", incide Marcos Judel.
Van a pedirte que renueves tus votos
¿Quiere esto decir que recibiremos una avalancha de peticiones para que demos nuestro consentimiento en todos los servicios, aplicaciones y web en los que estemos dados de alta?
“El reglamento lo que dice es que los tratamientos que estén basados en un consentimiento de los interesados y que se haya obtenido antes de que el GDPR sea aplicable (es decir, del 25 de mayo), si ese consentimiento no se obtuvo de forma conforme al reglamento, ese consentimiento ya no es válido”, explica Rafael García, responsable del área internacional de la Agencia Española de Protección de Datos. “Lo más normal es que las empresas adviertan a los usuarios de que están tratando sus datos con un consentimiento que ya no es válido y hay que volver a darlo de forma correcta”.
En este sentido, el director general de Adigital, José Luis Zimmermann, considera que es el tema del consentimiento uno de los que más quebraderos de cabeza puede dar, porque "este cambio obliga a cambiar los procesos establecidos para obtener el consentimiento o a valorar de forma documentada si pueden existir otras causas legales que permitan tratar datos sin necesidad de obtenerlo”.
Además, y en caso de que un usuario denuncie que los datos se han cogido de forma ilícita. "es el denunciado quien debe probar que tenía los datos de forma lícita y conforme a los principios del RGPD", explica Judel.
Te dirán si te han hackeado
Otro de los cambios importantes tiene que ver con las brechas de seguridad y violaciones de datos. ¿Cuántas veces nos hemos enterado, incluso años después de que sucedieran, de incidentes de seguridad en diversas empresas?
Con la entrada en vigor de GDPR las empresas deberán informar en un plazo de 72 horas de que han sufrido un incidente de seguridad. Y no sólo deberán dar parte a las autoridades competentes (en el caso de España, la Agencia de Protección de Datos), sino también a todos aquellos usuarios cuyos datos se hayan podido ver comprometidos.
Esta normativa afecta a todas las empresas que traten datos de ciudadanos europeos, independientemente de su lugar de origen
Las empresas, además, deberán tener un responsable de los datos si procesan datos personales para dirigir publicidad a través de motores de búsqueda basados en el comportamiento en Internet de las personas o si tratan datos especialmente sensibles, como de salud.
El límite de 72 horas puede suponer un verdadero desafío para las empresas. Así al menos lo considera Lorenzo Martínez, experto en seguridad, quien asegura que "quienes nos dedicamos a la respuesta ante incidentes, sabemos que si éste ha tenido la suficiente envergadura, y ha conllevado un ataque a diferentes sistemas dentro de una red, puede llegar a ser sumamente difícil dar una respuesta en menos de 72 horas".
Aquí entra en juego el responsable de los datos (Chien Data Officer, CDO en inglés). Ya hemos visto que no todas las empresas deben tener uno, pero de haberlo se encargará de informar y asesorar a los empleados sobre sus obligaciones bajo la ley de protección de datos; supervisar el cumplimiento de la legislación (incluidas las auditorías, actividades de sensibilización y la capacitación del personal) y actuar como un punto de contacto para las solicitudes de las personas con respecto al procesamiento de sus datos personales y el ejercicio de sus derechos, entre otras.
La privacidad será por defecto y diseño
Por último, José Luis Zimmermann, director general de Adigital, considera que, aunque gran parte del GDPR es muy similar a la normativa anterior, el problema estriba en las novedades que incorpora. “Suponen la necesidad de hacer cambios sustanciales en la gestión de los datos por parte de las empresas. Exige, como punto de partida, una proactividad en medidas técnicas y organizativas que en nuestra opinión va a suponer muchos problemas, especialmente en pymes”.
Además, Zimmermann alude a dos nuevos conceptos que aparecen en GDPR: privacy by design y privacy by default. “Estos conceptos suponen que una empresa debe tener en cuenta todos los requisitos de privacidad desde el momento de la creación de una nueva solución o herramienta tecnológica. Todo ello, obviamente, bajo el yugo de un régimen sancionador muy duro”.
Qué hacer si compruebas que no cumplen la ley
Como decíamos al principio, las sanciones previstas por GDPR han sido uno de los temas más polémicos y controvertidos.
