A partir del 25 de mayo, tendrs que dar tu consentimiento inequvoco para que las empresas puedan usar tus datos si eres ciudadano europeo. Es ms, te tendrn que decir qu datos estn utilizando, cmo los estn tratando, para qu y quin es la persona responsable de los mismos.

Ese da entra en vigor en toda Europa una nueva ley de proteccin de datos: GDPR (General Data Protection Regulation). Una normativa que afecta a todas aquellas empresas que traten datos de los ciudadanos europeos aunque sean de Estados Unidos, como Google o Facebook.
Las grandes multas a las que se enfrentan quienes no cumplan con ella son uno de los puntos ms controvertidos y mediticos. Pero detrs de estas siglas tambin se esconde una nueva manera de informar a los usuarios sobre qu informacin cedemos y para qu se usa.

Qu es GDPR (o RGPD)


GDPR, por sus siglas en ingls (General Data Protection Regulation), o RGPD por sus siglas en espaol (Reglamento General de Proteccin de Datos) es la nueva normativa que regula la proteccin de los datos de los ciudadanos que vivan en la Unin Europea.

El reglamento entr en vigor el 24 de mayo de 2016, pero ser de obligado cumplimiento a partir del 25 de mayo de 2018.
Durante estos dos aos, la Ley Orgnica de Proteccin de Datos (LOPD) ha seguido vigente, pero tiene fecha de caducidad. De hecho, se espera que en unos meses se apruebe una nueva ley (est ahora mismo en proceso de tramitacin parlamentaria) que permita o facilite la aplicacin del Reglamento. Esta nueva ley no puede contradecir a GDPR, pero s que definir mejor algunos de sus aspectos (cuando un usuario es considerado menor, por ejemplo)

Se trata de la primera norma sobre esta materia que afecta a todos los pases de la Unin Europea y unifica, por tanto, tanto los derechos como las obligaciones.
De hecho, durante aos fue una reivindicacin de muchas empresas y sectores, como el tecnolgico, quienes tenan que hacer frente a 28 legislaciones diferentes sobre el uso y tratamiento de datos personales para poder ofrecer sus servicios en Europa.


A quin afecta GDPR

Esta nueva normativa determina que todas las empresas, independientemente de su pas de origen o de actividad, debern cumplirla si recogen, guardan, tratan, usan o gestionan algn tipo de dato de los ciudadanos de la Unin Europea. Es decir, que Apple o Amazon (por poner algunos ejemplos) tambin estn sujetas a ella.

Y, por supuesto, nos afecta a todas las personas que vivimos en la Unin Europea.
GDPR va a ofrecer nuevas herramientas para que los usuarios sepamos qu datos cedemos y para qu

El responsable del rea internacional de la Agencia Espaola de Proteccin de Datos (AGPD), Rafael Garca, asegura que GPDR da ms derechos y mecanismos a los usuarios sobre sus datos. Segn su valoracin, hay tres ideas generales: habr nuevas herramientas para controlar los datos (ya que la informacin tiene que ser ms amplia, accesible, directa, comprensible y clara que lo que se hace ahora); hay nuevos derechos; y se da ms poder a las agencias de proteccin de datos de cada pas.
“Los usuarios deben ser conscientes de que las empresas que gestionan datos tienen nuevas obligaciones", aade.


Cules son tus derechos


Este reglamento recoge y reconoce, por tanto, derechos, como al olvido y el derecho a la portabilidad.
El primero establece que los ciudadanos podemos solicitar y lograr que nuestros datos personales sean eliminados cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilcita.
Es cierto que el derecho al olvido existe desde la sentencia del Tribunal de Justicia de la Unin Europea, pero ahora se recoge en este Reglamento. "El problema es que no es un derecho absoluto, existe confrontacin con otros derechos (libertad de informacin por ejemplo), por lo que hay que ponderar cada caso concreto segn unos criterios", explica el abogado experto en proteccin de datos.

