El Reglamento General de Protección de Datos (GDPR) es una nueva ley de la Unión Europea, y es la razón por la que probablemente has estado recibiendo correos electrónicos ininterrumpidos y avisos sobre actualizaciones de la política de privacidad. Entonces, ¿cómo te afecta esto? Esto es lo que necesitas saber.
La nueva ley GDPR entró en vigor el mes pasado, el 25 de mayo de 2018, y cubre la protección de datos y la privacidad de los ciudadanos de la UE, pero también se aplica a muchos otros países de diversas maneras, y dado que todos los gigantes de la tecnología son grandes corporaciones multinacionales, afecta a muchas de las cosas que se utilizan a diario.
El problema que la ley GDPR está tratando de resolver: Las empresas están recopilando y abusando de tu información personal desde los albores de Internet, las empresas han estado recopilando la mayor cantidad de datos posible sobre cualquier persona posible. Es fácil recopilar esa información, por lo que no hay razón para que no la acumulen.
El problema es que en los últimos años, muchas empresas han sido sorprendidas por no proteger tu información personal o por abusar de ella. El escándalo de Cambridge Analytica, en el que un investigador utilizó un cuestionario de Facebook para recopilar enormes cantidades de datos sobre millones de usuarios de Facebook y luego los vendió a una empresa consultora, es sólo el ejemplo más reciente. El hacker de Equifax del año pasado fue particularmente malo porque la información filtrada podría ser utilizada para abrir tarjetas de crédito. Y esos son sólo los grandes escándalos. Muchas compañías han estado haciendo un mal uso de tus datos en formas más pequeñas, como vendiéndolos a compañías de publicidad de terceros.
La UE ha adoptado una visión poco favorable de la situación y está utilizando el GDPR para tratar de rectificarla. Bajo las nuevas leyes, las empresas que no protegen adecuadamente los datos de los consumidores o que hacen un mal uso de los mismos se enfrentan a enormes multas.
¿Qué se consideran datos personales?
El GDPR protege "datos personales", que en este caso significa "cualquier información relativa a una persona física identificada o identificable", y esa es una definición bastante amplia. En realidad, los datos personales generalmente van a incluir cosas como:
Datos biográficos como tu nombre, dirección, número de teléfono, número de seguro social, etc.
Datos relacionados con tu apariencia física y comportamiento tales como color de cabello, raza y estatura.
Información sobre su educación e historial laboral, como tu salario, título universitario, GPA, identificación fiscal, etc.
Cualquier dato médico o genético.
Cosas como tu historial de llamadas, mensajes privados o datos de geolocalización.
Esto está lejos de ser una lista completa. La clave es que cualquier dato que te haga identificable cuenta. En ciertas circunstancias, tu color de cabello puede ser suficiente. En otros, incluso tu nombre completo, si es algo común como Carlos Perez, podría no hacerte identificable.
¿Qué hace la ley GDPR?
La ley GDPR otorga a los residentes de la UE ocho derechos. Los cuales son:
El derecho a ser informado: Si una empresa está recopilando datos, debe informar a los interesados sobre lo que se está recopilando, por qué se está recopilando, para qué se está utilizando, cuánto tiempo se va a conservar y si se va a compartir con terceros. Esta información no puede ser enterrada profundamente en términos de servicio que nadie lee; tiene que ser concisa y en lenguaje sencillo.
El derecho de acceso: Si lo solicitan, cualquier entidad que disponga de datos personales de un interesado deberá facilitarlos en el plazo de un mes.
Derecho de rectificación: Si un interesado descubre que una empresa tiene datos incorrectos sobre él, puede solicitar que se actualice. Las compañías tienen un mes para cumplir.
El derecho al borrado: Un interesado puede solicitar que una empresa elimine cualquier dato que tenga sobre él en determinadas circunstancias. Por ejemplo, si los datos ya no son necesarios o si retiran su consentimiento para su uso.
El derecho a restringir el procesamiento: Si una organización no puede eliminar los datos de un sujeto de datos, por ejemplo, porque los necesita para un caso legal, puede solicitar que la empresa limite su uso.
El derecho a la portabilidad de los datos: Los interesados tienen derecho a tomar sus datos personales de un servicio y utilizarlos con otro.
El derecho a objetar: Si los datos se recogen sin consentimiento, pero por intereses comerciales legítimos, por el bien público o por una autoridad oficial, el interesado puede oponerse. La organización debe entonces dejar de procesar los datos hasta que pueda probar que tiene razones legítimas para hacerlo.
Derechos relacionados con la toma de decisiones automatizada, incluida la elaboración de perfiles: El GDPR establece salvaguardas para que los individuos puedan objetar u obtener una explicación sobre las decisiones automatizadas que les afectan a ellos y a sus datos.
Otra gran parte de las regulaciones es que las compañías deben tener una razón legal para recolectar o procesar cualquier dato. Una de las razones legales es que han obtenido el consentimiento para usarlo para un propósito específico, pero hay otras como que lo necesitan para cumplir con obligaciones legales o que su recolección es de interés público.
Como puedes ver, los derechos que la ley otorga a los residentes de la UE son bastante amplios y están obligando a las empresas que recopilan datos de ellos a pensar realmente en lo que están recopilando y por qué. Los viejos tiempos de recolectar todo lo que podían y esperar encontrar un uso para ello más tarde ya no existen, al menos en Europa. Esta es la razón por la que casi todos los servicios a los que has dado tu dirección de correo electrónico se ponen en contacto contigo.
Lo que tiene a muchas compañías en un lío es que las sanciones por no cumplir con el GDPR son bastante duras. Una organización puede ser multada hasta con 20 millones de euros o el 4% de su volumen de negocios anual en todo el mundo (lo que sea mayor) bajo las leyes. Para gente como Amazon o Google, esto asciende a miles de millones de dólares en multas potenciales si manejan mal los datos de los residentes de la UE.
¿Qué significa esta ley para los estadounidenses?
A lo largo de este artículo, nos hemos centrado en los derechos que la ley GDPR otorga a los residentes de la UE por la sencilla razón de que es una ley de la UE. En realidad no se aplica a los ciudadanos estadounidenses, a menos que también residan en la UE. La razón por la que recibe todos los correos electrónicos es que la mayoría de las empresas no tienen forma de saber quién es residente de la UE y quién no.
Esto, sin embargo, no significa que esta ley no te afectará. Esto ha causado que muchas compañías reevalúen cómo están manejando los datos de los consumidores y algunas de ellas han empezado a hablar de extender los derechos GDPR a residentes de fuera de la UE. Y también es más sencillo para las empresas aplicar un único conjunto de reglas para todos los clientes en muchos casos.
Por ejemplo, Apple ha lanzado un nuevo portal de privacidad en el que los usuarios pueden descargar todos sus datos personales o eliminar su cuenta, es decir, conceder a los usuarios los derechos de acceso y cancelación. Por el momento, sólo las cuentas de la UE pueden utilizarlo, pero Apple tiene previsto lanzarlo en todo el mundo en los próximos meses. Del mismo modo, Facebook está murmurando acerca de dar las mismas protecciones GDPR a algunos usuarios fuera de la UE.