La ingente cantidad de información que las empresas tienen sobre nosotros y la forma en que deciden utilizarla es fruto de polémica constante. El caso más reciente se ha vivido con Facebook. Según las investigaciones y la propia confesión de Mark Zuckerberg, los datos de más de 87 millones de usuariosde la red social cayeron de forma indebida en manos de la consultora electoral Cambridge Analytica, que trabajó para la campaña de 2016 del actual presidente de Estado Unidos, Donald Trump.
Mucho antes de que esto saliera a la luz, en abril de 2016, el Parlamento Europeo había aprobado el Reglamento General de Protección de Datos (el famoso GDPR, por sus siglas en inglés) con el fin de proteger la información de los usuarios en una sociedad cada vez más digitalizada. Entonces, Europa daba un plazo de dos años a los países miembros para que se adaptaran a la nueva normativa, siendo de aplicación directa para todos a partir del próximo 25 de mayo de 2018.
El tiempo ha pasado y, a la espera de nuestra nueva Ley Orgánica de Protección de Datos de Carácter Personal, que se adapte a lo demandado por Europa y que ya está en tramitación, el GDPR (o RGPD, en español) comenzará a formar parte de nuestras vidas: desde el acceso a nuestros perfiles en redes sociales, la compra por internet o un trámite online en la web del Ayuntamiento, serán muchos los aspectos cotidianos que se verán afectados.
Con la nueva norma, “se pasa a reforzar los derechos y la capacidad de otorgar el consentimiento, la transparencia en los tratamientos de datos, nuevos derechos de las personas y un cambio profundo en el sistema de cumplimiento para las empresas”, explica a Teknautas el abogado Daniel López Carballo, socio de Écija y especializado en privacidad, protección de datos y tecnologías de la información. Ahora bien, todo ello, ¿cómo va a repercutir en el día a día de los usuarios?
Tendremos nuevos derechos
Se trata de una de las principales novedades. “Junto con los derechos que ya conocíamos de acceso, rectificación, cancelación y oposición, se regula el ya conocido derecho al olvido, se amplía el derecho a la portabilidad de los datos y se reconoce el derecho a la limitación en el tratamiento”, detalla López.
El derecho al olvido nos permitirá tener un mayor control sobre nuestros datos personales. Podremos, por ejemplo, solicitar que no estén accesibles a través de buscadores de internet cuando estos atenten contra nuestro derecho al honor, a la intimidad personal y familiar y a la propia imagen.
Aunque este derecho ya se reconocía tras una sentencia del Tribunal de Justicia de la Unión Europea, con la nueva normativa queda regulado oficialmente. Sin embargo, no está exento de polémica, ya que puede entrar en conflicto con otros como el derecho a la libertad de información, por lo que también se deberán tener en cuenta las circunstancias de cada caso.
Por otra parte, el derecho a la portabilidad permitirá a los ciudadanos europeos obtener los datos que ha proporcionado “en un formato estructurado, de uso común y de lectura mecánica”, según la Agencia Española de Protección de Datos. De igual modo, el usuario puede solicitar la transmisión de sus datos de una entidad a otra. Así, se pretende “aumentar la capacidad de los usuarios de trasladar, copiar o transmitir sus datos personales fácilmente de un entorno informático a otro”, explican desde la AEPD.
Ahora bien, este derecho tiene ciertas aristas y hay casos en los que no se podrá ejercer. Un buen ejemplo de esto es el de Facebook, pues no podrás acceder si tus datos no están recogidos de manera electrónica, cuando la información no la hayas facilitado tú mismo o cuando sea producto de tu actividad.
Sobre el derecho a la limitación del tratamiento, López nos explica que nos permitirá solicitar a quien trata los datos que suspenda su uso. Esto, por ejemplo, puede ocurrir si los datos no son correctos (y se solicita su cambio en el plazo que estipule para su verificación) o cuando advirtamos que se están utilizando con un fin que no es aquel para el que los hemos cedido.
También tendremos derecho a solicitar a la entidad que conserve nuestros datos, ya que, aunque a ellos ya no les resulten de utilidad, pueden ser necesarios para nosotros, por ejemplo, para hacer reclamaciones a la propia compañía.
Además, López recuerda que se refuerzan otros derechos, como el que tenemos “a no ser objeto de decisiones automatizadas”. Esto puede ocurrir, por ejemplo, si solicitamos un préstamo a un banco a través de internet y su algoritmo nos sugiere un determinado tipo de interés. En ese caso, el GDPR obliga al banco a que comunique expresamente al usuario que puede solicitar la ayuda de un humano para que revise la decisión de la máquina.
Todos estos derechos, al igual que el resto de los que garantiza el reglamento europeo, deberán ser tenidos en cuenta por todas las empresas que operen con datos de ciudadanos de la Unión Europea, sin importar que tengan su sede en otras regiones o países.
¿Qué cambios deberemos ver en internet?
“El mero hecho de que la información esté en la red no significa que pueda ser empleada por terceros o tratada con otros fines diferentes a los que ocasionaron su recogida”, explica López. Así, el nuevo GDPR obliga a las empresas a informar sobre determinadas cuestiones:
-
La identidad y los datos de contacto del responsable que nos está pidiendo la información.
-
Quién será el delegado de protección de datos (DPO), una nueva figura dentro de la empresa o entidad que se encargará de garantizar el cumplimiento de la normativa. Será de carácter voluntario salvo para organismos públicos o compañías que, como bancos, utilizan ‘big data’ para gestionar la información.
