Un mes para el nuevo reglamento europeo de protección de datos: ¿qué cambiará?

Internet

Un mes para el nuevo reglamento europeo de protección de datos: ¿qué cambiará?

El próximo 25 de mayo empezará a aplicarse el RGPD, que incluye más derechos para los usuarios y la necesidad de su consentimiento explícito para el uso de datos.

Internet

Queda justo un mes para la aplicación efectiva del nuevo reglamento europeo de protección de datos, conocido como RGPD. La normativa lleva en vigor hace casi dos años, pero no será hasta el próximo 25 de mayo cuando empiece a ser de obligado cumplimiento para todas las empresas que traten datos de ciudadanos de la UE. Es decir, también afectará a gigantes de internet como Google, Facebook o Amazon, por lo que supondrá un antes y un después dentro del mundo digital. ¿Cómo cambiará internet de 30 días? ¿Qué conllevará para los usuarios? ¿Qué implicará para las empresas?

Según defienden las instituciones europeas, la nueva ley pretende “devolver a los ciudadanos el control de sus datos personales y garantizar en toda la UE unos estándares de protección elevados y adaptados al entorno digital”. Se trata del “cambio más importante en regulación de privacidad de datos en 20 años” y trata de armonizar las regulaciones al respecto de los distintos país comunitarios.

La normativa empezará además a ser efectiva tras el sonado escándalo de Facebook y Cambridge Analytica. Esta empresa británica de análisis de datos recopiló sin permiso información de millones de usuarios de la red social para después utilizarlos en campañas de propaganda.

Consentimiento explícito

La mayor novedad que conlleva el nuevo reglamento es que los usuarios deben dar a las compañías su consentimiento explícito para que estas puedan hacer uso de sus datos. Además, en el caso de los menores de 16 años, será necesario el permiso paterno.

En todos los casos, el consentimiento tiene que ser inequívoco, claro y distinguible de otros asuntos, y el lenguaje sobre las cláusulas de privacidad deber ser “claro y comprensible”.

Así, las empresas o servicios web que obtuvieron el consentimiento para tratar los datos personales de sus usuarios antes de la aplicación del RGPD (el 25 de mayo), tendrán que solicitar una renovación del consentimiento en el caso de que este no cumpla con el reglamento actual, es decir, que no hubiera sido, cuando se obtuvo, explícito y claro.

Derechos del usuario

EL RGPD incluye además una serie de derechos en materia de privacidad y protección de datos para los ciudadanos de la UE.

La ley articula del derecho al olvido ya reconocido por el Tribunal de Justicia de la UE, por el que los internautas de países comunitarios pueden exigir la rectificación o supresión de datos personales. La reclamación del borrado de la información de internet puede hacerse en una serie de supuestos, por ejemplo, que los datos ya no sean necesarios para la finalidad para la que fueron recogidos, que se haya retirado el consentimiento para que se sigan usando esos datos o que se hayan obtenido de forma ilícita.

Por otro lado, contempla el derecho a la portabilidad de los datos, por el que los usuarios podrán obtener una copia de los datos personales que recopila una empresa o proveedor de servicios digitales para cederlos a otra compañía, por ejemplo, en el caso de redes sociales o plataformas de contenidos en ‘streaming’.

También incluye el derecho de acceso que busca una mayor transparencia sobre el uso de los datos. Los usuarios podrán pedir a las empresas que les confirmen si sus datos se están procesando, dónde y con qué propósito. Las compañías estarían obligadas además a proporcionar a los usuarios una copia de los datos personales en formato electrónico, sin ningún tipo de coste.

Sabrás si te han ‘hackeado’

Además, las compañías estarán obligadas a informar cuando hayan sufrido una brecha de seguridad a las autoridades de control y a los afectados. En concreto, las empresas tendrán que comunicar un incidente relacionado con la seguridad y la privacidad de los datos a las autoridades pertinentes, en nuestro país a la Agencia Española de Protección de Datos, en un plazo de 72 horas tras haber tenido constancia de la misma. Dependiendo de la gravedad, se deberá notificar también a los usuarios que se pudieran haber visto afectados.

Todas las empresas deben cumplirla

Además del consentimiento explícito y claro por parte de los usuarios, la otra gran novedad del reglamente es que su aplicación se extiende a todas las empresas que procesan datos personales de personas que residen en la UE, independientemente de la ubicación de la empresa, pues anteriormente las normativas relativas a la privacidad tenían un ámbito de aplicación más ambigua, por lo que gigantes como Google o Facebook podrían quedar exentos. Ahora, todas aquellas empresas que ofrezcan bienes o servicios a los ciudadanos de la UE, aunque la actividad no implique ningún pago por parte de los usuarios, deberán cumplirla, de modo que el buscador y la red social no podrán librarse. Tampoco los servicios en la nube están exentos.

Sanciones

El RGPD contempla multas de hasta el 4% de la facturación mundial anual o 20 millones de euros (el importe que sea mayor) a las compañías que infrinjan alguna de las medidas. Esta sería la sanción máxima, que se impondría en las infracciones más graves, pero “existe un enfoque escalonado de multas, por ejemplo, una empresa puede recibir una multa del 2% por no tener sus registros en orden, no notificar a la autoridad supervisora y el sujeto de datos sobre una infracción o no llevar a cabo una evaluación de impacto”, explican las instituciones europeas.

Más información