Noticias

El 'Día D' ha llegado: qué pasa a partir de hoy con nuestros datos personales en manos de las empresas

  • El Reglamento General de Protección de Datos entra hoy en vigor en toda la UE

  • Garantiza el derecho al olvido, así como los de acceso y oposición al uso de datos

  • Afecta a entidades que traten datos de empleados, clientes o proveedores

  • Su incumplimiento puede acarrear multas millonarias para infracciones graves

LOURDES FRANCIA
11 min.

¿Qué se consideran datos personales?

Toda la información relativa a una persona física viva identificada. Pueden incluir nombre, dirección y número de teléfono, ubicación, registros sanitarios, ingresos e información bancaria, preferencias culturales, etc.

Si los datos son sobre salud, raza, orientación sexual, creencias religiosas o políticas o afiliación sindical, se consideran datos sensibles.

Bancos, compañías telefónicas y energéticas, comercios de ropa o revistas a las que estamos suscritos: todos los servicios con los que mantenemos o hemos mantenido contacto en alguna ocasión nos bombardean en los últimos días con correos electrónicos para informarnos de que han actualizado su política de privacidad y gestión de datos. También el médico, el colegio de los niños o la carnicería de la esquina que tiene nuestra dirección para enviarnos ofertas nos pedirán que rellenemos formularios para actualizar nuestro consentimiento para almacenar y utilizar nuestros datos personales.

Todo este enorme movimiento se debe a que hoy entra en vigor la mayor regulación de protección de datos de los últimos 20 años en la UE, y ese cambio afecta a prácticamente todas las empresas e instituciones de los 28 países europeos.

Se ha bautizado como Reglamento General de Protección de Datos (RGPD) y contiene nuevas obligaciones para todas las empresas y organizaciones que usen datos de empleados, clientes o proveedores, con independencia de su tamaño y del volumen de datos que maneje. Si las entidades no lo cumplen, se pueden enfrentar a un proceso sancionador que puede incluir multas de hasta 20 millones de euros para las infracciones más graves.

En un momento clave del desarrollo de nuevas tecnologías basadas en el tratamiento y el aprovechamiento de datos personales de los ciudadanos, la Unión Europea ha elaborado una normativa única para sus 28 miembros que eleva a la máxima potencia la protección de la privacidad y los datos de los ciudadanos, en un momento crítico, con casos muy recientes de filtraciones masivas de datos personales como los reconocidos por Facebook y Twitter.

Atención a emails y formularios

Uno de los principales cambios que trae la nueva ley es que, a partir de ahora, las empresas e instituciones necesitarán el consentimiento expreso e inequívoco de usuarios, clientes y consumidores para gestionar sus datos. Deberán autorizar tanto la recolección como el almacenaje, y el permiso debe ser específico para cada uso que la entidad vaya a hacer.

Por eso, hay que ver con atención los emails y formularios que nos pidan rellenar, ya que algunos sólo comunican el cambio de la política de datos, pero otros piden que se ratifique el permiso y, si no lo hacemos, nos eliminarán de las listas y bases de datos.

Entre los derechos que podrán exigir los ciudadanos destacan el derecho al olvido; el derecho a reclamar información clara y sencilla sobre qué datos tiene una empresa u organización, para qué los usa y quién los maneja; el derecho a la portabilidad de datos de un proveedor de servicios a otro, o el derecho a exigir que se revisen las decisiones automatizadas tomadas con sus datos.

Deberá ser tan fácil darse de baja de un servicio como lo fue apuntarse a él

Para ejercer esos derechos, los usuarios deben dirigirse a la empresa, plataforma o institución en cuestión, que tendrá la obligación de facilitarles la información que deseen o, en su caso, darles de baja del servicio sin ponerles ningún tipo de problema. Según la nueva ley, deberá ser tan fácil darse de baja como lo fue apuntarse en su momento al servicio.

