En mayo de 2016 entró en vigor la Regulación General de Protección de Datos (General Data Protection Regulation, en inglés), y el próximo viernes 25 de mayo comenzará a aplicarse de forma obligatoria en todo el territorio de la Unión Europea.
Esta Regulación es la última y más profunda reforma europea en materia de protección de datos, y su objetivo principalmente viene a cubrir, proteger y garantizar la privacidad de los datos personales de todos los ciudadanos de la UE en su actividad online, y la forma en la que las organizaciones procesan, almacenan y destruyen estos datos.
El derecho al olvido, el consentimiento expreso del uso de datos por parte de los usuarios y la transparencia por parte de las empresas, son sólo algunos de los elementos más importantes que introduce la nueva regulación.
Pero profundicemos un poco. Exactamente, ¿qué recoge esta regulación que no contemplaba la actual LOPD? ¿Qué derechos y obligaciones se introducen y cómo afectará a las empresas y a los ciudadanos?
Os damos 8 claves para entender qué novedades y cambios traerá consigo la GDPR:
1. ¿Por qué una nueva ley?
El avance de las nuevas tecnologías, el progresivo tratamiento de datos de forma automatizada, el crecimiento de las capacidades de almacenamiento, la popularización de internet, el uso de RRSS y el análisis avanzado de datos, ha provocado que la comunicación entre usuarios y empresas cambie radicalmente en cuestión de poco más de 15 años. La nueva regulación europea de protección de datos sienta las bases de una nueva normativa de privacidad que se adecua mejor a esta realidad comunicativa y tecnológica.
Este reglamento tiene fundamentalmente tres importantes impactos:
- Incremento de la privacidad de datos personales
- Una mayor transparencia por parte de las empresas
- La exigencia de un consentimiento
2. Sobre datos personales
Los datos personales son aquellos que incluyen información relativa a una persona física viva identificada o identificable, tanto la relativa a su identidad como la relativa a su existencia y ocupación (estudios, trabajo, enfermedades…).
Bajo esta premisa, toda la información que lleve a la identificación de una persona también constituirá un dato de carácter personal. Los datos relativos a una persona jurídica no están considerados de carácter personal.
La GDPR viene a proteger toda la información personal de los usuarios de la UE.
3. Derecho al olvido
La GDPR contempla el derecho al olvido. Cualquier ciudadano de la UE podrá ejercerlo cuando sus datos personales se están usando con otro fin al que se dio el consentimiento, cuando su información personal haya quedado obsoleta, o cuando el uso de sus datos atente contra su imagen.
4. Consentimiento expreso
Este es uno de los elementos clave que introduce como novedad la GDPR. Por primera vez las empresas y organizaciones deberán solicitar a los usuarios un consentimiento expreso para cada uno de los usos que hagan con sus datos. Esto significa que el consentimiento debe ser libre, específico, inequívoco y verificable, es decir, las empresas deberán demostrar que el usuario les otorgó el consentimiento.
El consentimiento no será válido si puede deducirse del silencio, omisión o inacción por parte del interesado, algo que no ocurría con la actual LOPD
5. ¿Cómo afectará a las empresas?
La GDPR obliga a que las organizaciones sean responsables activamente. Es decir, no deberán actuar cuando hayan cometido una infracción, sino que deberán velar por la garantía de la privacidad de los datos.
Esto aplicará a todas las empresas localizadas en la UE, pero también:
- a aquellas que, aun no estando ubicadas en suelo de Unión Europea, cuenten con datos de consumidores o usuarios pertenecientes al espacio comunitario.
- a empresas y organizaciones de más de 250 empleados, aunque no tengan servidores o actividad comercial dentro de la UE.
- A empresas que aun teniendo menos de 250 empleados y no estén ubicadas en la UE, procesen datos personales de manera habitual
6. ¿Cómo afectará a los usuarios?
La GDPR está pensada para proteger más y mejor los datos que afectan directamente a los derechos de los ciudadanos. Además del derecho al olvido, los usuarios también tendrán el derecho de acceso, rectificación, cancelación u oposición, y el derecho a la portabilidad, es decir, los usuarios podrán tener mayor control de los datos que ceden a terceros.
7. Sanciones
Las sanciones que contempla la actual LOPD ascienden a 600.000 euros. Sin embargo, la GDPR es bastante más dura en cuanto a los incumplimientos, y las sanciones podrán ascender hasta los 20 millones de euros, o el 4% de la facturación de la empresa.
8. Nueva figura de “Delegado de protección de datos”
Este nuevo cargo denominado Delegado de Protección de Datos (DPO, sus siglas en inglés) será obligatorio en organismos públicos personales, en aquellas empresas que tengan como actividad principal el tratamiento de datos sensibles, y en aquellas empresas que tengan entre sus actividades principales un tratamiento que requiera de una observación sistemática de usuarios a gran escala.
El papel fundamental del Delegado de Protección de Datos será el de velar y supervisar que la empresa cumple en todo momento con la GDPR.
Si quieres profundizar un poco más, te dejamos la entrevista que hemos realizado en el programa de Big Data en Capital Radio, a Borja Adsuara, abogado, profesor y consultor, experto en derecho, estrategia y comunicación digital.