A partir del 25 de mayo, tendrás que dar tu consentimiento inequívoco para que las empresas puedan usar tus datos si eres ciudadano europeo. Es más, te tendrán que decir qué datos están utilizando, cómo los están tratando, para qué y quién es la persona responsable de los mismos.
Ese día entra en vigor en toda Europa una nueva ley de protección de datos: GDPR (General Data Protection Regulation). Una normativa que afecta a todas aquellas empresas que traten datos de los ciudadanos europeos aunque sean de Estados Unidos, como Google o Facebook.
Las grandes multas a las que se enfrentan quienes no cumplan con ella son uno de los puntos más controvertidos y mediáticos. Pero detrás de estas siglas también se esconde una nueva manera de informar a los usuarios sobre qué información cedemos y para qué se usa.
Qué es GDPR (o RGPD)
GDPR, por sus siglas en inglés (General Data Protection Regulation), o RGPD por sus siglas en español (Reglamento General de Protección de Datos) es la nueva normativa que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea.
El reglamento entró en vigor el 24 de mayo de 2016, pero será de obligado cumplimiento a partir del 25 de mayo de 2018.
Durante estos dos años, la Ley Orgánica de Protección de Datos (LOPD) ha seguido vigente, pero tiene fecha de caducidad. De hecho, se espera que en unos meses se apruebe una nueva ley (está ahora mismo en proceso de tramitación parlamentaria) que permita o facilite la aplicación del Reglamento. Esta nueva ley no puede contradecir a GDPR, pero sí que definirá mejor algunos de sus aspectos (cuando un usuario es considerado menor, por ejemplo)
Se trata de la primera norma sobre esta materia que afecta a todos los países de la Unión Europea y unifica, por tanto, tanto los derechos como las obligaciones.
De hecho, durante años fue una reivindicación de muchas empresas y sectores, como el tecnológico, quienes tenían que hacer frente a 28 legislaciones diferentes sobre el uso y tratamiento de datos personales para poder ofrecer sus servicios en Europa.
A quién afecta GDPR
Esta nueva normativa determina que todas las empresas, independientemente de su país de origen o de actividad, deberán cumplirla si recogen, guardan, tratan, usan o gestionan algún tipo de dato de los ciudadanos de la Unión Europea. Es decir, que Apple o Amazon (por poner algunos ejemplos) también están sujetas a ella.
Y, por supuesto, nos afecta a todas las personas que vivimos en la Unión Europea.
El responsable del área internacional de la Agencia Española de Protección de Datos (AGPD), Rafael García, asegura que GPDR da más derechos y mecanismos a los usuarios sobre sus datos. Según su valoración, hay tres ideas generales: habrá nuevas herramientas para controlar los datos (ya que la información tiene que ser más amplia, accesible, directa, comprensible y clara que lo que se hace ahora); hay nuevos derechos; y se da más poder a las agencias de protección de datos de cada país.
“Los usuarios deben ser conscientes de que las empresas que gestionan datos tienen nuevas obligaciones", añade.
Cuáles son tus derechos
Este reglamento recoge y reconoce, por tanto, derechos, como al olvido y el derecho a la portabilidad.
El primero establece que los ciudadanos podemos solicitar y lograr que nuestros datos personales sean eliminados cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
Es cierto que el derecho al olvido existe desde la sentencia del Tribunal de Justicia de la Unión Europea, pero ahora se recoge en este Reglamento. "El problema es que no es un derecho absoluto, existe confrontación con otros derechos (libertad de información por ejemplo), por lo que hay que ponderar cada caso concreto según unos criterios", explica el abogado experto en protección de datos.
Mientras, el derecho a la portabilidad te permite que, si tus datos se están tratando de modo automatizado, puedas recuperarlos en un formato para cederlos a otro responsable. Estos datos deben estar "en un formato estructurado, de uso común y lectura mecánica (por ejemplo un excel) para que pueda transmitirlos fácilmente a otro responsable y facilitar así un cambio de proveedor, por ejemplo", explica Marcos Judel.
En principio, y según nos explica este abogado, este derecho sólo se aplicaría a los que has aportado en cada web, "no las segmentaciones que realizan o los tratamientos inferidos posteriores". Es decir, Facebook solo estaría obligado a darte los datos que tú has facilitado, no la información que hayas ido dejando con tus acciones en la red social. Sin embargo, "en el futuro seguramente veamos muchas resoluciones de las autoridades de control perfilando este tema".
Sobre todo porque hay algunos aspectos de la normativa, como éste, que permite varias interpretaciones según el experto al que se consulte.
¿En qué casos puedes pedir que cancelen tus datos? Este abogado explica que los derechos siempre se pueden ejercitar, pero que hay casos en los que la práctica es tan fácil. Por ejemplo, si está en vigor una relación contractual o existe un plazo legal de conservación (como puede ser mantener los datos fiscales a disposición de la Agencia Tributaria).
