25 may. 2018
A partir de hoy se comienza a aplicar, en la Unión Europea (UE), el nuevo Reglamento de Protección de Datos Personales (GDPR, por sus siglas en inglés) que se aprobó en 2016. Si bien la normativa aplica para los usuarios que residen en la UE, afectó de manera directa a todas las empresas que, por más que se encuentren ubicadas fuera de esa región, recopilan y usan datos de miembros que se encuentran en la UE.
De ahí que muchas empresas hayan decidido hacer extensivos algunos de los cambios que comenzaron a implementar en sus plataformas a todos los usuarios del mundo. Por eso, en los últimos días, los usuarios de Gmail, Facebook y otras redes sociales recibieron un correo donde se les informa sobre estas modificaciones.
"GDPR impacta a muchas empresas en América Latina que tienen lazos o negocios con Europa y, por lo tanto, es algo que no podemos ignorar. Confío en que el impacto de GDPR no solo será el nivel comercial sino también se verá a futuro en las regulaciones locales", explica Javier Chistik, Account Manager para el Cono Sur de Forcepoint.
Qué son los datos personales
Los datos personales van desde el nombre completo o domicilio de un usuario hasta información sobre condición social, estado civil o dirección IP. Incluye, básicamente, toda aquella información que se pueda vincular directa o indirectamente a una persona.
A quienes afecta
Esta nueva normativa aplicará a todos los usuarios que se encuentren en la Unión Europea. En este sentido también afecta a todas las empresas que, por más que residan en otra zona, utilicen datos de usuarios en esa región. Tal es el caso para la mayoría de las plataformas como Amazon, Google Facebook o Twitter, solo por nombrar algunas.
También impacta en compañías que reciben transferencias de datos desde la Unión Europea, porque ellas también estarán sujetas a supervisiones periódicas.
Los puntos más importantes:
1. Consentimiento
Las compañías deberán contar con consentimiento expreso, libre, inequívoco e informado de la persona para acceder y usar sus datos personales. Para esto, previamente se exige que las empresas informen de manera detallada y clara a qué información utilizarán, durante cuánto tiempo y para qué propósito. Quedan exceptuados los casos donde haya una obligación legal o un interés público que la autoridad o empresa en cuestión deberá justificar.
2. El consentimiento en el caso de los menores
En el caso de los menores de 16 años, el consentimiento sobre la recolección y tratamiento de sus datos personales quedarán en manos de sus padres o tutores. Si bien se eligió, a nivel general, los 16 años como edad límite, cada estado miembro puede elegir a partir de qué edad se considera a una persona menor, para estos casos.
3. Derecho al olvido
El usuario podrá solicitar a una empresa u organismo que elimine sus datos personales si es que considera que ya no son relevantes, son erróneos o fueron obtenidos de manera ilícita. Este principio ya se estaba aplicando a raíz del caso Mario Costeja que sentó un precedente judicial en 2014. La novedad es que ahora este derecho al olvido queda regulado por ley. También se especifica que "este derecho no es absoluto, sino que se protegen también otros derechos como el derecho a la libertad de expresión y a la investigación".
4. Portabilidad de datos
Esto quiere decir que el usuario tendrá derecho a solicitar a cualquier empresa que le otorgue acceso a todos los datos personales recolectados para que éste pueda transferirlos a otra compañía, sí así lo deseara.
5. Procedimientos claros para proteger los datos personales
Las compañías deberán tener procedimientos claros para la protección de datos y establecer procedimientos para reaccionar frente a incidentes. En este sentido, deberán contar con un software especializado para calcular el riesgo de las herramientas, la trazabilidad y el tratamiento de la información para evitar o minimizar posibles pérdidas, explican desde la empresa de ciberseguridad Forcepoint.
6. Reportar las fallas en 72 horas
En caso de que haya una filtración o falla de seguridad, la compañía deberá notificar el incidente a las autoridades correspondientes dentro de las 72 horas. En caso de que no lo hagan en ese tiempo, la empresa sería multada no sólo por el hecho sino por la mora.
7. Derecho a reclamo y sanciones millonarias
Los usuarios tendrán derecho a presentar sus reclamos y, en caso de ser necesario, ir a juicio y obtener una indemnización. El incumplimiento de la normativa podría generar sanciones millonarias que podrían llegar hasta los 20 millones de euros o el 4% de la facturación de la empresa en cuestión, lo que sea mayor.
La supervisión y control de la aplicación de esta normativa quedará en manos de la autoridad competente elegida en cada estado miembro, que a su vez estará en contacto con la Comisión Europea.