El RGPD, nuevo reglamento de protección de datos, en 7 claves

La opacidad con la que actúan las redes sociales, que recogen, almacenan y venden datos personales a terceros para hacer negocio, ha quedado al descubierto con el escándalo de Cambridge Analytica, una empresa británica que utilizó sin consentimiento datos de 87 millones de clientes de Facebook, casi tres millones de ellos europeos. El nuevo reglamento sobre protección de datos de la Unión Europea (RGPD), que será de obligado cumplimiento desde este viernes 25 de mayo, intentará precisamente evitar que se repitan situaciones similares dando más protección a los 250 millones de ciudadanos que utilizan diariamente internet en Europa.

Los correos electrónicos que estos últimos días empresas e instituciones han enviado a los ciudadanos (a veces de forma masiva) obedecen, precisamente, a la entrada en vigor de este reglamento comunitario.

La normativa, de 80 páginas y 99 artículos, fue aprobada hace dos años, en abril de 2016, para reemplazar otra de 1995, “la edad de piedra” en términos digitales, según la asociación de consumidores europeos (BEUC), cuando el multimillonario fundador de Facebook contaba con tan solo 11 años. El reglamento no supone, según la Comisión Europea, una revolución, pero sí una evolución destinada a reforzar derechos, mejorar el control y la privacidad de los datos personales y exigir a empresas y todo tipo de organizaciones un uso transparente de la información de sus clientes so pena de recibir fuertes multas. Estas son algunas de las claves y los nuevos derechos:

1. Lenguaje claro y sencillo

Las interminables solicitudes de consentimiento deberán en adelante estar escritas con un lenguaje claro y fácil de entender. Desde el gigante Facebook hasta cualquier empresa que utilice datos digitales de sus clientes tendrán que especificar en el documento qué uso harán de los datos personales, durante cuánto tiempo se conservarán, con quien se compartirán, si serán transferidos fuera de la UE y cómo retirar el consentimiento, que deberá ser específico, informado e inequívoco, cuando un cliente desea retirarlo. El objetivo: que las empresas no puedan escudarse en las extensas condiciones jurídicas que nunca leemos para esquivar las políticas de privacidad. El silencio no será suficiente y el consentimiento, para ser válido, tendrá que ser afirmativo.

2. Acceso a los datos personales

El reglamento garantiza el acceso de todos los usuarios a los datos personales en manos de una organización, de forma gratuita, así como a obtener una copia en un formato accesible. Aunque en ocasiones prevalece el interés público, el reglamento también consagra el derecho de los usuarios a solicitar la corrección de datos inexactos, incompletos o incorrectos sin una dilación indebida. La normativa también consagra el derecho a oponerse a la recepción de publicidad directa, la obligación de las empresas de no enviar formularios con casillas premarcadas y más protección para los menores. Por ejemplo los menores de 16 no podrán seguir utilizando aplicaciones y servicios digitales sin autorización parental.

3. Derecho al olvido y rectificación

Cualquier usuario podrá pedir en todo momento que se borren sus datos personales si ya no desea que se traten y no existe ninguna razón legítima para que una empresa los conserve. Por ejemplo, si al hacer una búsqueda en internet uno encuentra un enlace a un artículo de prensa sobre una antigua deuda que ya pagó podrá pedir al motor de búsqueda la eliminación del enlace. Este derecho está limitado por la libertad de información y de expresión y serán los tribunales o la autoridad de protección de datos la que determinará en cada caso pero, según la Comisión Europea, debe ser tan fácil dar el consentimiento como retirarlo.

4. Portabilidad de datos

Al igual que ocurre con el número de teléfono móvil, un usuario podrá pedir a una red social que le devuelvan sus datos o que los trasladen a otra empresa cuyos servicios quiera utilizar. El proveedor original, ya sea una red social, un banco o cualquier prestador de servicios, estará obligado a transmitirlos al nuevo proveedor en un formato de uso común y lectura mecánica que facilite su uso en otros sistemas.

5. Pérdida de datos

Si una empresa sufre una brecha de seguridad y le roban datos de sus clientes tendrán que notificarlo rápidamente a la autoridad de control de datos y al afectado de forma personal si la violación de la seguridad supone un riesgo. Para ello tendrán un plazo máximo de 72 horas. Si la compañía no lo hace podrá ser objeto de sanciones.

6. Multas por vulneración

Cualquier usuario podrá presentar una denuncia ante la autoridad nacional de protección de datos o los tribunales e incluso las asociaciones de defensa de los consumidores. Los usuarios podrán pedir compensaciones por daños materiales o inmateriales. Por ejemplo, si un hotel no protege adecuadamente los datos de la tarjeta de crédito y son robados. Las empresas podrán ser sancionadas con hasta 20 millones o el 4% de sus beneficiales mundiales.

7. Ámbito de aplicación de la ley

Todas las empresas, sean europeas o extranjeras, que gestionan datos digitales de clientes residentes en Europa tendrán que cumplir las nuevas normas de protección de datos. Los Estados miembros siguen trabajando para adaptar su legislación aunque no todos estarán listo desde este viernes. Pese a los dos años que han tenido los gobiernos para prepararse, hay siete todavía que no han terminado de hacer los deberes, entre ellos Bélgica, Bulgaria, Chipre, Hungría o Eslovenia.