Otro de los nuevos derechos que contempla GDPR es el de acceso. Así, podrás pedir a las empresas que te confirmen si tus datos se están procesando, dónde y con qué propósito. Si lo haces, puedes pedir también una copia de tus datos personales sin que se te cobre por ello.
Dato eres tú
Pero, ¿qué es un dato personal? Cualquier información relacionada con una persona física que se puede utilizar para identificarla directa o indirectamente.
Puede ser cualquier cosa: desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica o una dirección IP de un ordenador.
Adiós a las casillas premarcadas
Para que una empresa pueda utilizar estos datos, tendrás que dar tu consentimiento. Pero ya no se hará como hasta ahora, cuando las empresas suelen utilizar largos términos ilegibles y condiciones plenas de jerga legal.
Con la entrada en vigor de GDPR, la solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso, con el propósito del procesamiento de datos adjunto a ese consentimiento. Es decir, que el consentimiento debe ser inequívoco, claro y distinguible de otros asuntos. Las empresas tendrán que mostrar sus condiciones de forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo.
Esto implica dos cosas. Por un lado, que cuando te des de alta en un servicio, web, aplicación o producto, el aceptar los términos de uso irá por un lado y, por otro, todo lo relativo al tratamiento de tus datos.
Por otro lado, dejaremos de ver casillas premarcadas para el envío de publicidad, consentimientos tácitos para comunicaciones comerciales o cesiones de datos. A partir del 25 de mayo, las empresas están obligadas a informarte sobre cada finalidad del tratamiento de los datos, "la legitimación para su recogida y uso, y en su caso, la obtención del consentimiento por separado para cada finalidad", por lo que empezaremos a ver más casillas para que aceptes cada uno de estos aspectos, según nos avanza Marcos Judel, abogado experto en protección de datos del despacho Audens.
Incluso se está estudiando la posibilidad de crear unos iconos estandarizados para facilitar la transmisión y comprensión de estas condiciones. Algo que depende, según nos explica Rafael García, de que la Comisión Europea desarrolle esta posibilidad.
En cualquier caso, y como sentencia Judel, "con lo que pretende acabar el GRPD es con cláusulas oscuras, ilegibles e incomprensibles y que el usuario pueda conocer a qué se enfrenta y hacer valer sus derechos más fácilmente".
¿Cómo se determinará si algo es entendible o no? Este abogado tira de humor y sentencia que algo será legible "cuando una persona media lo puede entender todo, sin tener que leerlo cinco veces o preguntarle a un abogado". Eso sí, "si el tratamiento afecta a menores de edad, el lenguaje debe ser entendible por los niños".
Aunque, eso sí, adivierte que, al final, en sus manos está el leer y aceptar las políticas de privacidad, por muy fáciles y sencillas que sean".
Eso sí, parece que textos en los que se pueda leer frases típicas como “En cumplimiento de la Ley Orgánica 15/1999 de Protección de Datos y su normativa de desarrollo el Real Decreto 1720/2007 de desarrollo de la LOPD le informamos que…” pueden pasar a la historia. "Basta con que las cosas queden claras. Cuanto más sencillo y fácil, mejor", incide Marcos Judel.
Van a pedirte que renueves tus votos
¿Quiere esto decir que recibiremos una avalancha de peticiones para que demos nuestro consentimiento en todos los servicios, aplicaciones y web en los que estemos dados de alta?
“El reglamento lo que dice es que los tratamientos que estén basados en un consentimiento de los interesados y que se haya obtenido antes de que el GDPR sea aplicable (es decir, del 25 de mayo), si ese consentimiento no se obtuvo de forma conforme al reglamento, ese consentimiento ya no es válido”, explica Rafael García, responsable del área internacional de la Agencia Española de Protección de Datos. “Lo más normal es que las empresas adviertan a los usuarios de que están tratando sus datos con un consentimiento que ya no es válido y hay que volver a darlo de forma correcta”.
En este sentido, el director general de Adigital, José Luis Zimmermann, considera que es el tema del consentimiento uno de los que más quebraderos de cabeza puede dar, porque "este cambio obliga a cambiar los procesos establecidos para obtener el consentimiento o a valorar de forma documentada si pueden existir otras causas legales que permitan tratar datos sin necesidad de obtenerlo”.
Además, y en caso de que un usuario denuncie que los datos se han cogido de forma ilícita. "es el denunciado quien debe probar que tenía los datos de forma lícita y conforme a los principios del RGPD", explica Judel.
Te dirán si te han hackeado
Otro de los cambios importantes tiene que ver con las brechas de seguridad y violaciones de datos. ¿Cuántas veces nos hemos enterado, incluso años después de que sucedieran, de incidentes de seguridad en diversas empresas?
