MADRID, 5 María Medela y Juan Carlos Moratilla, Áudea Seguridad de la Información
Mucho se ha escrito y teorizado sobre qué deben hacer las empresas para adaptarse a los cambios que incorpora el Reglamento General de Protección de Datos (RGPD) 2016/679, que será de obligatorio cumplimiento a partir del próximo 25 de mayo. Sin embargo, ¿qué implica este cambio para los usuarios europeos? ¿Supone una mejora para nuestros derechos?
Uno de los problemas con los que se encontraba el usuario a la hora de presentar una denuncia contra una de las grandes empresas que operan en Internet era el conflicto entre la normativa europea y la del país donde está la compañía, que suele ser Estados Unidos o China.
Con la entrada en vigor del RGPD, los usuarios europeos no van a ser privados de su derecho fundamental a la protección de datos por el hecho de que la empresa esté ubicada fuera de la Unión Europea, siempre que sea una firma que ofrezca bienes o servicios --aunque sean gratuitos--, o se dedique al control del comportamiento de ciudadanos europeos.
Además, para evitar las complejas políticas de privacidad que nunca nos leemos y que aceptamos a ciegas, el RGPD exige que estas políticas sean más claras y sencillas. Para ello, una de las posibilidades es ofrecer un pequeño resumen con la información más esencial y con el texto completo de la política para ampliar detalles. También se plantea la posibilidad de incorporar dibujos o iconos que informen de forma gráfica sobre las finalidades para las que serán tratados nuestros datos.
EMPODERAMIENTO DEL USUARIO
Con el Reglamento General de Protección de Datos, se acabaron los 'packs' de consentimientos y las autorizaciones obligatorias para finalidades abusivas al acceder a un servicio. Con la nueva normativa, los responsables de estos servicios deberán ofrecer al usuario todas las posibilidades de aceptación o rechazo, según el caso, de las finalidades que no sean imprescindibles para su acceso a lo contratado.
Además, en los casos en los que sea necesaria una aceptación expresa, esta tendrá que ser libre, no pudiendo ser obligado el usuario a aceptar un tratamiento de sus datos como contraprestación para acceder al servicio. Incluso después de haber prestado el consentimiento, se podrá revocar sin que ello suponga necesariamente tener que dejar de utilizar el servicio.
NUEVOS DERECHOS
Además de los derechos que ya reconocía la normativa anterior (Acceso, Rectificación, Cancelación/Supresión y Oposición), el RGPD reconoce principalmente dos nuevos derechos. El primero de ellos es el de Limitación, que consiste en que nuestros datos sean bloqueados durante cierto tiempo por diversos motivos como, por ejemplo, mientras se verifica si los datos son inexactos o mientras se plantea una denuncia o reclamación.
El segundo es el derecho de Portabilidad, que tiene dos vertientes diferenciadas: la posibilidad de descargarnos nuestros datos en un formato electrónico y la de pedir a una empresa que remita nuestros datos a otra para ser dados de alta en otro servicio, aunque, a diferencia de la portabilidad en telecomunicaciones, esta portabilidad no implica la baja en el servicio original.
Por el contrario, el plazo de atención para estos derechos se amplía hasta un mes como regla general, frente a los diez días hábiles que establecía la normativa anterior.
RESPONSABILIDAD PROACTIVA DE LAS EMPRESAS
A partir de ahora, las empresas deberán prestar especial atención al término 'Accountability' (Rendición de cuentas), por el cual la empresa deberá adoptar un compromiso con el respeto a la intimidad de los usuarios.
Sin entrar en detalles, las empresas tendrán que preocuparse por el respeto a la intimidad de los usuarios frente a sus propios intereses comerciales o de cualquier otra naturaleza, además de poder demostrar el cumplimiento de la norma. Además, algunas empresas estarán obligadas a tener un Delegado de Protección de Datos (DPO), que servirá como punto de contacto para los usuarios cuando tengan alguna queja, reclamación o solicitud relacionada con la protección de datos.
INDEMNIZACIÓN
El apartado del RGPD que más revuelo ha causado es el increíble aumento de las sanciones económicas, que ascienden hasta 20 millones de euros o el 4% del volumen de negocio a nivel mundial. Sin embargo, las multas simplemente engrosan las arcas del Estado. Es decir, si un usuario denuncia a una empresa ante la Agencia Española de Protección de Datos (AEPD) porque sus datos personales han sido tratados de forma inadecuada, este no percibe nada del importe de la sanción.
No obstante, tanto la normativa anterior como la nueva contemplan la posibilidad de acudir a la vía judicial, de forma individual o mediante representación colectiva, para obtener una compensación económica por el daño sufrido. Otra cosa es que el importe de las indemnizaciones acabe estando a la altura del importe de las sanciones, algo que no es previsible.
En definitiva, todas las novedades del RGPD otorgarán al usuario un mayor poder frente a las empresas, especialmente frente a aquellas que quieran sacar un rendimiento económico a costa de su derecho a la intimidad.
