Probablemente en el último mes habrá recibido varios mensajes y correos advirtiéndole sobre la entrada en vigor de una nueva ley para proteger sus datos, pidiéndole en la mayoría de los casos que aceptara una serie de condiciones para poder mantener esa aplicación o servicio.
Todo ello se debe a la entrada en vigor del nuevo Reglamento General de Protección de Datos (GDPR por sus siglas del inglés, General Data Protection Regulation) que ha traído de cabeza a las empresas de España y de toda Europa que no estaban al día en conocimientos y aplicación de la protección de datos de sus usuarios.
Y es que, tal y como señala la abogada Karen Gallego, especialista en Protección de Datos, y que además en sus intereses engloba la Propiedad Intelectual, las Tecnologías de la Información, así como la Vigilancia de Marca y el Derecho Regulatorio, muchas empresas no estaban preparadas para un reglamento de estas características con unas multas que se han disparado para quienes lo incumplan. “Hasta hace nada les era más rentable pagar las multas”, reconocía la abogada ceutí, pero ahora las cifras son de gran consideración.
Desde su experiencia explica que, a día de hoy, en su despacho en Madrid siguen orientando a muchas empresas para adaptarse a la nueva ley, ya que a muchas les “quedaban muchos flecos” y detalles por pulir. Confiesa que a la gran mayoría, pese a ya contar con una ley en España bastante estricta, les ha pillado por sorpresa, pero admite que también ha cambiado mucho el valor que se le da ahora a los datos personales.
“Si se supiera realmente lo que pasa, no daríamos datos en tiendas por conseguir descuentos o a la hora de instalarnos una aplicación en el móvil”
“Tampoco se le ha dado mucha difusión. Hubo un salto desde que se hizo la ley de cómo ha cambiado el valor de un dato personal, ha habido un salto que no nos hemos dado cuenta y por ahí un poco nos han cogido”.
Pero las empresas no son las únicas que guardaban un amplio desconocimiento frente a la protección de datos. Gallego reconoce que la mayoría de la población no sabe qué se hace con sus datos y si puede reclamar en caso se ser vulnerados. Detalla que es habitual que los usuarios especifiquen datos personales a la hora de acceder a un descuento o de crear una cuenta en algún servicio.
“Si se supiera realmente lo que pasa, creo que no daríamos datos en tiendas por conseguir descuentos”. Celebra que desde hace un año ha percibido una mayor preocupación al respecto y ya se han dado las primeras reclamaciones por parte de usuarios, pero lamenta que aún no haya suficiente concienciación.
Algunas claves del nuevo Reglamento General de Protección de Datos
¿Qué es el GDPR?
Es el nuevo Reglamento General de Protección de Datos (‘GDPR’ por sus siglas del inglés, General Data Protection Regulation) de aplicación en todo el territorio de la UE, que supone una revolución en la concepción del tratamiento de datos personales y en el modelo de su gestión, pasando de ser reactivo a un carácter preventivo.
Ha entrado en vigor el pasado 25 de mayo de 2018, aportando varios cambios y novedades respecto a nuestra norma anterior (la Ley Orgánica de Protección de Datos, en lo sucesivo, ‘LOPD’, de 1999) y convirtiéndose en el marco regulatorio más estricto en la actualidad. Desde ahora, es esta normativa la que regirá qué se puede hacer con el nombre de usuario, número de móvil o correo electrónico con los que te registraste en un servicio o app.
¿A quiénes afecta?
A todas las empresas que traten datos de ciudadanos de la UE, estén establecidas en territorio de la UE o no. Por lo tanto, si vas a realizar una compra en una tienda digital que se encuentre en EEUU., también deberán aplicar y cumplir esta normativa aun operando desde otro territorio.
¿Cuáles son sus finalidades?
El objetivo principal de esta normativa radica en otorgar un mayor poder a los ciudadanos de la UE sobre el control y registro de sus datos personales, que se han convertido en el petróleo de nuestra era digital, gracias al cual se sostienen innumerables negocios; así como mayores garantías sobre su información personal.