Mientras, el derecho a la portabilidad te permite que, si tus datos se estn tratando de modo automatizado, puedas recuperarlos en un formato para cederlos a otro responsable. Estos datos deben estar "en un formato estructurado, de uso común y lectura mecánica (por ejemplo un excel) para que pueda transmitirlos fcilmente a otro responsable y facilitar as un cambio de proveedor, por ejemplo", explica Marcos Judel.

En principio, y segn nos explica este abogado, este derecho slo se aplicara a los que has aportado en cada web, "no las segmentaciones que realizan o los tratamientos inferidos posteriores". Es decir, Facebook solo estara obligado a darte los datos que t has facilitado, no la informacin que hayas ido dejando con tus acciones en la red social. Sin embargo, "en el futuro seguramente veamos muchas resoluciones de las autoridades de control perfilando este tema".
Sobre todo porque hay algunos aspectos de la normativa, como ste, que permite varias interpretaciones segn el experto al que se consulte.

En qu casos puedes pedir que cancelen tus datos? Este abogado explica que los derechos siempre se pueden ejercitar, pero que hay casos en los que la prctica es tan fcil. Por ejemplo, si est en vigor una relacin contractual o existe un plazo legal de conservacin (como puede ser mantener los datos fiscales a disposicin de la Agencia Tributaria).

Otro de los nuevos derechos que contempla GDPR es el de acceso. As, podrs pedir a las empresas que te confirmen si tus datos se estn procesando, dnde y con qu propsito. Si lo haces, puedes pedir tambin una copia de tus datos personales sin que se te cobre por ello.

Dato eres t

Pero, qu es un dato personal? Cualquier informacin relacionada con una persona fsica que se puede utilizar para identificarla directa o indirectamente.
Puede ser cualquier cosa: desde un nombre, una foto, una direccin de correo electrnico, datos bancarios, publicaciones en sitios web de redes sociales, informacin mdica o una direccin IP de un ordenador.

Adis a las casillas premarcadas

Para que una empresa pueda utilizar estos datos, tendrs que dar tu consentimiento. Pero ya no se har como hasta ahora, cuando las empresas suelen utilizar largos trminos ilegibles y condiciones plenas de jerga legal.
Condiciones de uso de Facebook


Con la entrada en vigor de GDPR, la solicitud de consentimiento debe darse en una forma inteligible y de fcil acceso, con el propsito del procesamiento de datos adjunto a ese consentimiento. Es decir, que el consentimiento debe ser inequvoco, claro y distinguible de otros asuntos. Las empresas tendrn que mostrar sus condiciones de forma inteligible y de fcil acceso, usando un lenguaje claro y sencillo.
Esto implica dos cosas. Por un lado, que cuando te des de alta en un servicio, web, aplicacin o producto, el aceptar los trminos de uso ir por un lado y, por otro, todo lo relativo al tratamiento de tus datos.
GDPR prev multas de hasta el 4% de la facturacin global anual o 20 millones de euros para quienes lo incumplan


Por otro lado, dejaremos de ver casillas premarcadas para el envo de publicidad, consentimientos tcitos para comunicaciones comerciales o cesiones de datos. A partir del 25 de mayo, las empresas estn obligadas a informarte sobre cada finalidad del tratamiento de los datos, "la legitimacin para su recogida y uso, y en su caso, la obtencin del consentimiento por separado para cada finalidad", por lo que empezaremos a ver ms casillas para que aceptes cada uno de estos aspectos, segn nos avanza Marcos Judel, abogado experto en proteccin de datos del despacho Audens.
Incluso se est estudiando la posibilidad de crear unos iconos estandarizados para facilitar la transmisin y comprensin de estas condiciones. Algo que depende, segn nos explica Rafael Garca, de que la Comisin Europea desarrolle esta posibilidad.
En cualquier caso, y como sentencia Judel, "con lo que pretende acabar el GRPD es con clusulas oscuras, ilegibles e incomprensibles y que el usuario pueda conocer a qu se enfrenta y hacer valer sus derechos ms fcilmente".
Cmo se determinar si algo es entendible o no? Este abogado tira de humor y sentencia que algo ser legible "cuando una persona media lo puede entender todo, sin tener que leerlo cinco veces o preguntarle a un abogado". Eso s, "si el tratamiento afecta a menores de edad, el lenguaje debe ser entendible por los nios".
Aunque, eso s, adivierte que, al final, en sus manos est el leer y aceptar las polticas de privacidad, por muy fciles y sencillas que sean".

