Facebook ha prometido aplicar las reglas de la UE en todo el mundo

Facebook ha prometido aplicar las reglas de la UE en todo el mundo Dado Ruvic/Reuters

Europa Normativa de la UE

Qué cambia a partir de hoy con el reglamento de protección de datos

La nueva norma pretende que los usuarios de internet recuperen el control sobre su información personal.

Bruselas

Por fin este viernes 25 de mayo entra en vigor el nuevo reglamento de protección de datos, la mayor reforma de la UE en materia de privacidad en 20 años. Su objetivo es que los usuarios de internet recuperen el control sobre su información personal y restringir el uso que hacen de la misma los gigantes de internet como Google o Facebook. La norma, aducen en Bruselas, habría impedido un escándalo como el de Cambridge Analytica.

Las siglas que identifican el reglamento (GDPR) se han hecho famosas en las últimas semanas debido a la avalancha de correos electrónicos de empresas y organismos públicos que piden consentimiento para seguir usando los datos personales de sus clientes.

¿Qué pasa si no respondemos? Las compañías que ya han obtenido en el pasado permiso expreso para guardar los datos de los usuarios no necesitan en realidad una nueva autorización. Aquellas empresas que los consiguieron de forma indebida, tendrán que borrar la información. Esto es lo que cambia a partir de hoy.

Un lenguaje más claro

Antes: Las empresas han explicado a menudo sus políticas de privacidad en un lenguaje prolijo e innecesariamente complicado. 

Ahora: Las políticas de privacidad tienen que escribirse en un lenguaje claro, sencillo y directo.

Consentimiento inequívoco del usuario

Antes: Muchas compañías asumían que el silencio de los usuarios equivale a un permiso para procesar sus datos, o escondían la petición de autorización dentro de unas condiciones de uso interminables y burocráticas que nadie lee.

Ahora: El usuario debe dar su consentimiento expreso antes de que sus datos puedan ser guardados y procesados por una empresa. El silencio no equivale a una autorización.

Más transparencia

Antes: Al usuario no se le informaba si sus datos se transferían fuera de la UE, ni si su información personal se utilizaba para fines distintos a los anunciados inicialmente. Tampoco sabía si las empresas utilizan algoritmos para tomar decisiones sobre ellos basándose en sus datos personales, por ejemplo cuando piden un préstamo.

Ahora: Las empresas sólo pueden recoger y procesar datos personales para un objetivo bien definido y si lo cambian deberán informar a los usuarios, que pueden retirar su consentimiento. El GDPR obliga a las compañías a informar a sus clientes si una decisión, por ejemplo la del crédito, se adopta de forma automatizada y a darles la posibilidad de discutirla.

Derecho a ser informado en caso de fuga

Antes: A menudo las empresas no informaban a sus clientes en caso de fuga de datos, por ejemplo cuando sus datos eran robados. Facebook ha tardado años en ponerse en contacto con los afectados por el escándalo de Cambridge Analytica, sólo lo ha hecho cuando el caso ha saltado a la opinión pública.

Ahora: Las compañías dispondrán de un plazo máximo de 72 horas para comunicar a la autoridad nacional de protección de datos cualquier fuga que suponga un riesgo para los particulares. También deben informar personalmente a los afectados sin demora.

Derecho a la portabilidad de los datos

Antes: Frente a lo fácil que resulta cambiarse de operador conservando el número de teléfono, los usuarios lo tenían muy complicado para llevarse sus datos desde una red social a otro servicio de la competencia. 

Ahora: Los clientes tienen derecho a pedir a su compañía que extraiga todos sus datos personales y los transmita al nuevo proveedor. El traslado debe hacerse en un formato de uso común y de lectura mecánica para que puedan utilizarse sin dificultad en otros sistemas. La portabilidad de datos facilitará, por ejemplo, marcharse a redes sociales que protejan mejor su intimidad. 

Derecho a la rectificación

Antes: Los usuarios dependían de la buena voluntad de las empresas para obtener una copia de todos los datos que éstas tenían sobre ellos.

Ahora: El reglamento consagra el derecho de los usuarios a solicitar el acceso a todos los datos personales que una compañía tenga sobre ellos, de forma gratuita, y a obtener una copia en un formato accesible. También pueden exigir que se corrijan los datos incorrectos, incompletos o inexactos.

Derecho al olvido (o al borrado)

Antes: El Tribunal de Justicia de la UE ya reconoció en 2014 el derecho al olvido, pero éste no figuraba expresamente en la directiva sobre protección de datos y los usuarios seguían teniendo problemas para borrar sus datos en las redes sociales.

Ahora: Los usuarios tienen un derecho al borrado claramente definido en el reglamento, reforzado en el caso de los menores. No obstante, su ejercicio queda limitado por el ejercicio de la libertad de expresión e información. Su aplicación en cada caso seguirá estando en manos de las autoridades de protección de datos o de los tribunales.

Sanciones para los incumplidores

Antes: Las autoridades nacionales de protección de datos disponían de mecanismos limitados para cooperar y escasos poderes para sancionar a las empresas incumplidoras.

Ahora: Las autoridades de protección de datos de los 28 países miembros pueden a partir de hoy imponer multas a las empresas de hasta 20 millones de euros o el 4% de su volumen de negocios mundial. Además, se crea una Junta de Protección de Datos de la UE, que reúne a los expertos de los 28, y que servirá para interpretar el reglamento de forma armonizada y adoptar decisiones vinculantes en caso de conflictos transfronterizos.