La forma en que las empresas manejan tus datos cambió el 25 de mayo de 2018. La primera ley de protección de datos a nivel europeo te afecta como ciudadano de la Unión, y también a todas las empresas, europeas o no, que utilicen tus datos. Veamos en qué consiste de forma clara y resumida.
Puede que leyeras con detenimiento el primer e-mail que te llegó informándote de una actualización en la política de privacidad de alguna web en la que estás registrado. A ese le siguieron varios más hasta que, en vísperas del 25 de mayo, apurando bien la fecha límite, la bandeja de entrada se te llenó con los mensajes de las empresas más rezagadas. Tanto e-mail llegó a agobiarte y por defecto los archivaste, o directamente, los mandaste a la papelera.
Por lo pronto, el RGPD nos ha permitido ver que teníamos datos registrados en más webs de las que recordamos. Ahora veamos en qué afecta la normativa comunitaria:
¿Qué significa RGPD?
El Reglamento General de Protección de Datos, o en inglés General Data Protection Regulation o GDPR, es la primera normativa europea de obligado cumplimiento aplicable por cualquier entidad internacional (no solo europeas) que disponga de datos personales de cualquier ciudadano de la Unión Europea.
Puedes profundizar en el texto legal en español en el BOE sobre el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. La fecha de aprobación indica que no es un reglamento tan reciente, sin embargo, pese a las cuantiosas sanciones económicas, muchas empresas han apurado los dos años establecidos para su implementación. Y ojo porque establece multas del 4% de la facturación anual, con un límite máximo de 20 millones de euros.
A pesar del quebradero de cabeza inicial de las empresas para adaptarse a la nueva norma, el RGPD acaba siendo de gran utilidad pues armoniza el tratamiento de los datos de cualquier residente en la Unión Europea. Hasta la implantación del Reglamento las empresas tenían que lidiar con regulaciones más dispares, fruto de la adaptación del ordenamiento jurídico de cada estado miembro a la Directiva 95/46/CE, la directiva comunitaria vigente desde 1995 hasta la aprobación del RGPD en 2016.
¿Cómo afecta el RGPD?
El RGPD fundamenta todo su articulado en siete principios fundamentales que debe cumplir el responsable del tratamiento (la empresa que tiene tus datos):
- Licitud, lealtad y transparencia: relación y comunicación transparente sobre un tratamiento legal y del lado del usuario.
- Limitación de la finalidad: para fines específicos, sin que puedan ser usados para otros posteriormente.
- Minimización de datos: solo los necesarios para esos fines específicos.
- Exactitud: datos exactos y actualizados para los fines tratados.
- Limitación del plazo de conservación: solo durante el necesario para el tratamiento.
- Integridad y confidencialidad: seguridad que garantice su conservación y evite el tratamiento no autorizado.
- Responsabilidad proactiva: el responsable del tratamiento de los datos debe cumplir los principios anteriores y ser capaz de demostrarlo.
Como ciudadano de la Unión Europea, el RGPD te asegura tres derechos sobre el tratamiento de tus datos personales: de supresión, de portabilidad y de acceso a información.
- Supresión o derecho al olvido. Puedes solicitar que tus datos sean eliminados cuando ya no sean necesarios para la finalidad del servicio, o si fueron recogidos sin tu consentimiento.
- Portabilidad. Es posible transferir en un formato común (como Excel) tus datos personales facilitados, si quisieras cambiar a otra empresa responsable.
- Acceso a información. El usuario puede solicitar información y descargar una copia de los datos en poder del responsable del tratamiento; conocer en qué servicio se usan y con qué fin, siempre de acuerdo al consentimiento expresado por el usuario.
Tu consentimiento, más importante que nunca.
Aquellas ventanas con interminables condiciones legales sobre el uso del servicio donde en algún lugar debía detallarse el uso que realizarían de tus datos se han rediseñado. La novedad está en que ahora cuando te registras en un nuevo servicio en Internet (ya sea en una web o en una app), las condiciones de uso del servicio y el tratamiento que va a realizar de tus datos están separados. Además, el lenguaje y la redacción utilizada deben ser muy claros; nada de entremezclar conceptos, ni casillas preseleccionadas esperando que pulses el botón de Aceptar.
De esa forma se pretende que tu consentimiento sobre el tratamiento de tus datos en cada servicio quede perfectamente comprendido, establecido y registrado. Dicho de otro modo, el RGPD quiere poner fin a los consentimientos tácitos y parciales, de forma que el tratamiento de los datos debe ser aprobado de forma independiente y explícita.
Todos aquellos servicios que tenían tus datos, aquellos en los que te registraste o utilizaste antes de la aplicación del RGPD y que, por tanto, no obtuvieron tu consentimiento en base a sus nuevos criterios, son los que se han puesto en contacto contigo antes del 25 de mayo de 2018 a través de tu e-mail o al iniciar el servicio (como Facebook o WhatsApp), pidiéndote tu consentimiento, esta vez, adecuado al nuevo reglamento.