n el pasado empresas como Facebook y otras tecnológicas se enfrentaban a pocas limitaciones en el uso de datos personales de sus usuarios, pero eso cambiará este viernes tras casi diez años de batalla de lobbies en los 28 países de la Unión Europea (UE).
¿Por qué llegan ahora las nuevas regulaciones?
La protección de datos es un derecho fundamental en la UE. “Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan”, señala la Carta de Derechos Fundamentales del año 2000. Sin embargo, a partir de 1995 la Carta se vio bastante superada por las transformaciones que provocaron Google, Facebook y otros, que no eran previsibles. A ello se suma que hasta ahora la aplicación de las leyes se dejaba en manos de cada país. Hace dos años los miembros de la UE y la Eurocámara acordaron la nueva normativa de protección de datos y a partir del 25 de mayo todos los países deberán cumplirla.
Facebook aportó recientemente un fuerte argumento para estos cambios: hasta 87 millones de usuarios se vieron afectados por un nuevo uso ilegal de sus datos. Su máximo responsable, Mark Zuckerberg, se mostró arrepentido y se convirtió casi en un embajador de las nuevas normas europeas. Anunció que se usarán en el futuro en todo el mundo Otras compañías como Microsoft, han confirmado que usarán los principios básicos del GDPR para todos sus usuarios, sin importar dónde residan.
¿Qué regulan las nuevas normas?
Sobre todo la utilización de los datos personales por parte de empresas, asociaciones o autoridades. Es decir, por ejemplo, el nombre, dirección, email, número de documento de identidad o dirección IP. Da igual cómo se guarden los datos, si de forma digital, en papel o video. Las informaciones especialmente sensibles como creencias religiosas, salud o vida sexual únicamente se pueden utilizar en casos excepcionales.
Las nuevas regulaciones también rigen para empresas de fuera de la UE que ofrecen sus servicios en su territorio. Por eso se ven afectados gigantes de Internet como Facebook y Google.
El GDPR incorpora lo que se llama privacidad por diseño (privacy by design, en inglés), que obliga a las compañías e instituciones a obtener un permiso explícito para recabar datos personales (razón por la que están apareciendo, en servicios web basados en Europa, carteles pidiendo el consentimiento del usuario para almacenar sus datos).
¿Qué cambia para los consumidores?
La promesa de la Comisión es que los ciudadanos puedan recuperar el control sobre sus datos. Por ejemplo, se les garantiza un ” derecho al olvido“. Los datos que ya no se necesiten para el objetivo inicial por el que se guardaron deben ser borrados. Los usuarios también tienen derecho a saber cuáles son las informaciones que tienen de ellos las empresas y organizaciones.
Asimismo, reciben un derecho a la portabilidad de datos, que les permite llevarse fotos, contactos o emails consigo si cambian de compañía. También tienen que ser informados si sus datos se han visto vulnerados por agujeros de seguridad o ataques de hackers. Si esto representa además un riesgo para ellos, las empresas deben informar a las autoridades del país.
¿Cómo se pondrá en práctica todo esto?
Hasta el momento la protección de datos en la UE era bastante poco efectiva, entre otros por la falta de sanciones. En cambio, a partir de ahora se podrán aplicar multas de hasta 20 millones de euros o un cuatro por ciento de la facturación anual mundial de la firma, según cuál sea la cifra más alta. En el caso de Facebook se supera fácilmente la marca de los 1000 millones. Para aplicar la sanción se tendrán en cuenta factores como la gravedad y duración de la infracción, el número de afectados y la premeditación.
¿Qué tienen que tener en cuenta las empresas y otras organizaciones?
Básicamente recopilar la menor cantidad posible de información: solo deben reunirse los datos que sean realmente necesarios. Y estos datos tienen que guardarse con un nivel de seguridad que impida un acceso no autorizado o ilegal, pero también que haga imposible que se pierdan por error.
Además, la información no puede ser guardada durante más tiempo del necesario ni utilizada para otro fin que el original. Las empresas deben explicar a sus clientes en un lenguaje sencillo por qué requieren esos datos y durante cuánto tiempo se guardarán. Las firmas y organizaciones que trabajen con muchos datos personales tendrán que nombrar a una persona encargada de este tema.
La nueva regulación aplica a cualquier compañía, sin importar el país en el que esté basada, ya que debe respetar el reglamento para poder operar en el mercado europeo.