Eso s, parece que textos en los que se pueda leer frases tpicas como “En cumplimiento de la Ley Orgnica 15/1999 de Proteccin de Datos y su normativa de desarrollo el Real Decreto 1720/2007 de desarrollo de la LOPD le informamos que…” pueden pasar a la historia. "Basta con que las cosas queden claras. Cuanto ms sencillo y fcil, mejor", incide Marcos Judel.

Van a pedirte que renueves tus votos


Quiere esto decir que recibiremos una avalancha de peticiones para que demos nuestro consentimiento en todos los servicios, aplicaciones y web en los que estemos dados de alta?
“El reglamento lo que dice es que los tratamientos que estn basados en un consentimiento de los interesados y que se haya obtenido antes de que el GDPR sea aplicable (es decir, del 25 de mayo), si ese consentimiento no se obtuvo de forma conforme al reglamento, ese consentimiento ya no es vlido”, explica Rafael Garca, responsable del rea internacional de la Agencia Espaola de Proteccin de Datos. “Lo ms normal es que las empresas adviertan a los usuarios de que estn tratando sus datos con un consentimiento que ya no es vlido y hay que volver a darlo de forma correcta”.
En este sentido, el director general de Adigital, Jos Luis Zimmermann, considera que es el tema del consentimiento uno de los que ms quebraderos de cabeza puede dar, porque "este cambio obliga a cambiar los procesos establecidos para obtener el consentimiento o a valorar de forma documentada si pueden existir otras causas legales que permitan tratar datos sin necesidad de obtenerlo”.

Adems, y en caso de que un usuario denuncie que los datos se han cogido de forma ilcita. "es el denunciado quien debe probar que tena los datos de forma lcita y conforme a los principios del RGPD", explica Judel.
Te dirn si te han hackeado

Otro de los cambios importantes tiene que ver con las brechas de seguridad y violaciones de datos. Cuntas veces nos hemos enterado, incluso aos despus de que sucedieran, de incidentes de seguridad en diversas empresas?
Con la entrada en vigor de GDPR las empresas debern informar en un plazo de 72 horas de que han sufrido un incidente de seguridad. Y no slo debern dar parte a las autoridades competentes (en el caso de Espaa, la Agencia de Proteccin de Datos), sino tambin a todos aquellos usuarios cuyos datos se hayan podido ver comprometidos.
Esta normativa afecta a todas las empresas que traten datos de ciudadanos europeos, independientemente de su lugar de origen

Las empresas, adems, debern tener un responsable de los datos si procesan datos personales para dirigir publicidad a travs de motores de bsqueda basados en el comportamiento en Internet de las personas o si tratan datos especialmente sensibles, como de salud.

El lmite de 72 horas puede suponer un verdadero desafo para las empresas. As al menos lo considera Lorenzo Martnez, experto en seguridad, quien asegura que "quienes nos dedicamos a la respuesta ante incidentes, sabemos que si ste ha tenido la suficiente envergadura, y ha conllevado un ataque a diferentes sistemas dentro de una red, puede llegar a ser sumamente difcil dar una respuesta en menos de 72 horas".

