¿En qué consiste el nuevo Reglamento General de Protección de Datos?
En las ultimas semanas, la filtración de datos se ha convertido en noticia debido al caso de la, ya cerrada, Cambridge Analytica. La empresa filtró los datos de aproximadamente 87 millones de usuarios de Facebook con el fin de impulsar la campaña electoral del actual presidente norteamericano, Donald Trump.
Además, todos recordamos casos como el de Edwars Snowden, antiguo empleado de la CIA que hizo públicos documentos y datos procedentes de un programa de vigilancia electrónica llamado PRISM, utilizado por la NASA para el manejo y recopilación de datos que pudieran ser de interés para la agencia.
Con el fin de dificultar la filtración de información personal y proteger al usuario en la red, la Unión Europea ha sacado adelante un nuevo Reglamento General de Protección de Datos (GDPR en sus siglas en inglés). Se trata de un documento normativo que pretende endurecer las políticas de protección de datos en Internet, de manera que el usuario tenga mayor control sobre ellos. El 24 de mayo de 2016 entró en vigor y a partir del 25 de mayo de 2018 será obligatoria su implantación. El Reglamento afecta tanto a empresas como a usuarios y su cumplimiento es obligatorio para todos los países de la Unión.
¿Cómo afecta al usuario?
Primero, es importante definir y especificar a qué llamamos datos personales y qué apunte es dato personal y cuál no.
La Unión Europea define los datos personales como toda información acerca de una persona viva e identificable. Principalmente, los datos personales son aquellos que permiten la perfecta identificación de una persona (nombre y apellidos, edad, lugar de origen, domicilio, fotos…). En el caso del correo electrónico, aunque este se puede crear sin la necesidad de incluir datos personales como el nombre o los apellidos, se considera igualmente dato personal (esto se debe a que el correo electrónico se encuentra vinculado a un dominio en concreto).
El tratamiento de los datos implica tanto su obtención, conservación, estructuración, consulta, utilización, difusión, así como cotejo o destrucción.
El usuario podrá reclamar la eliminación de sus datos personales en cualquier momento (Derecho al Olvido) o cuando considere un mal uso de ellos. Además, también podrá pedir una copia a la empresa que los posea. El propio reglamento destaca en su artículo 7 que “será tan fácil retirar el consentimiento como darlo”.
Los datos no serán retenidos más tiempo del necesario de tal manera que si un usuario borra su perfil de una red social, ésta tiene la obligación de descartar todos sus datos personales. En el caso de los menores de 16 años, se requiere el permiso de sus padres para la trasmisión de datos personales. La retención de información de niños más pequeños de esta edad se considerará ilícita.
El Reglamento afecta a clientes, usuarios y empresas, sin embargo, quedan exentos los estados, administraciones o autoridades competentes de los gobiernos nacionales o de la Unión Europea.
¿Cómo afecta a las empresas?
Esta normativa se extiende a todas las empresas que guarden datos personales. Lo importante, en este caso, no es el origen de la empresa sino el del usuario de la misma de tal manera que, por ejemplo, si una empresa americana cuenta con los datos personales de ciudadanos europeos deberá atenerse al reglamento de la Unión Europea.
Los datos personales que deberán retener las empresas serán, según el reglamento, únicamente los “adecuados, pertinentes y limitados”. Y es en limitados donde surge la novedad: las empresas solo podrán solicitar aquellos datos estrictamente útiles para sus fines y no podrán hacerse cargo de otro tipo de informaciones que no sean pertinentes para sus labores. En el caso de las redes sociales, donde se recogen datos rigurosamente personales (convicciones políticas, gustos personales, orientación sexual…), se devolverán los datos personales que haya aportado el usuario no así sus publicaciones (post, tuits, etc.)
Los responsables facilitarán siempre al usuario el acceso a sus datos personales y a todos los movimientos relativos a su tratamiento, que deberán ser explicados de forma concisa y clara a este de manera que no haya interpretaciones equívocas en sus cláusulas.
En caso de que un usuario solicite la retirada de sus datos personales, las empresas cuentan con un plazo de un mes (prorrogable a dos meses) para su eliminación. Si se demora más tiempo, la organización, obligatoriamente, deberá informar de las razones del retraso. Será imprescindible informar al usuario de los datos relativos a la identidad y contacto de los responsables del tratamiento de datos de caracter personal.
Por su parte, las empresas se verán obligadas a establecer la figura del Delegado de Protección de Datos que permita y supervise el cumplimiento de la norma y que sirva de intermediario entre el usuario y la empresa.
¿Qué infracciones hay en caso de incumplimiento?
Las compañías que no cumplan el reglamento serán penalizadas con multas que rondarán entre el 2% y el 4% de su facturación anual hasta multas de 10 a 20 millones de euros, dependiendo de la gravedad del caso.
Si el usuario nota alguna infracción, lo mejor es contactar con el responsable del tratamiento de los datos personales para que solucione el problema. Si esto no funciona, es conveniente acudir a instituciones como la Agencia Española de Protección de Datos para que gestionen su caso.
¿Qué tengo que cambiar en mi página web?
Se tendrá que actualizar el contenido legal de las páginas web de acuerdo al nuevo reglamento. Si se trata de páginas web con bases de datos de clientes, se debe actualizar la información incluyendo el tiempo de permanencia de los datos personales, quién o quiénes son los responsables de su gestión o qué hacer para solicitar la retirada de dichos datos.
Conoce otros temas de actualidad:
¿Sabes qué es el protocolo HTTPS?
Biometría, ¿Seguridad o Privacidad?
¿Sabes cómo aumentar la seguridad de tus perfiles?