A partir del 25 de mayo, tendrás que dar tu consentimiento inequívoco para que las empresas puedan usar tus datos si eres ciudadano europeo. Es más, te tendrán que decir qué datos están utilizando, cómo los están tratando, para qué y quién es la persona responsable de los mismos.
Ese día entra en vigor en toda Europa una nueva ley de protección de datos: GDPR (General Data Protection Regulation). Una normativa que afecta a todas aquellas empresas que traten datos de los ciudadanos europeos aunque sean de Estados Unidos, como Google o Facebook.
Las grandes multas a las que se enfrentan quienes no cumplan con ella son uno de los puntos más controvertidos y mediáticos. Pero detrás de estas siglas también se esconde una nueva manera de informar a los usuarios sobre qué información cedemos y para qué se usa.
GDPR, por sus siglas en inglés (General Data Protection Regulation), o RGPD por sus siglas en español (Reglamento General de Protección de Datos) es la nueva normativa que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea.
El reglamento entró en vigor el 24 de mayo de 2016, pero será de obligado cumplimiento a partir del 25 de mayo de 2018.
Durante estos dos años, la Ley Orgánica de Protección de Datos (LOPD) ha seguido vigente, pero tiene fecha de caducidad. De hecho, se espera que en unos meses se apruebe una nueva ley (está ahora mismo en proceso de tramitación parlamentaria) que permita o facilite la aplicación del Reglamento. Esta nueva ley no puede contradecir a GDPR, pero sí que definirá mejor algunos de sus aspectos (cuando un usuario es considerado menor, por ejemplo)
Se trata de la primera norma sobre esta materia que afecta a todos los países de la Unión Europea y unifica, por tanto, tanto los derechos como las obligaciones.
De hecho, durante años fue una reivindicación de muchas empresas y sectores, como el tecnológico, quienes tenían que hacer frente a 28 legislaciones diferentes sobre el uso y tratamiento de datos personales para poder ofrecer sus servicios en Europa.
Esta nueva normativa determina que todas las empresas, independientemente de su país de origen o de actividad, deberán cumplirla si recogen, guardan, tratan, usan o gestionan algún tipo de dato de los ciudadanos de la Unión Europea. Es decir, que Apple o Amazon (por poner algunos ejemplos) también están sujetas a ella.
Y, por supuesto, nos afecta a todas las personas que vivimos en la Unión Europea.
El responsable del área internacional de la Agencia Española de Protección de Datos (AGPD), Rafael García, asegura que GPDR da más derechos y mecanismos a los usuarios sobre sus datos. Según su valoración, hay tres ideas generales: habrá nuevas herramientas para controlar los datos (ya que la información tiene que ser más amplia, accesible, directa, comprensible y clara que lo que se hace ahora); hay nuevos derechos; y se da más poder a las agencias de protección de datos de cada país.
“Los usuarios deben ser conscientes de que las empresas que gestionan datos tienen nuevas obligaciones", añade.
Este reglamento recoge y reconoce, por tanto, derechos, como al olvido y el derecho a la portabilidad.
El primero establece que los ciudadanos podemos solicitar y lograr que nuestros datos personales sean eliminados cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
Es cierto que el derecho al olvido existe desde la sentencia del Tribunal de Justicia de la Unión Europea, pero ahora se recoge en este Reglamento. "El problema es que no es un derecho absoluto, existe confrontación con otros derechos (libertad de información por ejemplo), por lo que hay que ponderar cada caso concreto según unos criterios", explica el abogado experto en protección de datos.
Mientras, el derecho a la portabilidad te permite que, si tus datos se están tratando de modo automatizado, puedas recuperarlos en un formato para cederlos a otro responsable. Estos datos deben estar "en un formato estructurado, de uso común y lectura mecánica (por ejemplo un excel) para que pueda transmitirlos fácilmente a otro responsable y facilitar así un cambio de proveedor, por ejemplo", explica Marcos Judel.
En principio, y según nos explica este abogado, este derecho sólo se aplicaría a los que has aportado en cada web, "no las segmentaciones que realizan o los tratamientos inferidos posteriores". Es decir, Facebook solo estaría obligado a darte los datos que tú has facilitado, no la información que hayas ido dejando con tus acciones en la red social. Sin embargo, "en el futuro seguramente veamos muchas resoluciones de las autoridades de control perfilando este tema".
Sobre todo porque hay algunos aspectos de la normativa, como éste, que permite varias interpretaciones según el experto al que se consulte.
¿En qué casos puedes pedir que cancelen tus datos? Este abogado explica que los derechos siempre se pueden ejercitar, pero que hay casos en los que la práctica es tan fácil. Por ejemplo, si está en vigor una relación contractual o existe un plazo legal de conservación (como puede ser mantener los datos fiscales a disposición de la Agencia Tributaria).
Otro de los nuevos derechos que contempla GDPR es el de acceso. Así, podrás pedir a las empresas que te confirmen si tus datos se están procesando, dónde y con qué propósito. Si lo haces, puedes pedir también una copia de tus datos personales sin que se te cobre por ello.