Aqu entra en juego el responsable de los datos (Chien Data Officer, CDO en ingls). Ya hemos visto que no todas las empresas deben tener uno, pero de haberlo se encargar de informar y asesorar a los empleados sobre sus obligaciones bajo la ley de proteccin de datos; supervisar el cumplimiento de la legislacin (incluidas las auditoras, actividades de sensibilizacin y la capacitacin del personal) y actuar como un punto de contacto para las solicitudes de las personas con respecto al procesamiento de sus datos personales y el ejercicio de sus derechos, entre otras.

La privacidad ser por defecto y diseo


Por ltimo, Jos Luis Zimmermann, director general de Adigital, considera que, aunque gran parte del GDPR es muy similar a la normativa anterior, el problema estriba en las novedades que incorpora. “Suponen la necesidad de hacer cambios sustanciales en la gestin de los datos por parte de las empresas. Exige, como punto de partida, una proactividad en medidas tcnicas y organizativas que en nuestra opinin va a suponer muchos problemas, especialmente en pymes”.
Adems, Zimmermann alude a dos nuevos conceptos que aparecen en GDPR: privacy by design y privacy by default. “Estos conceptos suponen que una empresa debe tener en cuenta todos los requisitos de privacidad desde el momento de la creacin de una nueva solucin o herramienta tecnolgica. Todo ello, obviamente, bajo el yugo de un rgimen sancionador muy duro”.

Qu hacer si compruebas que no cumplen la ley


Como decamos al principio, las sanciones previstas por GDPR han sido uno de los temas ms polmicos y controvertidos.

Las organizaciones pueden ser multadas con hasta el 4% de la facturacin global anual por infringir GDPR o € 20 millones. sta es la multa mxima que se puede imponer por las infracciones ms graves. Por ejemplo, no tener suficiente consentimiento del cliente para procesar datos o violar el ncleo de los conceptos de Privacidad por Diseo.
Existe un enfoque escalonado para multas. As, una empresa puede recibir una multa del 2% de su facturacin por no tener sus registros en orden, sin notificar a la autoridad supervisora y al sujeto de los datos sobre una infraccin o la no realizacin de la evaluacin de impacto.
Qu debemos hacer si vemos, como usuario, que una empresa no est cumpliendo con esta ley? "Lo primero que aconsejamos es intentar arreglar el tema con el responsable del tratamiento de los datos. Puede ser un simple error o fallos que pueden arreglarse sin necesidad de pasar a otras actuacaiones. Pero, si no funciona, estamos ah para proteger los derecos de los ciudadanos”, seala Rafael Garca.
Adems, GDPR introduce el concepto de ventanilla nica, lo que segn el abogado de Ausens facilitar la presentacin de denuncias en toda Europa, "lo que da al usuario un mayor poder".

Una ley muy demandada pero caduca?

Esta unificacin de todas las leyes de proteccin de datos se demandaba desde haca tiempo. “Era necesario que en algo tan esencial para el desarrollo de la economa digital en Europa no hubiese diferencias regulatorias entre los pases que puedan generar desventajas competitivas entre ellos”, nos asegura el director general de la Asociacin Espaola de Economa Digital (Adigital), Jos Luis Zimmermann.
Si el tratamiento y uso que dan a tus datos no se ajusta al nuevo reglamento, debern pedirte de nuevo tu aceptacin

En este sentido, la Unin Europea defiende que GDPR es un paso “esencial para fortalecer los derechos fundamentales de los ciudadanos en la era digital y facilitar los negocios mediante la simplificacin de las normas para las empresas en el mercado nico digital”.
Sin embargo, Adigital cree que nace caduca. El problema reside en que, desde el momento en que inician las conversaciones se iniciaron hace ms de 9 aos. “En todo este tiempo han pasado muchas cosas. Han aparecido nuevos modelos de negocio, nuevos usos de los datos, mltiples innovaciones alrededor de los datos, ha variado la percepcin del ciudadano y de los riesgos. Es, por tanto, una norma que nace ya, en su aplicacin, con cierta obsolescencia”, asegura Zimmermann.

Fuente: https://www.xataka.com/legislacion-y...ccion-de-datos