Las claves para entender el nuevo reglamento de protección de datos europeo

Cada vez que abre su bandeja de entrada en el correo electrónico encuentra un nuevo email del tipo «Hola, somos la empresa X y necesitamos que nos otorgue su consentimiento para guardar su información debido a que el nuevo Reglamento General de Protección de Datos (RGPD). Un marco legal, aprobado hace dos años y que desde este viernes es de obligado cumplimiento. Lo mismo ocurre con las aplicaciones instaladas en su móvil, que le indican que revise los términos de privacidad de su cuenta. No es casualidad: hoy es el «día D» en el tratamiento de la información que los europeos facilitan a las empresas, y las firmas se exponen a multas millonarias si no ajustan a la nueva ley. Pero, ¿cuáles serán los efectos de cara al usuario?


1. Consentimiento expreso, no tácito
La razón de los correos electrónicos que ha recibido es que la nueva normativa establece que las empresas deben contar con su permiso expreso para disponer y utilizar sus datos. Hasta ahora valía con el permiso tácito, es decir, la presunción de que el usuario aceptaba lo que no rechazaba. «Más alla de percibirse como un obstáculo, se tiene que ver como una oportunidad para que las compañías generen más confianza, algo que hemos visto como se pierde de la noche a la mañana en el caso de Facebook», explica Eduard Blasi, experto en derecho digital de Marimón Abogados.


2. Tiempo y uso concreto
Las compañías no solo están obligadas al consentimiento expreso, sino que deben especificar el uso y el tiempo concreto que tienen pensado disponer de estos datos. «En este aspecto existen muchas imprecisiones. El RGPD establece que se deben guardar no más del "tiempo necesario", pero ¿cuánto es eso?», critica Samuel Parra, jurista experto en protección de datos.


3. Legalidad de los emails
El citado aluvión de correos es, muchas veces, innecesario e incluso ilegal, fruto del desconocimiento general de las empresas. «Si se contaba con un consentimiento adecuado, no hace falta volver a pedirlo. Lo que está permitiendo saber tanto email es el gran número de entidades que cuentan con esta información, pese a no haber tenido relación alguna con los usuarios», asegura Sergio Carrasco, experto en derecho digital de Fase Consulting. ¿Y qué ocurre si no se da el consentimiento expreso? Que la firma en cuestión tendrá que eliminar dichos datos si no quiere enfrentarse a sanciones que pueden suponer hasta 20 millones de euros.


4. Aplicación sin que importe el país de origen
Las compañías que operen en Europa
deberán acatar el RGPD, independientemente de que estén registradas en países que no pertenecen a la Unión Europea. En esta misma línea, la normativa protege también a aquellas personas que se encuentren en territorio comunitario en el momento en que alguna de estas empresas ha infrigido la ley y los ciudadanos europeos podrán denunciar desde cualquier país de la UE aunque su residencia esté en otro distinto.


5. Robo de datos
El RGPD promete una mayor transparencia: además de informar claramente a los ciudadanos para qué y cómo procesan sus datos personales, deberán informar acerca de posibles brechas de seguridad en un plazo máximo de 72 horas. Si, por ejemplo, un banco sufre un ciberataque, sus clientes deberán conocerlo antes de tres días.


6. Descarga de toda la información a un «clic»
Además de los emails, han proliferado los botones en las plataformas de Google, WhatsApp o Apple que permiten la descarga de todos los datos que la compañía tiene del usuario. Se trata de otro de los requerimientos del RGPD, que introduce esta opción como obligatoria: los europeos tienen derecho a saber toda la información que las compañías poseen sobre ellos y a tener una copia electrónica.



7. El derecho al olvido
Aunque ya estaba en vigor, a partir de ahora se refuerza el llamado «derecho al olvido» y podrán solicitar a servicios de internet y empresas que tratan datos personales que borren todos sus datos o que se establezca el límite de tiempo que el usuario da permiso de uso de su información.


8. Mayor protección de los menores
La edad mínima aumenta de los 14 a los 16 años para acceder a los diferentes servicios digitales.


9. La letra pequeña, reflejada de forma clara
El nuevo reglamento establece que los términos de uso y las políticas de privacidad de datos deben redactarse y publicarse de una manera más sencilla y clara, es decir, comprensible para todos.


10. También los organismos públicos
La misma normativa se aplica de igual manera para las administraciones públicas. «Los datos personales serán recogidos con fines determinados y legítimos, y no serán tratados de manera incompatible con dichos fines», se recoge en la guía de la Agencia Española de Protección de Datos dirigida a los organismos públicos para que adecuen el tratamiento de la información ciudadana que recogen en padrones, documentos para subvenciones, bolsas de trabajo, recaudación de tasas o incluso actas de defunción.


Cada apartado tiene su propio objetivo, pero además pueden ser utilizados con «fines de archivo de interés público, fines de investigación científica e histórica o fines estadísticos», por lo que pueden acabar en estudios de miles de personas. Con restricciones, eso sí: que la información procesada se limite al mínimo imprescindible y que se evite que se pueda identificar directamente a la persona. «Por ejemplo, en ningún caso sería proporcional realizar una clasificación del número de ciudadanos por el tipo de orientación sexual de los establecimientos de una determinada zona de un municipio o el tratamiento del número de personas que se encuentran en un determinado espacio de culto religioso», se especifica en la guía.