Las organizaciones pueden ser multadas con hasta el 4% de la facturación global anual por infringir GDPR o € 20 millones. Ésta es la multa máxima que se puede imponer por las infracciones más graves. Por ejemplo, no tener suficiente consentimiento del cliente para procesar datos o violar el núcleo de los conceptos de Privacidad por Diseño.
Existe un enfoque escalonado para multas. Así, una empresa puede recibir una multa del 2% de su facturación por no tener sus registros en orden, sin notificar a la autoridad supervisora y al sujeto de los datos sobre una infracción o la no realización de la evaluación de impacto.
¿Qué debemos hacer si vemos, como usuario, que una empresa no está cumpliendo con esta ley? "Lo primero que aconsejamos es intentar arreglar el tema con el responsable del tratamiento de los datos. Puede ser un simple error o fallos que pueden arreglarse sin necesidad de pasar a otras actuacaiones. Pero, si no funciona, estamos ahí para proteger los derecos de los ciudadanos”, señala Rafael García.
Además, GDPR introduce el concepto de ventanilla única, lo que según el abogado de Ausens facilitará la presentación de denuncias en toda Europa, "lo que da al usuario un mayor poder".
Una ley muy demandada pero ¿caduca?
Esta unificación de todas las leyes de protección de datos se demandaba desde hacía tiempo. “Era necesario que en algo tan esencial para el desarrollo de la economía digital en Europa no hubiese diferencias regulatorias entre los países que puedan generar desventajas competitivas entre ellos”, nos asegura el director general de la Asociación Española de Economía Digital (Adigital), José Luis Zimmermann.
Si el tratamiento y uso que dan a tus datos no se ajusta al nuevo reglamento, deberán pedirte de nuevo tu aceptación
En este sentido, la Unión Europea defiende que GDPR es un paso “esencial para fortalecer los derechos fundamentales de los ciudadanos en la era digital y facilitar los negocios mediante la simplificación de las normas para las empresas en el mercado único digital”.
Sin embargo, Adigital cree que nace caduca. El problema reside en que, desde el momento en que inician las conversaciones se iniciaron hace más de 9 años. “En todo este tiempo han pasado muchas cosas. Han aparecido nuevos modelos de negocio, nuevos usos de los datos, múltiples innovaciones alrededor de los datos, ha variado la percepción del ciudadano y de los riesgos. Es, por tanto, una norma que nace ya, en su aplicación, con cierta obsolescencia”, asegura Zimmermann.
Ver 40 comentarios
40 comentarios
Caboorrrl!!
La ley GDPR es mucho más estricta que la ley actual. Sin embargo, después de ver en como realmente va a afectar en la práctica al usuario final (trabajo en una empresa que va a desarrollar soluciones par a otras empresas sobre GDPR) sólo puedo deciros que va a ser una puta mierda más para tocar los cojones a los usuarios cuando entras en una página web cualquiera y que no aportará nada al usuario. Eso sí, van a ser mucho más estrictos con las webs que no cumplan con la nueva ley. Os acordáis del "acepto todo" de cuando instalas un programa? Pues básicamente eso. Básicamente es un "acepto cookies" con asteroides.
glariar
si no se leen el acuerdo para crear una cuenta en cualquier red social, que van a estar leyendo la mayoria de los usuarios los datos que les recolectan, solo le vana adar aceptar XD
juanjofm
El cambio más importante que veo yo es que una dirección IP pasa a tratarse como una información personal. Es decir, que afecta a los logs de acceso de todas las webs ya que la gran mayoría guarda un log con la petición y la IP para, por si pasa algo (hackeo) saber que ha pasado.
También creo que afectará a la ley de 2007 española que obliga a las ISP a guardar los datos de todas las conexiones de sus clientes, ley que por otra parte ya declaró Europa ilegal, pero que como esto es Esparta, digo, España, pues no pasa nada.
tonirivas
Entonces harán lo mismo que con las cookies, si no las aceptas te largan de la página, si usted no acepta que utilicemos sus datos para lo que nos dé la gana, no se puede usted dar de alta en facebook, MENUDA TONTERIA.