-
La finalidad con que van a ser tratados y su fundamento jurídico. Por ejemplo, la obligación legal de facilitar los datos (en casos de ser reclamados por instituciones) y las consecuencias de que el usuario no facilite los datos.
-
A quién pueden ser comunicados. Por ejemplo, si van a ser transferidos a otro país.
-
El plazo durante el que se conservarán tus datos personales.
Además, en estas comunicaciones, deben aparecer reflejados los derechos anteriormente comentados y la posibilidad de reclamar en caso de infracción ante la Agencia Española de Protección de Datos. Esta entidad es la ‘ventanilla única’ española que, según el reglamento europeo, será el órgano que se encargará de investigar la obtención, tratamiento, uso y seguridad de los datos personales y a la que podrán acudir usuarios y entidades ante cualquier duda.
Siguiendo los consejos de la AEPD, toda la información que precisa el nuevo RGPD podrá facilitarse en dos capas, es decir, que el usuario vea en primer lugar la información básica y después, en otro archivo, pueda consultar datos adicionales y más detallados. Eso sí, ya no valdrán textos farragosos e incomprensibles para el común de los mortales; como apunta López, será necesario que se utilice “un lenguaje claro y entendible por todos”.
También quedan prohibidas las casillas premarcadas o los consentimientos por omisión. “El usuario deberá dar un consentimiento en positivo”, apunta López, así que ya no serán válidos textos como “si no dice lo contrario, trataremos sus datos para…”, ejemplifica el experto.
No obstante, habrá que actuar con cautela y revisar los términos y condiciones que aceptamos para darnos de alta, por ejemplo, en el caso de las redes sociales, donde se nos deberá informar sobre qué datos se van a utilizar y con qué finalidades.
En este sentido, Facebook ya ha empezado a adaptarse a la nueva normativa europea y ha invitado a sus usuarios a aceptar una nueva política de privacidad que, aunque cumple con lo que marca la ley, algunos expertos lo critican por su diseño pensado para que el usuario la apruebe lo antes posible. El abogado especializado en las TIC Jorge Morell lo criticaba en su cuenta de Twitter.
En conclusión, según López, todo esto permitirá a los usuarios disponer de “una mayor información sobre los tratamientos y finalidades con que serán usados sus datos, se refuerza el consentimiento como pieza clave en la legitimación del tratamiento, la capacidad de reclamar a los responsables del tratamiento y de oponerse a determinados tratamientos”.
Además, este jurista apunta que el nuevo reglamento también presta atención a los posibles ciberataques que puedan comprometer nuestros datos, como ocurrió con los millones de contraseñas robadas a Yahoo o a la web de citas, supuestamente secretas, Ashley Madison. En este sentido, el RGPD obliga a las empresas a notificar las posibles brechas de seguridad que, en casos graves, deberán ser comunicadas tan pronto como sean conocidas, en un plazo máximo de 72 horas.
“Esta obligación ya existía en determinadas normativas como la de telecomunicaciones”, pero ahora pasará a “afectar a todos los responsables de datos o prestadores de servicios de estos”, explica López.
Las irregularidades más comunes
Teniendo en cuenta los cambios que se han de hacer, López advierte sobre malas prácticas que nos pondrán sobreaviso de que la entidad que solicita los datos no se ha puesto al día. Según el experto, lo primero que nos debe hacer desconfiar es que no se facilite la definición de quién es el responsable de los datos, así como el resto de requisitos que añade el RGPD. Además, el incumplimiento de la normativa puede provocar:
-
-
Que perdamos el control de nuestra información y no sepamos donde puede ser tratada y, por tanto, qué normativa se puede aplicar o cómo reclamar nuestros derechos.
-
Que se utilicen tus datos para un fin que no ha sido aprobado. Por ejemplo, si los facilitas para un estudio de investigación de una consultora, no podrán ser utilizados para acciones comerciales de la misma.
-
<li
>Que se estén usando los datos después de que haya expirado su tiempo de uso o hayamos ejercido nuestros derechos de oposición o supresión.
-
Que se vendan los datos a otras empresas (a no ser que el interesado haya dado su consentimiento).
-
Que se utilicen datos de menores sin su consentimiento o el de sus padres o tutores (cuando sean menores de 16 años, según el RGPD; aunque esta restricción por edad está pendiente de fijarse por la legislación española y puede variar entre los 13 y los 16 años).
Así, ante la más mínima sospecha de irregularidades, López nos invita acontactar con la propia empresa o con su delegado de protección de datos, si conocemos su identidad, para intentar subsanar el error. Si no es posible, deberemos ponerlo en conocimiento de la Agencia Española de Protección de Datos.
Además, el nuevo reglamento reconoce a los usuarios la posibilidad de exigir indemnización por daños y perjuicios derivados de estos tratamientos ilícitos. “El usuario es el dueño de sus datos y, por tanto, la norma protege esta esfera de las personas”, recuerda. En este sentido, tanto el RGPD como la nueva normativa que se está debatiendo en el Parlamento español establecen una serie de multas que pueden ascender hasta 20 millones de euros para las infracciones más graves.
Aunque, para López, más allá de las adecuaciones de las empresas e instituciones, los verdaderos problemas vendrán con “la interpretación que se dé a determinados aspectos” en el día a día. Así que todo empezará a verse a partir del próximo 25 de mayo, cuando el Reglamento General de Protección de Datos comience a ser el encargado de velar por nuestros datos.