Cumpliendo los nuevos requisitos exigidos en esta Ley, se obliga a las empresas a ser transparentes en la recogida de datos y en el uso que harán de ellos, igualmente para el registro de datos que están conservando.
De otro lado, se consigue una necesaria adaptación a los cambios tecnológicos y una uniformidad respecto al tratamiento de los datos personales en todo el territorio de la UE, evitando así la fragmentación entre los distintos ordenamientos nacionales.
¿Qué hay de nuestra ley nacional?
La GDPR es directamente aplicable independientemente de si hay una ley nacional o no, con todas sus consecuencias.
En España tenemos nuestra vieja LOPD de 1999 que, a pesar de haber sido de las más rígidas, ahora queda obsoleta. Siendo el reglamento europeo de aplicación directa, nuestra vieja LOPD sólo podrá ser aplicable en aquello que no se oponga a la norma europea.
Hasta la fecha, sólo Alemania y Austria cuentan con su propia LOPD, mientras que en España está siendo una tarea más ardua y generadora de intensos debates, habiéndose quedado su tramitación algo estancada.
La inclusión de un nuevo Título en esta ley, relativo a derechos digitales de los ciudadanos, es una de las enmiendas de mayor trascendencia. Sin embargo, la misma hace que la LOPD se aleje un poco de ser simplemente una adaptación de la normativa europea en nuestro país.
Esta nueva LOPD española, cuyo texto va a ser especialmente técnico, podría estar aprobada para finales de este mismo año. Mientras tanto, este retraso en la aprobación de la nueva LOPD podrá tener repercusiones negativas por el riesgo de inseguridad jurídica e incertidumbre que se va a generar en algunos ámbitos, como la indecisión de qué procedimientos o legislación aplicar, o la tipificación de los plazos de prescripción de las sanciones.
¿Qué principales novedades debería conocer?
Una de las principales novedades que aporta el GDPR y que secunda el cambio de concepción respecto al tratamiento de los datos es la consagración de algunos principios que cambian el grado de exposición de nuestros datos y su tratamiento, como el principio de transparencia, que conlleva un incremento de información y el derecho de acceso a los interesados; la privacy by design, medida proactiva (puesto que previene, no remedia) consistente en la aplicación de las garantías necesarias de protección de datos de acuerdo a este nuevo marco legal desde la fase más temprana de todo sistema de tratamiento de datos, como puede ser una app o u programa que vaya a tratar datos personales; o la privacy by default, que se resume en la configuración más restrictiva posible de dichos sistemas de manera que sea el propio usuario quien tome la decisión de hacer públicos los aspectos de su información que desee.
Ello va ligado al principio de minimización de datos, por el que se recogerán únicamente los datos imprescindibles para llevar a cabo el tratamiento y sólo para la finalidad declarada.
El punto de fricción que tiene la protección de datos con el derecho a la información (tratamientos con fines periodísticos incluidos) y con la libertad de expresión. Sobre ello, la nueva normativa europea remite a las leyes nacionales para conciliar el ejercicio de este derecho con el de la protección de datos.
¿Cómo me afecta?
Puesto que estamos conectados cada día con nuestros móviles y ordenadores a la red, haciendo crecer esta industria multimillonaria mediante los datos que enviamos yendo a comprar a un supermercado o al trabajo con la geolocalización de nuestros móviles activada, o mediante el registro de nuestros datos en una red social, es importante que tengamos claro cuáles son nuestros derechos respecto de nuestros datos personales para así evitar robos y abusos, por lo que deberemos conocer algunos de los nuevos derechos contemplados en el GDPR: derecho a la limitación de tratamiento de datos (cuando existe la imposibilidad de borrado de datos del interesado que lo solicita por motivos legales, pero se puede limitar el uso de los mismos), derecho a la portabilidad (reclamo de nuestros datos y posibilidad de depositarlos en otra compañía) o el derecho al olvido (derecho del titular a bloquear o suprimir su información aplicado a los buscadores de Internet, cuando esta ya no sirve para los fines para los que fue recabada).