Así te afecta el nuevo Reglamento General de Protección de Datos
Quizás hayas recibido estos días en tu bandeja de entrada un correo de una organización que te pide renovar el consentimiento para utilizar tus datos personales. Quizás hayas recibido decenas. El motivo no es otro que la aplicación, a partir del viernes, 25 de mayo, del nuevo Reglamento General de Protección de Datos (RGPD), que se aplicará en toda la Unión Europea. Se trata acaso de la mayor regulación que ha vivido el mundo de Internet desde su creación. La premisa es que el usuario tenga más control sobre el uso que hacen las empresas de sus datos personales para evitar abusos como el de Cambridge Analytica. Esto implica que al usuario «le dará más control sobre cómo tratan sus datos las empresas», cuenta a The Objective el abogado experto en Derecho Tecnológico Sergio Carrasco.
Quizás hayas recibido estos días en tu bandeja de entrada un correo de una organización que te pide renovar el consentimiento para utilizar tus datos personales. Quizás hayas recibido decenas. El motivo no es otro que la aplicación, a partir de este viernes, del nuevo Reglamento General de Protección de Datos (RGPD), que afectará a toda Unión Europea. Se trata acaso de la mayor regulación que ha vivido el mundo de Internet desde su creación. La premisa es que el usuario tenga «más control sobre cómo tratan sus datos las empresas», cuenta a The Objective el abogado experto en Derecho Tecnológico Sergio Carrasco. El objetivo es evitar abusos como el de Cambridge Analytica.
Una de las principales novedades del Reglamento General de Protección de Datos es que cada usuario debe dar de forma explícita su consentimiento para el uso de sus datos. Es decir, las empresas ya no podrán entender que el usuario acepta todo aquello que no ha rechazado expresamente. Desaparecerá la ambigüedad que venía practicándose, que consistía en que las empresas hacían una explicación muy farragosa y sesuda sobre el uso de los datos, que el usuario aceptaba en bloque. Ahora, las empresas deberán especificar claramente y en lenguaje sencillo para qué se utilizan los datos y el usuario deberá autorizarlo marcando una casilla que tiene que estar en blanco por defecto. ¿Eso significa que desaparecen los textos interminables sobre uso de datos? «La idea es esa», explica Carrasco. Pero ojo, porque «los primeros meses puede que los textos sean aún más largos», continúa el abogado, ya que explicar en lenguaje cotidiano y masticado términos jurídicos complejos requiere, precisamente eso, más explicaciones. Baste como ejemplo para entender esto el hecho de que un físico tardaría cinco minutos en explicarle a otro físico una teoría sobre la gravedad, pero tardaría mucho más en explicárselo a una persona sin conocimientos científicos. Lo que busca el RGPD es que, sea como sea, el usuario entienda exactamente qué datos está cediendo y qué uso les va a dar la compañía.
Otra novedad del Reglamento General de Protección de Datos consiste en que los usuarios podrán llevarse sus datos de una compañía a otra. Por ejemplo, los internautas podrán migrar su foto de perfil y sus vídeos a otra red social sin necesidad de descargársela y volverla a subir a la nueva. Esto se hace para facilitar que cada persona pueda marcharse de una red social sin mayores obstáculos. Además, los europeos también podrán pedir a las entidades que tengan información suya que les envíen un documento en el que especifiquen qué datos tienen y para qué los utilizan. Muchas empresas ya tienen formularios que ofrecen esta posibilidad, pero, ahora, las compañías que manejen cantidades masivas de datos o información especialmente delicada -como Facebook-, deberán contar con la figura de un delegado de protección de datos, se encargará de facilitar esta tarea. Además, Carrasco considera que «es posible que se vayan creando nuevos mecanismos» para que los usuarios accedan a sus datos a medida que las compañías se vayan adaptando al nuevo marco legal.
El derecho al olvido, ampliado
El Reglamento General de Protección de Datos contempla también el derecho al olvido, es decir, a eliminar información. Esta normativa ya se regía para los buscadores (como Google o Ecosia) que indexaran contenidos con datos sobre uno mismo. Google tiene, desde 2014, un formulario para ejercer este derecho. La novedad es que ahora el derecho al olvido ya no solo se aplicará a buscadores, sino a otras entidades que operen en Internet. Ahora bien, este derecho contempla excepciones. «En el caso de un personaje público o una información de interés general», la ley no garantiza este derecho, explica el abogado, ya que la normativa considera que «prima el derecho a la información» sobre el derecho a la propia imagen. Un ejemplo práctico: si tu nombre aparece en una noticia de hace 10 años sobre un accidente de tráfico en el que falleció una persona, tienes derecho a exigir que el periódico la retire. Ahora bien, si Eduardo Zaplana quisiera eliminar las informaciones que se vienen publicando estos días sobre sus supuestos casos de corrupción, la ley no lo permitiría porque entiende que se trata de información de interés general.
Esta medida es de carácter europeo, pero no solo se aplicará a las empresas con sede en los 28 países de la UE, sino a todas las que operen en el ámbito comunitario, aunque sean extranjeras (como Google, Twitter o Facebook). Pero ¿cómo pueden los europeos protestar si ven vulnerados sus nuevos derechos? Lo que recomienda Sergio Carrasco es «denunciar ante la autoridad de protección de datos que corresponda en cada país; en el caso de España, es la Agencia Española de Protección de Datos» (AEPD). Esto ya se podía hacer antes porque este no es un organismo nuevo. La diferencia es que ahora cambian los casos en los que puede actuar la AEPD. Y el Reglamento General de Protección de Datos incluye otra novedad referente a la vulneración de los derechos de protección de datos: aumenta la cuantía de las multas que se pueden imponer a las entidades que no cumplan los nuevos requisitos. En los casos más graves, las sanciones pueden llegar al 4% de la facturación anual de la empresa o a 20 millones de euros, la cantidad que sea más alta. En el caso de que la empresa que maneje datos personales no cometa un abuso sino que sea víctima de un hackeo o un robo de datos, debe comunicarlo a la agencia de protección de datos de cada país en un plazo no superior a 72 horas. Se intenta evitar, con esta medida, que las empresas oculten que los datos de sus clientes han pasado a terceras personas.