Lo que tendrían que hacer es obligar a las empresas a no discriminar a ningún usuario porque acepta o no sus condiciones.
curtu
Vamos lo que quieren es que las empresas les haga el trabajo de recogida de datos y se lo cedan en bandeja, asi, de gratis.
Mas molestias para el usuario, mas molestias para los programadores, mas cargas para los sistemas.
Con leyes tan estupidas promueven el salir de la legailidad, venga todos para la dark web...Acaso han preguntado a los ciudadanos europeos si quieren algo de lo que van a implementar?
Poco me gusta que el mono de turno vaya tomando decisiones tontas, estilo cookies, o canones digitales...
Usuario desactivado
No acabo de entender si ahora va a ser más difícil ejercer el derecho al olvido.
Yo es algo que he usado en su día para evitar que salieran determinadas webs con mi nombre en google y me parece una herramienta muy útil si buscas privacidad.
saph4
Buena va, con esto lo que han conseguido es que para guardar el más mínimo dato ahora además tengas que identificar al usuario en caso de que te reclamé algo.
Se pierde privacidad, no se gana
leyendlink
Pues todo eso lo pueden implementar grandes empresas de EEUU sin problemas, pero para las empresas europeas y startups es una putada, significa más tiempo de desarrollo y de tiempo en operaciones y como no cumplan 20 millones de euros de multa, google te los paga(o los pelea en la corte) pero para una empresa que esta creciendo es un golpe duro, esto sin duda afecta la competitividad y solo permite que Google, Apple, Amazon, Microsoft, Facebook y demás sean intocables.
lorabe
Una medida totalmente buena. Mis aplausos a la Unión Europea.
informatico_loco
Por cierto, leí en algún sitio que la idiotez de avisar de las cookies en las páginas web tenía los días contados, creo que no faltaba mucho. ¿Es así?
equalitas
Un aplauso a las personas que hacen esto posible, en Europa hay esperanza (también muchas cosas en las q mejorar, ojo)
l1ch
Eso en Europa ¿Y como beneficia o perjudica esto en América?
eslax
Yo me pregunto, ¿cómo va a afectar esto a pequeños blogs que recopilen usuarios/claves y IPs de mensajes? ¿Y para una cookie de funcionalidad voy a tener que poner un popup con condiciones de uso para que las acepte? Se avecina otra jodienda peor que la ley de cookies me parece a mi.
masimk
¡Hola! Gracias por el artículo. Tengo una duda, ya que en estos días veo por unos lados LSSI y por otros Ley GDPR, ¿es lo mismo?
¡Gracias de antemano!
wctejerina
.
fernandoreyespie
Acepto estas normas hacia la ley de protección de datos,ya que algunas ocasiones unos tantos por cientos,sus datos han violado.
aunque es algo extremadamente sujeto que las empresas puedan seguir gracias a esta ley,impidiendo publicar marketing y publicidad a sus usuarios.
tanto como google,facebook y apple,se mantienen de los datos de sus usuarios,ofreciendoles publicidad de sus gustos.
hay un punto que las empresas deben parar de satisfacerse de nuestros datos personales sin aceptar sus normas.
y sea como una "simple" casilla opcional de permisos como cualquier aplicacion o la caracteristica de android "deseas aceptar permiso de..."
el punto malo,es que talvez no gustaramos mucho de los servicios que nos satisfacen gracias a esta ley ,tendriamos que romper sus normas
pero en fin,la seguridad de internet es menos segura y con esto es solo un poco que nos podrian ayudar en nuestros datos personales
carlotacc
Me surge una duda respecto a los clientes que durante años me firmaron contratos antes de la entrada en vigor del RGPD, en los que aceptaban implícitamente la cláusula del envío de comunicaciones comerciales porque esta cláusula aparecía en el mismo contrato que aceptaban en su totalidad. (soy mediadora de seguros)
¿tengo que recoger el consentimiento expreso de esos clientes para el envío de comunicaciones comerciales?
Y si les envío un email: no estoy ya incumpliendo al tratar los datos para otra finalidad no prevista?
Land-of-Mordor
"...Aquí entra en juego el responsable de los datos (Chien Data Officer, CDO en inglés)..."
O sea, el "Oficial de Datos Perruno" si usamos la traducción del vocablo francés "Chien". Supongo que el autor quería decir "Chief"