El ecosistema de Internet vive desde este viernes la mayor regulación de su historia en la UE
Dos años después de su aprobación, el nuevo Reglamento Europeo de
Protección de Datos (RGPD) empieza a aplicarse de forma obligatoria este
viernes en los Veintiocho. Las empresas se han apresurado a enviar
correos electrónicos a sus clientes informando de cambios en sus
condiciones de privacidad. Tras las 260 páginas y 99 artículos del mayor
cambio normativo de la historia de Internet en la UE hay un nuevo marco
que cambiará la forma en que las compañías y administraciones se relacionan con tu información. Estas son algunas de sus claves.
No sin tu consentimiento. Los ciudadanos deben dar su aceptación expresa para que cualquier compañía pueda procesar y almacenar su información privada. En la práctica eso se concretará con la petición de que se marque una casilla o se firme un formulario que nunca deben estar premarcados o activados por defecto. Terminan las autorizaciones genéricas y ambiguas, y los textos farragosos de condiciones de uso. A partir de ahora se exigirán cláusulas de privacidad claras y comprensibles. Ante el aluvión de correos electrónicos, el consejo de Borja Adsuara, experto en derecho y estrategia digitales es "no contestar y aprovechar para hacer limpia", así como observar atentamente "para qué piden el consentimiento, porque hay que darlo para cada uso concreto: una cosa es permitir que os manden una newsletter y otra que cedan vuestros datos a terceros". Lo ilustra con un ejemplo: "¿le darías tu teléfono o tus datos de contacto a cualquiera que te los pidiera?".
En cuanto a la edad mínima, los padres deben dar su permiso cuando los usuarios sean menores de 16 años —de 14 años en el caso de España, la ley da margen a los Estados miembros— y las empresas verificar en lo posible que no se saltan la autorización. El silencio no podrá considerarse una aceptación implícita. Quien calla no otorga, por lo que si se dejan sin respuesta los correos en los que determinadas empresas piden el consentimiento del usuario, las compañías no podrán usar los datos. Hay excepciones: no es necesario permiso en casos de lucha contra el fraude, obligaciones legales o para proteger intereses vitales, como por ejemplo cuando es necesario para controlar epidemias.
Portabilidad de datos. Abre la puerta a que si quieres cambiar, por ejemplo, tus fotos y vídeos de una red social a otra, no tienes que descargarlos y volver a subirlos en la otra. La transferencia de datos debe hacerse entre ambas redes sociales si es técnicamente operativo. Es una forma de permitir al usuario abandonar una compañía que no le convence y cambiarse a otra más fácilmente.
Alerta contra el hackeo. En los supuestos más graves, se marca un plazo máximo de 72 horas para informar a la agencia nacional de datos sobre un hackeo, mientras que el cliente deberá ser avisado lo antes posible de que su cuenta ha sido pirateada. Se pretende así evitar casos como el de Uber. La start-up escondió durante un año el robo en EE UU de los datos de 50 millones de clientes y siete millones de sus conductores.
Derecho al olvido. Los buscadores de Internet como Google ya debían corregir o eliminar resultados sobre un usuario cuando este lo pidiera. Ahora ese derecho a suprimir información privada se extiende a otros servicios de Internet y empresas.
Dame mi información. El abanico de medidas incluye el derecho de los usuarios a tener acceso a un fichero en formato electrónico con todos los datos privados sobre ti de los que disponga una compañía.
No solo redes sociales. Cuando se habla de datos, la imagen más habitual que viene a la mente es la de millones de usuarios compartiendo preferencias en Facebook, Instagram o Twitter. Pero se trata de un universo mucho más amplio. Entidades bancarias, aseguradoras, educativas, sanitarias, publicitarias y en general, todas las que ofrezcan servicios en Internet, deben adaptarse a la ley a la hora de tratar los nombres, direcciones, correos electrónicos o números de identificación que almacenan.
Sanciones multimillonarias. La negligencia de las compañías a la hora de tratar tus datos les saldrá más cara. El reglamento comunitario contempla multas de hasta el 4% de la facturación anual de una compañía para los casos de infracción de la ley más graves. En el caso de que, por ejemplo, Facebook fuera condenada en un supuesto de este tipo, ello se traduciría en hasta 1.310 millones de euros teniendo en cuenta sus ingresos de 2017.
El delegado de protección de datos. Cuando el volumen de datos recopilados sea a gran escala o implique información sensible, las empresas y administraciones deberán crear la figura del delegado de protección de datos. Su función será actuar como el enlace con las agencias nacionales, y los usuarios podrán dirigirse a ellos para conocer el tratamiento que se hace de sus datos o presentar reclamaciones.
