Ya es 25 de mayo, fecha marcada en rojo desde hace meses en la agenda de las empresas y las Administraciones Públicas para tener implantada la nueva privacidad que introduce el Reglamento General de Protección de Datos (RGPD). Sólo en esta recta final, y debido al bombardeo de emails que están sufriendo los usuarios, parece que los ciudadanos están tomando conciencia de que algo está cambiando en relación a sus datos personales. Lo que no está claro es si saben exactamente qué. También, y esto es más preocupante dada la elevación de las sanciones que introduce la norma europea (hasta 20 millones o el 4% de la facturación anual), hay encuestas que revelan que demasiadas compañías aún se encuentran perdidas sobre cómo adoptar las nuevas exigencias regulatorias.
En primer lugar, las empresas deben saber que el RGPD no sólo es de aplicación a las empresas que tengan su sede en la Unión Europea, sino también a las que estén basadas fuera de la misma, pero que traten datos de ciudadanos europeos, tal y como recuerda Anaïs Fernández, international marcom manager en Tradelab, en su guía sobre Todo lo que hay que saber sobre la nueva privacidad. Estas son sus advertencias y recomendaciones.
1. El consentimiento del titular
Para proceder a la recogida y al tratamiento de datos personales las organizaciones han de haber obtenido previamente un acuerdo escrito, claro o explícito de los titulares de los datos. Su utilización también puede reposar en otras bases jurídicas, como la ejecución de un contrato, el interés legítimo del responsable del trato, el respeto de una obligación legal, etc. La recopilación del consentimiento es únicamente una de las bases posibles para recoger datos personales de manera legal, pero no la única y no la más utilizada.
Además de la necesidad de materializar la adhesión dejando al internauta la opción de marcar por sí mismo la casilla opt in, el Reglamento recuerda que esta aceptación puede retirarse en todo momento, sin necesidad de justificación.
2. ¿Nadie va a pensar en los niños?
A partir de cierta edad, la inscripción de un menor a una red social requiere la autorización de los padres. En España, el tratamiento de los datos personales en el ámbito de los servicios de la sociedad de la información en menores de edad será legal siempre y cuando estos tengan más de 16 años. Sin embargo, el Reglamento permite rebajar esta edad y que cada Estado miembro establezca la suya propia, siempre con un límite inferior de 13 años.
En el caso de España, esta edad está fijada actualmente en 14 años, pero con la aplicación directa del RGPD se reduce desde los 14 a los 13 años para adaptar así el sistema español al RGPD. Por debajo de los 13 años, se necesitará el consentimiento del “titular de la patria potestad”, algo que puede resultar muy complicado.
3. Portabilidad de datos
¿Ya no quieres utilizar Spotify y prefieres Apple Music? El RGPD prevé un mecanismo de portabilidad que ofrece la posibilidad de pasar de un servicio a otro. El derecho a la portabilidad de datos permite llevar consigo los datos para importarlos en una plataforma de la competencia, sin tener, en medida de lo posible, que perder algo durante esta “mudanza”. En principio, el usuario no tiene ni que ocuparse de este cambio.
4. Derecho de supresión
El RGPD prevé un derecho al olvido. Este derecho obliga a Google a tener en cuenta las peticiones de los internautas que piden que se retiren ciertos links que les conciernen. El reconocimiento de este derecho de supresión permite a un particular pedir que se borren datos en los que se le reconoce, siempre y cuando no sea un motivo legítimo (razones históricas, científicas, estadísticas, etc.) incluido el derecho a la libertad de expresión.
5. Perfilado por algoritmos
El perfilado es la utilización de los datos para evaluar determinados aspectos relacionados con la persona. El objetivo es predecir el comportamiento de la persona y tomar decisiones al respecto. Dando el consentimiento explícito, podrá aplicarse una decisión individual automatizada, incluido el perfilado. Igualmente, el RGPD permite la creación de perfiles, pero hay que respetar algunos requisitos para asegurar los derechos de los interesados respecto de sus datos como el derecho a ser olvidado, ser informado, eliminar sus datos, poseer una copia de los datos personales (en el plazo de un mes, de forma gratuita), el derecho a la portabilidad de datos, el derecho a oposición, a interrumpir y a los derechos relativos a la toma automatizada de decisiones y el perfilado.
6. Acciones de grupo
Con el nuevo Reglamento, las asociaciones podrán defender a los particulares en el marco de una acción de grupo en vistas de poner fin a parte ilícita de un tratamiento de datos. Los individuos podrán también defenderse más fácilmente reagrupandose en un mismo banner en vez de hacer una campaña en solitario. El RGPD también permite al interesado dar mandato a una entidad, organización o asociación sin ánimo de lucro “que haya sido debidamente constituida conforme al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de derechos y libertades de las personas implicadas”, en el marco de la protección de los datos personales.
7. Informar si hay brecha de seguridad
El RGPD incluye un derecho de información en caso de pirateo de datos: si una empresa u organización es víctima de un pirateo de datos de sus clientes o de terceros, deberá informar a la autoridad inmediatamente la protección de datos y en el caso de que esta divulgación no constituya problemas de seguridad, informar a los principales afectados.
Informar a particulares no es obligatorio. Depende de ciertos parámetros, si por ejemplo “el responsable del tratamiento ha puesto en marcha medidas de protección técnicas y organizacionales apropiadas”, de modo que los datos robados son “incomprensibles para toda persona que no esté autorizada a tener acceso”, gracias a una encriptación
8. Ventanilla única
Los responsables establecidos en uno o varios Estados de la UE que realicen tratamientos que afecten de forma significativa a ciudadanos de varios Estados de la UE, tendrán que responder solamente ante la Autoridad de control del Estado miembro en el que se encuentre registrada la entidad o en el que tenga su sede principal, aunque afecte a ciudadanos de otros estados. Esto implica que una Autoridad de control valorará si el supuesto tiene carácter transfronterizo, en cuyo caso deberá iniciar un procedimiento de cooperación con todas las Autoridades afectadas buscando una solución aceptable para todas ellas.
Este sistema no supone que los ciudadanos tendrán que relacionarse con varias Autoridades de control, sino que deberán plantear sus reclamaciones o denuncias ante su propia Autoridad nacional (la AEPD en España). Las gestiones serán realizadas por esa Autoridad debiendo informar al interesado del resultado final de su reclamación o audiencia.
9. Multas de sobresaliente
El RGPD prevé la posibilidad de sancionar las infracciones cometidas con respecto al tratamiento de datos de carácter personal con multas administrativas de 10 o 20 millones de euros, o en el caso de que se trate de una empresa, de una cuantía equivalente al 2% o al 4% como máximo del volumen de negocio anual global del ejercicio financiero anterior, optando por la de mayor cuantía. Además, el RGPD, permite a los Estados miembros establecer normas en materia de sanciones penales por infracciones del reglamento, que pueden, incluso, suponer la privación de los beneficios obtenidos a consecuencia del tratamiento llevado a cabo, incumplimiento con lo dispuesto en la normativa.
Consiga aquí, gratis hasta el 31 de mayo, una guía con los conceptos clave que has de dominar para proteger tus derechos de privacidad con el nuevo Reglamento, de aplicación a partir del 25 de mayo.
FUENTE: cincodias.elpais.com