GDPR: claves del reglamento europeo de protección de datos 2018

MIRENTXU MARIÑO

Frente al monitor

La UE empezará a aplicar desde este viernes una nueva y única legislación de protección de datos personales en todos sus Estados miembros.

¿Qué es GDPR o RGPD?

Es la nueva norma a nivel europeo que regula el tratamiento de datos personales de los ciudadanos por parte de empresas y de autoridades u organismos públicos, y también su libre circulación. Es un reglamento y sustituye a la antigua Directiva de 1995, año en el que “redes sociales” o “big data” eran conceptos aún muy lejanos. Es de aplicación directa en las legislaciones nacionales de los Estados miembros: las leyes propias (en España, la LOPD y su reglamento) tendrán que adaptarse, incorporar ciertas cosas y desarrollar otras que en el reglamento se esbozan de una manera general.   

¿Cuándo entra en vigor?

Entró en vigor en mayo de 2016, pero es de aplicación obligatoria desde el próximo viernes, 25 de mayo de 2018. La reforma de la LOPD (Ley de Protección de Datos) española no va a estar lista para entonces —está en pleno trámite parlamentario y parece que hasta final de año no habrá fumata blanca—, así que, por el momento, en aquellos aspectos en los que pueda haber un choque frontal, primará la GDPR (General Data Protection Regulation).

¿Qué son datos personales?

Los ciudadanos tienen derecho a la protección de sus datos personales. Estos van desde el nombre y el domicilio hasta un dato relacionado con la salud o la condición social; también puede ser una foto o un audio. En definitiva, es todo aquello con lo que se pueda identificar “directa o indirectamente” a una persona física (no jurídica). Hay expertos que incluyen en este apartado hasta a las IP de los ordenadores. Hay datos especialmente protegidos: genéticos, de orientación sexual, raciales, etc.

¿A quién afecta?

A todas aquellas personas que “se encuentren” en la UE. El ámbito territorial, por tanto, se amplía respecto a la legislación anterior y se pone el foco en dónde esté la persona, no la entidad ni el tratamiento de los datos. Es decir, que el reglamento se puede aplicar a empresas de terceros países (por ejemplo, EE UU) que traten datos —como consecuencia de la prestación de servicios y bienes o de monitorización, todo siempre en la UE—, independientemente de que lo hagan in situ o de que tengan un responsable para ello en suelo europeo. Los datos recabados pueden corresponder a ciudadanos europeos o, por ejemplo, a un japonés de vacaciones en París. De ahí que compañías como Facebook, entre otras, entren en el saco. Y en la medida en la que traten datos, entran en el reglamento incluso las comunidades de vecinos.

¿Cuáles son los puntos clave?

Consentimiento. Para tener y tratar los datos de una persona se debe obtener su consentimiento expreso (no tácito). Este debe ser libre e inequívoco, pero también informado e individual; y tiene que poder probarse que se recibió. Esto significa que en el momento de recabar los datos, hay que explicarle al ciudadano de forma clara y sencilla para qué se van a usar, por cuánto tiempo y quién será el responsable del tratamiento, entre otras cosas. Además, la persona debe decir “sí” de forma activa y expresa, porque si no, no valdrá. Si los datos se van a usar para varios fines, se pedirán consentimientos separados. Hay excepciones: no hace falta consentimiento si hay una obligación legal, media interés vital o público, hay un contrato o si la empresa o autoridad pública alega “interés legítimo”, que tendrá que argumentar.  

Derecho al olvido. Otra novedad. Se trata del derecho de supresión y hasta ahora solo se reflejaba en sentencias judiciales (muchas relacionadas con eliminar noticias de Google), pero no en una ley. Una persona podrá pedir a una empresa o a una autoridad pública que elimine los datos personales que tiene en su poder si ya no son necesarios; si ha decidido retirar el consentimiento o se opone a que se usen más; si se han utilizado de forma ilícita, etc. Esto, claro está, puede chocar con el derecho a la información, el interés público o la ley y se tendrá que ponderar.

Portabilidad y Limitación. Otros dos derechos importantes para los ciudadanos, además de los de acceso, rectificación, cancelación y oposición (ARCO), que ya estaban contemplados en la legislación. La portabilidad permite a una persona pedir, recibir y transferir directamente sus datos automatizados de una entidad a otra. La limitación es una suerte de suspensión temporal del tratamiento de los datos con el fin de hacer comprobaciones, demostrar un interés legítimo, resolver una reclamación, etc.

DPO. El reglamento introduce la figura del Delegado de Protección de Datos. Es obligatorio en el caso de los organismos públicos, pero no en todas las empresas, solo en aquellas que traten datos a gran escala o datos muy sensibles. Si, además, la empresa tiene menos de 250 trabajadores, no tendrá que llevar un registro. En todo caso, si van a tratar datos personales, todas las entidades tienen que pensar, incluso antes de entrar en faena, en la GDPR: se les exige proactividad.

Menores. Los menores de 16 años, en el caso de los “servicios de la sociedad de la información” (en internet, por ejemplo), no pueden consentir sobre el tratamiento de sus datos personales: deben hacerlo sus padres o tutores. En todo caso, los países pueden rebajar la edad, si quieren, hasta los 13 años. En España está en 14.

¿Quién supervisa todo esto?

La autoridad de control nacional es la Agencia Española de Protección de Datos (AEPD), aunque hay otras dos, en Cataluña y Euskadi. En cada Estado miembro de la UE tiene que haber una autoridad y deben cooperar entre sí y con la Comisión Europea. Además, se crea el Comité Europeo de Protección de Datos, que se ocupará de que el reglamento se aplique de forma coherente en toda la UE y cuyas decisiones son vinculantes. Los ciudadanos tienen derecho a presentar una reclamación ante la autoridad de su país, a ir a juicio y a ser indemnizados.

Sanciones millonarias

Se contemplan advertencias, apercibimientos, medidas concretas y multas administrativas de hasta 10 millones de euros o, en su defecto, de hasta el 2% del volumen de negocio anual si se trata de una empresa; o bien, de hasta 20 millones de euros o, en su defecto, de hasta el 4% del volumen de negocio anual si se trata de una empresa. Las determinará la autoridad de control, esto es, la AEPD, que ha avanzado que centrará sus inspecciones en el sector salud, las telecomunicaciones y las instituciones financieras. Cada caso se estudiará de forma individual.

Los Estados, por su parte, pueden determinar sanciones penales y son los que decidirán, además, si se pueden poner multas administrativas a las autoridades y los organismos públicos: es una de las cosas que el GDPR deja en manos de los Gobiernos y sus leyes. Si los ciudadanos, en todo caso, reclaman primero a la empresa o autoridad pública y se soluciona el asunto entre ambos, se evitará la sanción.

Source: 20′ Tecnologia

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *