Aspectos esenciales del nuevo reglamento de protección de datos

En palabras de las instituciones europeas, que también dicen que estamos ante el cambio más importante en regulación de privacidad de datos en 20 años, «la nueva ley pretende devolver a los ciudadanos el control de sus datos personales y garantizar en toda la UE unos estándares de protección elevados y adaptados al entorno digital”.

Si ya entró en vigor hace dos años, ¿por qué empieza a ser ahora efectiva esta normativa? Por el caso de Facebook y Cambridge Analytica, en el que esta última empresa cogió, sin permiso, los datos de millones de usuarios de Facebook y los utilizó en campañas propagandísticas.

Para todas las empresas

La aplicación del nuevo reglamento de protección de datos va a ser para todas las empresas que ofrecen bienes o servicios y, por tanto, que manejen informaciones personales de ciudadanos europeos, aunque dichas empresas no tengan sede en el continente (como pasa con Google y Facebook). Los servicios en la nube también deberán acatar el reglamento.

Consentimiento inequívoco

No podrá ser por omisión o inacción, a partir de ahora, los ciudadanos deberán dar su consentimiento explícito para que las empresas puedan utilizar sus datos. Y, si la persona tiene menos de 16 años, deberán dar el consentimiento sus padres o tutores. Este consentimiento deberá ser claro y tendrá que estar distinguido de otros aspectos, así como redactado de una forma clara y comprensible.

De esta forma, las compañías que ya obtuvieron el permiso antes del nuevo reglamento, deberán volver a solicitarlo a sus usuarios en caso de que no se llevara a cabo como dicta la norma actual.

Nuevos derechos

Derecho al olvido: los ciudadanos de la UE podrán exigir el cambio, rectificación o el borrado de sus datos personales. La supresión de los datos podrá pedirse si estos ya no son necesarios para el fin con el que se dieron, si se obtuvieron de manera ilícita y si se desea retirar el consentimiento sobre su uso.

Derecho a la portabilidad de los datos: el usuario podrá solicitar una copia de los datos que haya cedido a una empresa si desea cederlos a otra. Y esta deberá dárselos sin ningún coste. De hecho, y si es posible, una empresa podrá pasarlos a otra si así lo ha pedido el usuario.

Derecho de acceso: el ciudadano podrá preguntar a las compañías si sus datos se están utilizando, dónde y para qué. Y las compañías deberán decírselo. Con esto se quiere conseguir una mayor transparencia en el uso de datos.

Comunicar cualquier incidente

Si las bases de datos con la información de los usuarios se ven «hackeadas», las compañías están obligadas a avisar a los usuarios y a las autoridades pertinentes. En España, si se sufre una brecha de seguridad, la empresa tendrá que dar parte a la Agencia Española de Protección de Datos en un plazo de 72 horas, así como a los afectados.

Sanciones

Las empresas que infrinjan alguno de los puntos del nuevo reglamento de protección de datos podrían ser sancionadas con multas de hasta 20 millones de euros o con el 4% de su facturación mundial anual, en los casos más graves. Sin embargo, pueden emitirse multas más leves, según la naturaleza de la infracción.