Nueve cosas que debes saber sobre la nueva ley de protección de datos

El País / Bruselas / Jueves 24 de mayo del 2018

Dos años después de su aprobación, el nuevo Reglamento Europeo de Protección de Datos (RGPD) empieza a aplicarse de forma obligatoria este viernes en los Veintiocho. Las empresas se han apresurado a enviar correos electrónicos a sus clientes informando de cambios en sus condiciones de privacidad. Tras las 260 páginas y 99 artículos del mayor cambio normativo de la historia de Internet en la UE hay un nuevo marco que cambiará la forma en que las compañías y administraciones se relacionan con tu información. Estas son algunas de sus claves.

No sin tu consentimiento. Los ciudadanos deben dar su aceptación expresa para que cualquier compañía pueda procesar y almacenar su información privada. En la práctica eso se concretará con la petición de que se marque una casilla o se firme un formulario que nunca deben estar premarcadas o activadas por defecto. Terminan las autorizaciones genéricas y ambiguas, y los textos farragosos de condiciones de uso. A partir de ahora se exigirán cláusulas de privacidad claras y comprensibles. Los padres deben dar su permiso cuando los usuarios sean menores de 16 años y las empresas verificar en lo posible que no se saltan la autorización. El silencio no podrá considerarse una aceptación implícita. Quien calla no otorga. Hay excepciones: no es necesario permiso para tratar datos en casos de lucha contra el fraude, obligaciones legales o para proteger intereses vitales, como por ejemplo cuando es necesario para controlar epidemias.

Portabilidad de datos. Abre la puerta a que si quieres cambiar, por ejemplo, tus fotos y vídeos de una red social a otra, no tienes que descargarlos y volver a subirlos en la otra. La transferencia de datos debe hacerse entre ambas redes sociales si es técnicamente operativo. Es una forma de permitir al usuario abandonar una compañía que no le convence y cambiarse a otra más fácilmente.

Protección contra el hackeo. En los supuestos más graves, se marca un plazo máximo de 72 horas para informar a un cliente de que su cuenta ha sido pirateada. Se pretende así evitar casos como el de Uber. La start-up escondió durante un año el robo en EE UU de los datos de 50 millones de clientes y siete millones de sus conductores.

Derecho al olvido. Los buscadores de Internet como Google ya debían corregir o eliminar resultados sobre un usuario cuando este lo pidiera. Ahora ese derecho a suprimir información privada se extiende a otros servicios de Internet y empresas.

Dame mi información. El abanico de medidas incluye el derecho de los usuarios a tener acceso a un fichero en formato electrónico con todos los datos privados sobre ti de los que disponga una compañía.

No solo redes sociales. Cuando se habla de datos, la imagen más habitual que viene a la mente es la de millones de usuarios compartiendo preferencias en Facebook, Instagram o Twitter. Pero se trata de un universo mucho más amplio. Entidades bancarias, aseguradoras, educativas, sanitarias, publicitarias y en general, todas las que ofrezcan servicios en Internet, deben adaptarse a la ley a la hora de tratar los nombres, direcciones, correos electrónicos o números de identificación que almacenan.

Sanciones multimillonarias. La negligencia de las compañías a la hora de tratar tus datos les saldrá más cara. El reglamento comunitario contempla multas de hasta el 4% de la facturación anual de una compañía para los casos de infracción de la ley más graves. En el caso de que, por ejemplo, Facebook fuera condenada en un supuesto de este tipo, ello se traduciría en hasta 1.310 millones de euros teniendo en cuenta sus ingresos de 2017.

El delegado de protección de datos. Cuando el volumen de datos recopilados sea a gran escala o implique información sensible, las empresas y administraciones deberán crear la figura del delegado de protección de datos. Su función será actuar como el enlace con las agencias de protección de datos, y los usuarios podrán dirigirse a ellos para conocer el tratamiento que se hace de sus datos o presentar reclamaciones.

Un modelo a imitar. La ley europea está sirviendo de inspiración para otras normativas de datos en marcha. Países como Chile, Tailandia, Corea del Sur o Japón están en pleno proceso de implantar reglas más duras para el uso de datos, y han utilizado el texto europeo como modelo. Gigantes de Internet como Facebook, Google y Amazon tienen que adaptarse al RGPD, por lo que en la práctica, aprovecharán el cambio para dar a sus usuarios en todo el mundo los mismos derechos que a los europeos. "Es razonable que sirva de modelo para un estándar de protección en Internet", afirma Borja Adsuara, experto en experto en derecho y estrategia digital.