El nuevo Reglamento General de Protección de Datos


GDPR, así es la nueva normativa europea que va a cambiar la protección de datos El GDPR es la nueva

El nuevo Reglamento General de Protección de Datos

Publicado por https://omicrono.elespanol.com, el 22/05/2018

El nuevo Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) de la Unión Europea entró en vigor el pasado 24 de mayo de 2016, y será de obligatorio cumplimiento a partir del 25 de mayo de 2018.

Esta nueva regulación pone el foco en proteger la privacidad de los usuarios; la respuesta de Europa alminado de datos constantede las tecnológicas estadounidenses. También podría interpretarse como el deseo de la UE de demostrar que negocios y privacidad pueden ir de la mano, a pesar de que los datos sean la moneda de cambio.

Dependiendo de a quién se le pregunte hay muchas lecturas que se pueden hacer del reglamento. Lo que parece estar claro es quetodavía hay muchas dudasque despejar. Vamos a intentar responderlas en este artículo.

¿A quién afecta el GDPR?

El GDPR afecta atodas las empresascon independencia de su origen, o de su actividad. Si la empresa en cuestión recoge, guarda, trata, usa o gestiona algún tipo de dato de ciudadanos de la Unión Europea, tendrá que ajustarse a esta normativa.

En otras palabras: si compras un artículo en una web estadounidense, deberá tratar tus datos ateniéndose a la legislación europea. Lo que nos lleva al siguiente punto: el GDPR también afecta a todos los ciudadanos que viven en la UE.

¿Cómo te afecta el GDPR como usuario?

Para empezar quizá convengaaclarar qué es un dato personal: cualquier cosa que se pueda relacionar contigo u otra persona física es susceptible de serlo. El rango de posibilidades abarca desde una foto a una dirección de correo electrónico.

El nuevo reglamento nos dice qué derechos tenemos sobre esos datos personales. En primer lugarrecoge el derecho al olvido, por el que los ciudadanos podremos solicitar (y lograr) que nuestros datos personales sean eliminados de Internet. De los supuestos para pedir el borrado de datos que la Unión Europa contempla, podemos destacar los siguientes:

  • Cuando los datos ya no sean necesarios para la finalidad para la que fueron recogidos.

  • Cuando se haya retirado el consentimiento para que se sigan usando esos datos.

  • Cuando los datos se hayan obtenido de forma ilícita.

Por otro lado, la normativa también recoge el derecho a la portabilidad. De esta manera el usuario puede, si sus datos se están tratando de modo automatizado, recuperarlos en un formato concreto para cederlos a otro responsable.

De acuerdo con la normativa el formato debe estar estructurado, debe ser común y debe poderse leer. Por ejemplo, una hoja de Excel. Ahora bien, este derechosólo se aplicaría a los datos aportadosen cada web y no a las segmentaciones posteriores.

Es decir, redes sociales como Twitter sólo estarían obligadas aentregarte los datos que les hayas facilitado(ciudad de residencia o fecha de nacimiento). Las aportaciones que tú hayas ido haciendo posteriormente (tuits, contenidos compartidos) no entran dentro de la normativa.

¿Cómo afecta el GDPR a las empresas?

Las empresas tendrán más pasos que dar a la hora de tratar, recoger y utilizar los datos personales de los usuarios. A partir del 25 de mayo de este año necesitarán el consentimiento explícito de los usuariospara recabar su información.

Si los usuarios de la empresa son menores de 16 años será necesario un permiso paterno. Tanto en el caso de los menores de edad, como en el de los adultos, el consentimiento debe ser inequívoco, claro y distinguible de otros asuntos.

Cuando los datos recopilados alcancen un determinado umbral, será necesarionombrar un responsable(llamado oficial de protección de datos) que responda a los clientes en menos de 72 horas en caso de problemas relacionados. Por ejemplo, fugas de datos o hackeos.

Si los datos fugadosno sirven para identificar a los usuariosla notificiación no será obligatoria. Lo que sí deberán hacer en cualquier caso será informar a las autoridades competentes (en el caso de España, la Agencia Española de Protección de Datos).

¿Tendrás que aceptar nuevos términos y condiciones?

ElGDPR dice que, si los servicios web obtuvieron tus datos personales antes de que el reglamento sea aplicable (antes del 25 de mayo), será necesario solicitar una renovación del consentimiento. O sea, que en la gran mayoría de casos es más que probable que te veas obligado a aceptar nuevos términos y condiciones.

Puede que en los próximos días recibas notificaciones sobre estos cambios; ya sea en las webs en las que estás inscrito, o en tu correo electrónico. Lo más normal es que se te facilite una forma de dar tu consentimiento expreso.

Con estos cambios el reglamento introduce dos conceptos nuevos:

  • Privacidad por diseño: significa que cada paso que una empresa de relacionado con el proceso de datos personales debe hacerse con la intención de proteger la privacidad del usuario.

  • Privacidad por defecto: significa que una vez un producto o servicio haya sido lanzado al público, se deben aplicar las medidas de privacidad más estrictas por defecto; sin que el usuario final deba preocuparse por su aplicación.

¿Si no se cumple la ley, qué ocurre?

La empresa puede ser sancionada con multas que irán desde un porcentaje de la facturación anual, a 20 millones de eurospara los casos más graves.