Las nuevas tecnologías -como la comunicación sin hilos, la expansión de Internet de las Cosas, la creciente aplicación de cruces masivos de datos o big data, el procesamiento de datos sensibles, el tratamiento de datos biométricos (huellas digitales o reconocimiento facial) o la geolocalización en redes sociales- están generando nuevos riesgos. Por eso, la UE asegura que con esta normativa -compleja y muy amplia- pretende cubrir todos esos riesgos sin coartar su desarrollo.

La nueva norma es tecnológicamente neutra, es decir: protege los datos personales independientemente de la tecnología utilizada. Así, se aplica tanto cuando se usa un sistema informático complejo como archivos en papel.

Sanciones de hasta el 4% de la facturación global

Las obligaciones fijadas en el RGPD afectan a todas las empresas, organizaciones o instituciones con sede en la UE que recaben y procesen datos de carácter personal, desde un ultramarinos con lista de proveedores hasta una multinacional con miles de registros de clientes, empleados y contactos.

Al contrario de lo que ocurría hasta ahora, también se aplica a aquellas entidades localizadas fuera de los Veintiocho que ofrezcan bienes y servicios a ciudadanos europeos y manejen sus datos personales.

Además, las entidades afectadas por el reglamento deberán adoptar medidas de seguridad adicionales para garantizar la privacidad de los datos que gestionen, sobre todo, si tratan datos sensibles, para los que se puede exigir el encriptado.

También tendrán la obligación de notificar cualquier violación o hackeo de datos personales que sufran en un plazo máximo de 72 horas tras haber tenido constancia de ella.

Si las empresas no cumplen la nueva normativa, los particulares y las organizaciones de protección de datos podrán denunciarlas ante las autoridades de control -en España, la Agencia Española de Protección de Datos-, que en las infracciones más graves podrán imponer sanciones de hasta 20 millones de euros o el equivalente al 4% de la facturación anual global de la empresa.

En casos más leves, la autoridad puede advertir, amonestar o imponer medidas correctivas adicionales, como ordenar el cese del tratamiento de datos personales.

Obligaciones de las empresas para proteger derechos individuales

1. el consentimiento de la persona a quien pertenecen los datos

2. una obligación contractual entre la entidad y el interesado (por ejemplo, cuando tu empresa de telefonía incluye en contrato la petición de dirección postal para poder enviarte las facturas)

3. el cumplimiento de una obligación legal (por ejemplo, los datos de registro censal)

4. la protección de los intereses vitales del interesado (por ejemplo, cuando el centro de salud te solicita tus antecedentes de enfermedades familiares)

5. la realización de una misión de interés público (por ejemplo, cuando la Agencia Tributaria recopila tus datos fiscales para el IRPF)

6. la satisfacción de los intereses legítimos de una empresa (por ejemplo, cuando usan los datos para enviarte sus promociones o productos), aunque en este último caso, “solo tras haber comprobado que los derechos y libertades fundamentales de la persona cuyos datos estén tratando no se vean afectados significativamente”. Según el RGPD, si esos derechos individuales se ven perjudicados, la empresa no podrá tratar los datos de esa persona.

Obligaciones de las empresas en función de los riesgos que asuma

El nuevo reglamento comunitario elimina trámites burocráticos para las empresas, ya que suprime, por ejemplo, la obligación de registrar las bases de datos en las diferentes autoridades nacionales de protección de datos.

A cambio, las entidades que traten datos deberán cumplir las siguientes normas:

Por ejemplo, si una empresa trata datos personales para dirigir publicidad a través de motores de búsqueda basados en el comportamiento en línea de las personas, será obligatorio que nombre un DPD. Si sólo envía a sus clientes material promocional una vez al año, no necesitará un DPD. Del mismo modo, un médico que recoge datos sobre la salud de sus pacientes, no necesitará un DPD, pero si trata datos genéticos y sanitarios para un hospital, sí se le exigirá.

Este viernes entra en vigor en la UE la normativa europea sobre protección de datos

Noticias

Televisión

Radio

Deportes

Infantil

A la Carta

Playz