Seguramente tenga en su bandeja de entrada algunos mails anunciando cambios en las condiciones de privacidad de algunos servicios y la necesidad de revisar su configuración de privacidad. Y es que la semana que viene acaba el plazo para la implantación obligatoria del nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR de sus siglas en inglés). Este reglamento, que entró en vigor el 24 de mayo de 2016, se vuelve ahora de obligado cumplimento para empresas y entidades.

Qué es GDPR

Reglamento General de Protección de Datos es el nuevo marco legal que regula la protección de los datos de los ciudadanos residentes en la Unión Europea y que remplazará a la actual Directiva de Protección de Datos, con todo lo que el paso de una directiva a un reglamento supone, incluyendo sanciones importantes por su infracción. El objetivo es proteger los datos personales y la forma en la que las entidades los procesan, almacenan y, finalmente, destruyen. Hasta ahora en España sigue en vigor la LOPD (Ley Orgánica de Protección de Datos), pero en los próximos meses se aprobará –en trámite parlamentario actualmente– una nueva Ley que permita o articule la aplicación del reglamento. 

Esto supone, además de recibir numerosas notificaciones y avisos de todos sus servicios online explicándole cambios en sus condiciones y solicitando autorización, varios cambios, derechos y garantías para los usuarios que ceden sus datos personales. El nuevo reglamento determina que todas las empresas, independientemente del país de origen o actividad –lo que incluye a empresas como Google, Amazon, Apple, Netflix...– deben cumplirlo si recogen, almacenan, tratan, usan o gestionan algún tipo de dato personal de los ciudadanos de la Unión Europea. Nos otorga como ciudadanos y usuarios más derechos y mecanismos sobre el control de nuestros datos, así como herramientas para que los usuarios sepamos qué datos cedemos y para qué, y podamos controlar y restringir su uso.

El GDPR será de obligado cumplimento para todas las empresas, sea cual sea su país de origen, que traten datos de usuarios europeos

Para las entidades y empresas implica importantes cambios, como el aumento de las multas impuestas –pueden alcanzar el 4% de la facturación anual o 20 millones de euros–; un mayor control sobre las empresas que operan fuera de la UE, ya que también tendrán que cumplir con el GDPR siempre que estén recopilando datos de ciudadanos europeos; la obligatoriedad de informar de fallos, uso indebido o filtraciones de datos; o la del uso de solicitudes de consentimiento para obtener los datos personales y tratarlos claras y fácilmente entendibles, distinguible de otros asuntos, e incluir el propósito para el que se solicita. Para que una empresa pueda utilizar estos datos, el consentimiento expreso e inequívoco del usuario es obligatorio. Se acabaron las casillas premarcadas para el envío de publicidad o los consentimientos tácitos para cesión de datos o propósitos comerciales.

Derechos del usuario

Algunos derechos del propietario de los datos eran hasta ahora opcionales dependiendo de la legislación a la que estuviera sujeto, pero con el nuevo GDPR pasan a ser de obligado cumplimento y las empresas tienen la obligatoriedad de garantizarlos. El derecho a estar informado proporciona transparencia sobre cómo son utilizados sus datos personales, para qué propósito y hasta cuándo, así como de la posibilidad de que se haya producido una filtración o sustracción de sus datos. Se garantiza también el derecho al acceso a sus datos, a cómo son utilizados, y a cualquier información anexa a sus datos. El derecho a la rectificación y el derecho al olvido otorgan posibilidad de que sus datos personales sean rectificados en caso de estar incompletos o ser ser erróneos, o que su información sea eliminada y destruida de cualquier sistema, base de datos o soporte si no existe una razón de peso para que permanezcan almacenados.

Otro de los derechos que puede ejercer es el de restringir el procesamiento para que sus datos no sean utilizados si, por ejemplo, están almacenados a la espera de rectificación o eliminación. También está el derecho a la portabilidad de datos, como solicitar copias de su información almacenada para utilizarla en otro lugar, es el caso de si aplicara para productos financieros entre distintas entidades; o el derecho a objetar, para solicitar, por ejemplo, que sus datos sean procesados para actividades como marketing directo; derecho sobre la toma de decisiones y creación de perfiles automáticos, que se refiere a la toma de decisiones sin intervención humana, como la definición de determinados hábitos de compra online en función a historiales, visitas y comportamientos previos, por ejemplo.

Privacidad por diseño, y por defecto

El nuevo reglamento obligará a los desarrolladores de soluciones informáticas, apps móviles y webs, a incorporar las medidas necesarias para garantizar la protección de datos personales directamente en el diseño del software. Todo esto esto supone que la empresa o entidad debe tener presente y respetar todos los requisitos de privacidad desde el mismo proceso de creación y desarrollo de una nueva herramienta informática. Puede que ello suponga más clicks y más verificaciones de consentimiento para el usuario, pero también más control, más garantías y más seguridad. Para empezar, y como ejemplo, la IP del usuario pasará a ser considerada un dato personal más del usuario. Y todo ello, bajo la amenaza de sanciones importantes. 

Lo que no controlará el nuevo GDPR es si seguimos con aquello de aceptar automática y compulsivamente las condiciones de uso y privacidad de un servicio sin haberlas leído.