El Reglamento General de Protección de Datos (GDPR) es una
nueva ley de la Unión Europea, y es la razón por la que probablemente has
estado recibiendo correos electrónicos ininterrumpidos y avisos sobre
actualizaciones de la política de privacidad. Entonces, ¿cómo te afecta esto?
Esto es lo que necesitas saber.
La nueva ley GDPR entró en vigor el mes pasado, el 25 de
mayo de 2018, y cubre la protección de datos y la privacidad de los ciudadanos
de la UE, pero también se aplica a muchos otros países de diversas maneras, y
dado que todos los gigantes de la tecnología son grandes corporaciones
multinacionales, afecta a muchas de las cosas que se utilizan a diario.
El problema que la ley GDPR está tratando de resolver: Las
empresas están recopilando y abusando de tu información personal desde los albores de Internet, las empresas han estado
recopilando la mayor cantidad de datos posible sobre cualquier persona posible.
Es fácil recopilar esa información, por lo que no hay razón para que no la
acumulen.
El problema es que en los últimos años, muchas empresas han
sido sorprendidas por no proteger tu información personal o por abusar de ella.
El escándalo de Cambridge Analytica, en el que un investigador utilizó un
cuestionario de Facebook para recopilar enormes cantidades de datos sobre
millones de usuarios de Facebook y luego los vendió a una empresa consultora,
es sólo el ejemplo más reciente. El hacker de Equifax del año pasado fue
particularmente malo porque la información filtrada podría ser utilizada para
abrir tarjetas de crédito. Y esos son sólo los grandes escándalos. Muchas
compañías han estado haciendo un mal uso de tus datos en formas más pequeñas,
como vendiéndolos a compañías de publicidad de terceros.
La UE ha adoptado una visión poco favorable de la situación
y está utilizando el GDPR para tratar de rectificarla. Bajo las nuevas leyes,
las empresas que no protegen adecuadamente los datos de los consumidores o que
hacen un mal uso de los mismos se enfrentan a enormes multas.
¿Qué se consideran datos personales?
El GDPR protege "datos personales", que en este
caso significa "cualquier información relativa a una persona física
identificada o identificable", y esa es una definición bastante amplia. En
realidad, los datos personales generalmente van a incluir cosas como:
- Datos biográficos como tu nombre, dirección, número de teléfono, número de seguro social, etc.
- Datos relacionados con tu apariencia física y comportamiento tales como color de cabello, raza y estatura.
- Información sobre su educación e historial laboral, como tu salario, título universitario, GPA, identificación fiscal, etc.
- Cualquier dato médico o genético.
- Cosas como tu historial de llamadas, mensajes privados o datos de geolocalización.
Esto está lejos de ser una lista completa. La clave es que
cualquier dato que te haga identificable cuenta. En ciertas circunstancias, tu
color de cabello puede ser suficiente. En otros, incluso tu nombre completo, si
es algo común como Carlos Perez, podría no hacerte identificable.
¿Qué hace la ley GDPR?
La ley GDPR otorga a los residentes de la UE ocho derechos.
Los cuales son:
El derecho a ser informado: Si una empresa está recopilando
datos, debe informar a los interesados sobre lo que se está recopilando, por
qué se está recopilando, para qué se está utilizando, cuánto tiempo se va a
conservar y si se va a compartir con terceros. Esta información no puede ser
enterrada profundamente en términos de servicio que nadie lee; tiene que ser
concisa y en lenguaje sencillo.
El derecho de acceso: Si lo solicitan, cualquier entidad que
disponga de datos personales de un interesado deberá facilitarlos en el plazo
de un mes.
Derecho de rectificación: Si un interesado descubre que una
empresa tiene datos incorrectos sobre él, puede solicitar que se actualice. Las
compañías tienen un mes para cumplir.
El derecho al borrado: Un interesado puede solicitar que una
empresa elimine cualquier dato que tenga sobre él en determinadas
circunstancias. Por ejemplo, si los datos ya no son necesarios o si retiran su
consentimiento para su uso.
El derecho a restringir el procesamiento: Si una
organización no puede eliminar los datos de un sujeto de datos, por ejemplo,
porque los necesita para un caso legal, puede solicitar que la empresa limite
su uso.
El derecho a la portabilidad de los datos: Los interesados
tienen derecho a tomar sus datos personales de un servicio y utilizarlos con
otro.
El derecho a objetar: Si los datos se recogen sin
consentimiento, pero por intereses comerciales legítimos, por el bien público o
por una autoridad oficial, el interesado puede oponerse. La organización debe
entonces dejar de procesar los datos hasta que pueda probar que tiene razones
legítimas para hacerlo.
Derechos relacionados con la toma de decisiones
automatizada, incluida la elaboración de perfiles: El GDPR establece
salvaguardas para que los individuos puedan objetar u obtener una explicación
sobre las decisiones automatizadas que les afectan a ellos y a sus datos.
Otra gran parte de las regulaciones es que las compañías
deben tener una razón legal para recolectar o procesar cualquier dato. Una de
las razones legales es que han obtenido el consentimiento para usarlo para un
propósito específico, pero hay otras como que lo necesitan para cumplir con
obligaciones legales o que su recolección es de interés público.
Como puedes ver, los derechos que la ley otorga a los
residentes de la UE son bastante amplios y están obligando a las empresas que
recopilan datos de ellos a pensar realmente en lo que están recopilando y por
qué. Los viejos tiempos de recolectar todo lo que podían y esperar encontrar un
uso para ello más tarde ya no existen, al menos en Europa. Esta es la razón por
la que casi todos los servicios a los que has dado tu dirección de correo
electrónico se ponen en contacto contigo.
Lo que tiene a muchas compañías en un lío es que las
sanciones por no cumplir con el GDPR son bastante duras. Una organización puede
ser multada hasta con 20 millones de euros o el 4% de su volumen de negocios
anual en todo el mundo (lo que sea mayor) bajo las leyes. Para gente como
Amazon o Google, esto asciende a miles de millones de dólares en multas
potenciales si manejan mal los datos de los residentes de la UE.
¿Qué significa esta ley para los estadounidenses?
A lo largo de este artículo, nos hemos centrado en los
derechos que la ley GDPR otorga a los residentes de la UE por la sencilla razón
de que es una ley de la UE. En realidad no se aplica a los ciudadanos
estadounidenses, a menos que también residan en la UE. La razón por la que
recibe todos los correos electrónicos es que la mayoría de las empresas no
tienen forma de saber quién es residente de la UE y quién no.
Esto, sin embargo, no significa que esta ley no te afectará.
Esto ha causado que muchas compañías reevalúen cómo están manejando los datos
de los consumidores y algunas de ellas han empezado a hablar de extender los
derechos GDPR a residentes de fuera de la UE. Y también es más sencillo para
las empresas aplicar un único conjunto de reglas para todos los clientes en
muchos casos.
Por ejemplo, Apple ha lanzado un nuevo portal de privacidad
en el que los usuarios pueden descargar todos sus datos personales o eliminar
su cuenta, es decir, conceder a los usuarios los derechos de acceso y
cancelación. Por el momento, sólo las cuentas de la UE pueden utilizarlo, pero
Apple tiene previsto lanzarlo en todo el mundo en los próximos meses. Del mismo
modo, Facebook está murmurando acerca de dar las mismas protecciones GDPR a
algunos usuarios fuera de la UE.