25/01/2018

Muchos expertos aseguran hoy que es más seguro hoy en día ser consumidor de la Unión Europea que en Estados Unidos. Lo cierto es que las instituciones europeas se toman muy en serio la privacidad de los datos personales, y prueba de ello es el nuevo Reglamento General de Protección de Datos de la Unión Europea, o GDPR. Os contamos las principales líneas de este documento.

1. ¿Qué es el Reglamento general de protección de datos?

El GDPR es un paquete de nuevas normas legislativas introducidas por la Unión Europea para facilitar a los residentes de los países de la UE proteger sus datos personales en línea. La regulación fue aprobada oficialmente el 27 de abril de 2016 y entrará en vigor formalmente en toda la UE el 25 de mayo de 2018.

2. ¿Qué datos están cubiertos por el Reglamento general de protección de datos?

Prácticamente todos los datos pertenecientes a personas que residen en la Unión Europea. Esto incluye no solo documentos de identidad oficiales, sino también información solicitada por sitios web, como direcciones IP y de correo electrónico, información física del dispositivo, domicilios particulares, fechas de nacimiento, registros médicos e información financiera, incluidos los historiales de transacciones online.

La legislación también protege los datos generados por los usuarios, como las publicaciones en las redes sociales (incluidos los tweets individuales y las actualizaciones de Facebook), así como las imágenes personales cargadas en cualquier sitio web, incluidas las que no tienen la imagen de la persona que subió la imagen. 

Básicamente, el GDPR protege todos y cada uno de los datos personales de los usuarios en prácticamente todas las plataformas concebibles online. 

3. ¿Por qué es necesario el Reglamento General de Protección de Datos?

Muchos países europeos ya tienen sus propias leyes de recopilación y almacenamiento de datos, pero el objetivo de GDPR es proteger los datos de los usuarios de forma más sólida y uniforme en toda la Unión Europea, unificando las regulaciones de protección de datos existentes en sus 28 estados miembros. Supone un beneficio considerable para las empresas que comercializan en varios estados miembros de la UE, ya que el GDPR reemplazará a todas y cada una de las leyes de privacidad y protección de datos actualmente vigentes en los estados miembros de la UE. 

4. ¿Qué sucede con las empresas que no cumplen con el GDPR? 

El incumplimiento de la GDPR conlleva fuertes sanciones.

El primer paso del proceso es una advertencia escrita formal, que se puede emitir a una empresa incluso en casos de violaciones involuntarias; el desconocimiento de la ley no exime de su cumplimiento. La próxima etapa de acciones punitivas puede obligar a las empresas que violan el GDPR a someterse periódicamente a auditorías periódicas de integridad de datos para garantizar el cumplimiento, lo que también significa ceder el acceso a información potencialmente sensible, confidencial o patentada a un auditor.

Para las empresas que aún no hayan captado la indirecta, las firmas que incumplan o violan cualquier parte del paquete legislativo después de las sanciones iniciales pueden recibir una multa de hasta 20 millones de euros o el 4% de su volumen de negocios.

5. ¿Qué cuenta como ‘datos pseudonimizados’ bajo el GDPR?

Según la GDPR, los datos seudonimizados son «datos anónimos que no son identificables o que ya no son identificables». En esencia, esto significa que cualquier información de identificación con respecto a un usuario individual debe eliminarse por completo de todos los datos almacenados o procesados para que no se pueda revelar la identidad de un usuario específico, ni siquiera a la empresa o autoridad responsable de anonimizar los datos en sí. 

El GDPR también protege información como las creencias religiosas, filosóficas o políticas de una persona, información sobre su sexualidad u orientación sexual, pertenencia a organizaciones como sindicatos y datos genéticos o biométricos, incluidas huellas dactilares y ADN. Dado que todos estos datos están protegidos por el GDPR, las medidas que tome una empresa para seudónimo de sus datos deben garantizar que estos puntos de datos también se eliminen por completo.

La razón principal por la que el texto y los considerandos de la GDPR utilizan el término «datos seudonimizados» en lugar de «datos anónimos» es en gran medida de pragmatismo. Es muy difícil eliminar por completo toda la información de identificación de un usuario. Los datos verdaderamente anónimos se encuentran fuera de la jurisdicción del GDPR, pero dado que es muy poco probable que muchos controladores de datos puedan anonimizar total y completamente los datos de sus usuarios, el GDPR usa la definición de datos pseudónimos.

6. ¿Qué es el «consentimiento afirmativo» en el contexto del GDPR? 

Muchos especialistas en marketing ya estarán familiarizados con el concepto de consentimiento afirmativo, un principio que establece que los individuos deben, por ejemplo, dar su permiso expreso a una empresa antes de que pueda agregar a esa persona a una lista de correo. Este es el enfoque de «opt-in».

Bajo el GDPR, las leyes de consentimiento afirmativo se fortalecerán. Esto significa que las empresas ya no podrán ocultar cláusulas ocultas en largos y detallados términos de los acuerdos de servicio u oscurecer sus intenciones a través de engaños legales. El GDPR establece que los ciudadanos de la UE no solo deben dar su permiso expreso antes de que una empresa pueda procesar o almacenar sus datos, sino también que las empresas deben proporcionar a los ciudadanos de la UE procesos de aceptación claros y fáciles de entender que expresen cómo se almacenarán los datos de los usuarios, procesado o usado.

7. ¿Qué hay del consentimiento afirmativo para menores?

Los desarrolladores de aplicaciones, sitios web de entretenimiento y otros tipos de empresas manejan rutinariamente datos pertenecientes a menores, y el GDPR tiene pautas específicas sobre cómo se deben manejar estos datos.

El consentimiento parental afirmativo es vital para recopilar, almacenar o procesar los datos personales de ciudadanos de la UE menores de 13 años. Los receptores de datos deben poder demostrar que el consentimiento afirmativo de los padres se otorgó previa solicitud, y es importante señalar que este consentimiento puede ser retirado en cualquier momento, como en el caso del consentimiento para permitir el procesamiento de la información personal de los adultos.