Un modelo a imitar. La ley europea está sirviendo de inspiración para otras normativas de datos en marcha. Países como Chile, Tailandia, Corea del Sur o Japón están en pleno proceso de implantar reglas más duras para el uso de datos, y han utilizado el texto europeo como modelo. Gigantes de Internet como Facebook, Google y Amazon tienen que adaptarse al RGPD, por lo que en la práctica, aprovecharán el cambio para dar a sus usuarios en todo el mundo los mismos derechos que a los europeos. "Es razonable que sirva de modelo para un estándar de protección en Internet", afirma Adsuara.
No sin tu consentimiento. Los ciudadanos deben dar su aceptación expresa para que cualquier compañía pueda procesar y almacenar su información privada. En la práctica eso se concretará con la petición de que se marque una casilla o se firme un formulario que nunca deben estar premarcados o activados por defecto. Terminan las autorizaciones genéricas y ambiguas, y los textos farragosos de condiciones de uso. A partir de ahora se exigirán cláusulas de privacidad claras y comprensibles. Ante el aluvión de correos electrónicos, el consejo de Borja Adsuara, experto en derecho y estrategia digitales es "no contestar y aprovechar para hacer limpia", así como observar atentamente "para qué piden el consentimiento, porque hay que darlo para cada uso concreto: una cosa es permitir que os manden una newsletter y otra que cedan vuestros datos a terceros". Lo ilustra con un ejemplo: "¿le darías tu teléfono o tus datos de contacto a cualquiera que te los pidiera?".
En cuanto a la edad mínima, los padres deben dar su permiso cuando los usuarios sean menores de 16 años —de 14 años en el caso de España, la ley da margen a los Estados miembros— y las empresas verificar en lo posible que no se saltan la autorización. El silencio no podrá considerarse una aceptación implícita. Quien calla no otorga, por lo que si se dejan sin respuesta los correos en los que determinadas empresas piden el consentimiento del usuario, las compañías no podrán usar los datos. Hay excepciones: no es necesario permiso en casos de lucha contra el fraude, obligaciones legales o para proteger intereses vitales, como por ejemplo cuando es necesario para controlar epidemias.
Portabilidad de datos. Abre la puerta a que si quieres cambiar, por ejemplo, tus fotos y vídeos de una red social a otra, no tienes que descargarlos y volver a subirlos en la otra. La transferencia de datos debe hacerse entre ambas redes sociales si es técnicamente operativo. Es una forma de permitir al usuario abandonar una compañía que no le convence y cambiarse a otra más fácilmente.
Alerta contra el hackeo. En los supuestos más graves, se marca un plazo máximo de 72 horas para informar a la agencia nacional de datos sobre un hackeo, mientras que el cliente deberá ser avisado lo antes posible de que su cuenta ha sido pirateada. Se pretende así evitar casos como el de Uber. La start-up escondió durante un año el robo en EE UU de los datos de 50 millones de clientes y siete millones de sus conductores.
Derecho al olvido. Los buscadores de Internet como Google ya debían corregir o eliminar resultados sobre un usuario cuando este lo pidiera. Ahora ese derecho a suprimir información privada se extiende a otros servicios de Internet y empresas.
Dame mi información. El abanico de medidas incluye el derecho de los usuarios a tener acceso a un fichero en formato electrónico con todos los datos privados sobre ti de los que disponga una compañía.
No solo redes sociales. Cuando se habla de datos, la imagen más habitual que viene a la mente es la de millones de usuarios compartiendo preferencias en Facebook, Instagram o Twitter. Pero se trata de un universo mucho más amplio. Entidades bancarias, aseguradoras, educativas, sanitarias, publicitarias y en general, todas las que ofrezcan servicios en Internet, deben adaptarse a la ley a la hora de tratar los nombres, direcciones, correos electrónicos o números de identificación que almacenan.
Sanciones multimillonarias. La negligencia de las compañías a la hora de tratar tus datos les saldrá más cara. El reglamento comunitario contempla multas de hasta el 4% de la facturación anual de una compañía para los casos de infracción de la ley más graves. En el caso de que, por ejemplo, Facebook fuera condenada en un supuesto de este tipo, ello se traduciría en hasta 1.310 millones de euros teniendo en cuenta sus ingresos de 2017.
El delegado de protección de datos. Cuando el volumen de datos recopilados sea a gran escala o implique información sensible, las empresas y administraciones deberán crear la figura del delegado de protección de datos. Su función será actuar como el enlace con las agencias nacionales, y los usuarios podrán dirigirse a ellos para conocer el tratamiento que se hace de sus datos o presentar reclamaciones.
Un modelo a imitar. La ley europea está sirviendo de inspiración para otras normativas de datos en marcha. Países como Chile, Tailandia, Corea del Sur o Japón están en pleno proceso de implantar reglas más duras para el uso de datos, y han utilizado el texto europeo como modelo. Gigantes de Internet como Facebook, Google y Amazon tienen que adaptarse al RGPD, por lo que en la práctica, aprovecharán el cambio para dar a sus usuarios en todo el mundo los mismos derechos que a los europeos. "Es razonable que sirva de modelo para un estándar de protección en Internet", afirma Adsuara.