RGPD: el reglamento europeo para blindar la privacidad de los usuarios

RGPD: el reglamento europeo para blindar la privacidad de los usuarios

Desde el pasado 25 de mayo comenzó a ser de obligado cumplimiento el nuevo reglamento europeo de datos, que exige un consentimiento explícito y claro para el uso de información personal y da más derechos para los usuarios.

Hacker seguridad internet

El nuevo reglamento europeo de protección de datos, conocido como RGPD, empezó a aplicarse de forma efectiva el pasado 25 mayo, pese a que llevaba ya dos años en vigor. Las mayores novedades que ha traído la normativa son la necesidad de un consentimiento explícito por parte de los usuarios y la extensión de su aplicación a todas las empresas que traten datos de ciudadanos de la UE, pese a que su sede esté ubicada fuera del continente. Además, contempla nuevos derechos para los usuarios y multas para las compañías que lo incumplan.

Tras el escándalo de Facebook y Cambridge Analytica, una mayor protección de la privacidad de los internautas se revela indispensable. Esta empresa británica de análisis de datos recopiló sin permiso información de millones de usuarios de la red social más popular del mundo con el objetivo de utilizarlos después en campañas de propaganda política dirigida. Facebook tuvo que reconocer su fallo a la hora de vigilar la seguridad de los datos personales.

Las nuevas normas de la UE buscan evitar estos casos en los que la privacidad de los usuarios se ve comprometida. Se trata del “cambio más importante en regulación de privacidad de datos en 20 años”, apuntan las instituciones europeas, que sostienen que el RGPD tiene como objetivo “devolver a los ciudadanos el control de sus datos personales y garantizar en toda la UE unos estándares de protección elevados y adaptados al entorno digital”.

De consentimiento tácito a consentimiento explícito

La clave principal del reglamento es que exige un consentimiento afirmativo y explícito por parte de los usuarios (no solamente tácito, sobreentendido, como hasta ahora) para que las empresas puedan hacer uso de sus datos. Además, el permiso tiene que ser inequívoco, claro y distinguible de otros asuntos, y el lenguaje utilizado por las compañías en las cláusulas de privacidad deber ser “claro y comprensible” para los usuarios.

De esta forma, con la puesta en marcha del RGPD llega el fin de las casillas premarcadas para el envío de publicidad y desaparecen las cláusulas de consentimiento farragosas y de dudosa transparencia que buscan confundir al usuario.

Por otro lado, con este cambio, todas aquellas empresas que traten datos de los ciudadanos europeos y que, cuando solicitaron consentimiento en su momento este no cumplía con todas las nuevas exigencias, tendrán que volver a pedirlo para cumplir con ellas. Por ello, en los últimos meses los internautas han recibido un aluvión de solicitudes de permisos para poder recopilar y usar su información personal.

A Google, Facebook o Amazon también les afecta

La nueva regulación europea de protección de datos extiende su aplicación de forma clara a todas las empresas que procesan datos personales de personas que residen en la UE, independientemente de la ubicación de la empresa, es decir, gigantes de internet como Google, Facebook o Amazon también deberán cumplirla. Anteriormente, el ámbito de aplicación resultaba más ambiguo.

Los siete derechos de los usuarios

El RGPD contempla una serie de derechos para los ciudadanos europeos, algunos de ellos ya recogidos en la Ley de Protección de Datos de Carácter Personal (LOPD) española, y otros completamente nuevos también para los usuarios de nuestro país.

En concreto, la ley española reconoce de los denominados derechos ARCO (acceso, rectificación, cancelación y oposición). El reglamento europeo también incluye el derecho de acceso, por el que los usuarios pueden pedir a las empresas que les confirmen si sus datos se están procesando, dónde y con qué propósito y las compañías están obligadas a proporcionarles una copia de los datos personales en formato electrónico, sin ningún tipo de coste. También el derecho de rectificación, por el que los usuarios tienen derecho a que se modifiquen “sin dilación” aquellos datos que sean inexactos o se completen los que estén incompletos; así como el de oposición, que implica que los ciudadanos pueden solicitar que no se traten sus datos en determinados casos.

Por su parte, el derecho de cancelación se amplía en el RGPD como derecho al olvido. Ya reconocido por el Tribunal de Justicia de la UE, determina que los internautas de países comunitarios pueden exigir la rectificación o supresión de datos personales. La reclamación del borrado de la información de internet puede hacerse en una serie de supuestos, por ejemplo, que los datos ya no sean necesarios para la finalidad para la que fueron recogidos, que se haya retirado el consentimiento para que se sigan usando esos datos o que se hayan obtenido de forma ilícita.

Los nuevos derechos que tienen ahora los ciudadanos europeos con la aplicación del RGPD son el de portabilidad (por el que los usuarios podrán obtener una copia de los datos personales que recopila una empresa o proveedor de servicios digitales para cederlos a otra compañía), el derecho a la limitación del tratamiento (que permite solicitar la limitación del tratamiento de los datos, por ejemplo, mientras se verifica la exactitud de la información si se impugna su veracidad) y el derecho a no ser objeto de decisiones individuales automatizadas. Este último busca restringir la posibilidad de que las empresas elaboren perfiles de usuarios tras recabar de forma automática datos personales con el objetivo de elaborar predicciones sobre personas.

¿Han accedido a tus datos tras un ‘hackeo’? Ahora puedes saberlo

Las compañías están obligadas a informar cuando hayan sufrido una brecha de seguridad a las autoridades de control y a los afectados. En concreto, las empresas tienen que comunicar un incidente relacionado con la seguridad y la privacidad de los datos a las autoridades pertinentes, en nuestro país a la Agencia Española de Protección de Datos, en un plazo de 72 horas tras haber tenido constancia de la misma. Dependiendo de la gravedad, se deberá notificar también a los usuarios que se pudieran haber visto afectados.

Multas elevadas

Las empresas que no cumplan con estas medidas tendrán que hacer frente a un importante desembolso, pues el RGPD contempla multas de hasta el 4% de la facturación mundial anual o 20 millones de euros (el importe que sea mayor).

Estos importes corresponderían a las sanciones máximas, que se impondrían en en caso de las infracciones más graves. Para faltas más leves, “existe un enfoque escalonado de multas, por ejemplo, una empresa puede recibir una multa del 2% por no tener sus registros en orden, no notificar a la autoridad supervisora y el sujeto de datos sobre una infracción o no llevar a cabo una evaluación de impacto”, explican las instituciones europeas.

Más información