Con la entrada en vigor de GDPR las empresas deberán informar en un plazo de 72 horas de que han sufrido un incidente de seguridad. Y no sólo deberán dar parte a las autoridades competentes (en el caso de España, la Agencia de Protección de Datos), sino también a todos aquellos usuarios cuyos datos se hayan podido ver comprometidos.
Las empresas, además, deberán tener un responsable de los datos si procesan datos personales para dirigir publicidad a través de motores de búsqueda basados en el comportamiento en Internet de las personas o si tratan datos especialmente sensibles, como de salud.
El límite de 72 horas puede suponer un verdadero desafío para las empresas. Así al menos lo considera Lorenzo Martínez, experto en seguridad, quien asegura que "quienes nos dedicamos a la respuesta ante incidentes, sabemos que si éste ha tenido la suficiente envergadura, y ha conllevado un ataque a diferentes sistemas dentro de una red, puede llegar a ser sumamente difícil dar una respuesta en menos de 72 horas".
Aquí entra en juego el responsable de los datos (Chien Data Officer, CDO en inglés). Ya hemos visto que no todas las empresas deben tener uno, pero de haberlo se encargará de informar y asesorar a los empleados sobre sus obligaciones bajo la ley de protección de datos; supervisar el cumplimiento de la legislación (incluidas las auditorías, actividades de sensibilización y la capacitación del personal) y actuar como un punto de contacto para las solicitudes de las personas con respecto al procesamiento de sus datos personales y el ejercicio de sus derechos, entre otras.
La privacidad será por defecto y diseño
Por último, José Luis Zimmermann, director general de Adigital, considera que, aunque gran parte del GDPR es muy similar a la normativa anterior, el problema estriba en las novedades que incorpora. “Suponen la necesidad de hacer cambios sustanciales en la gestión de los datos por parte de las empresas. Exige, como punto de partida, una proactividad en medidas técnicas y organizativas que en nuestra opinión va a suponer muchos problemas, especialmente en pymes”.
Además, Zimmermann alude a dos nuevos conceptos que aparecen en GDPR: privacy by design y privacy by default. “Estos conceptos suponen que una empresa debe tener en cuenta todos los requisitos de privacidad desde el momento de la creación de una nueva solución o herramienta tecnológica. Todo ello, obviamente, bajo el yugo de un régimen sancionador muy duro”.
Qué hacer si compruebas que no cumplen la ley
Como decíamos al principio, las sanciones previstas por GDPR han sido uno de los temas más polémicos y controvertidos.
Las organizaciones pueden ser multadas con hasta el 4% de la facturación global anual por infringir GDPR o € 20 millones. Ésta es la multa máxima que se puede imponer por las infracciones más graves. Por ejemplo, no tener suficiente consentimiento del cliente para procesar datos o violar el núcleo de los conceptos de Privacidad por Diseño.
Existe un enfoque escalonado para multas. Así, una empresa puede recibir una multa del 2% de su facturación por no tener sus registros en orden, sin notificar a la autoridad supervisora y al sujeto de los datos sobre una infracción o la no realización de la evaluación de impacto.
¿Qué debemos hacer si vemos, como usuario, que una empresa no está cumpliendo con esta ley? "Lo primero que aconsejamos es intentar arreglar el tema con el responsable del tratamiento de los datos. Puede ser un simple error o fallos que pueden arreglarse sin necesidad de pasar a otras actuacaiones. Pero, si no funciona, estamos ahí para proteger los derecos de los ciudadanos”, señala Rafael García.
Además, GDPR introduce el concepto de ventanilla única, lo que según el abogado de Ausens facilitará la presentación de denuncias en toda Europa, "lo que da al usuario un mayor poder".
Una ley muy demandada pero ¿caduca?
Esta unificación de todas las leyes de protección de datos se demandaba desde hacía tiempo. “Era necesario que en algo tan esencial para el desarrollo de la economía digital en Europa no hubiese diferencias regulatorias entre los países que puedan generar desventajas competitivas entre ellos”, nos asegura el director general de la Asociación Española de Economía Digital (Adigital), José Luis Zimmermann.
En este sentido, la Unión Europea defiende que GDPR es un paso “esencial para fortalecer los derechos fundamentales de los ciudadanos en la era digital y facilitar los negocios mediante la simplificación de las normas para las empresas en el mercado único digital”.
Sin embargo, Adigital cree que nace caduca. El problema reside en que, desde el momento en que inician las conversaciones se iniciaron hace más de 9 años. “En todo este tiempo han pasado muchas cosas. Han aparecido nuevos modelos de negocio, nuevos usos de los datos, múltiples innovaciones alrededor de los datos, ha variado la percepción del ciudadano y de los riesgos. Es, por tanto, una norma que nace ya, en su aplicación, con cierta obsolescencia”, asegura Zimmermann.
Ver todos los comentarios en https://www.xataka.com
VER 42 Comentarios