Reglamento General de Protección de Datos

Con la entrada en vigor del Reglamento General de Protección de Datos, desde mayo de 2018 existe un conjunto único de normas aplicable a todas las empresas que operan en la UE, con independencia de dónde tengan su sede.

Gracias a estas normas de protección de datos más estrictas:

  • la ciudadanía puede ejercer un mayor control sobre sus propios datos personales

  • las empresas disfrutan de unas condiciones de competencia equitativas.

GPDR

El Reglamento General de Protección de Datos (RGPD, aunque es más conocido como GDPR, por sus siglas en inglés) es un conjunto de reglas centradas en la protección de la privacidad personal y el intercambio de datos entre fronteras. Todas las compañías con operaciones en la Unión Europea y quienes hacen negocios con sus 500 millones de habitantes deberán acatar este reglamento.

Este reglamento se ha convertido en un marco de referencia importante a nivel mundial, ejerciendo su influencia conceptual como marco de referencia en el resto del mundo.

Si bien existe activismo en Estados Unidos en relación al intercambio de datos y el nivel de consentimiento personal, la preocupación oficial por la privacidad de los datos es mucho más débil que en Europa. El programa Privacy Shield ("Escudo de privacidad", en idioma español), administrado por el Departamento de Comercio de Estados Unidos, el cual se aplica a los datos comerciales intercambiados entre la UE y Estados Unidos, no es una solución integral.

GPDR

Derecho a la rectificación

Las compañías tienen la obligación de rectificar los datos personales cuando el usuario se lo requiera en caso de ser incorrectos o incompletos. Esta rectificación debe contar con un fácil acceso a la tramitación de la misma por parte del ciudadano que lo requiera.

Derecho al olvido

Un ciudadano puede pedir que su información personal sea borrada de la base de datos de una determinada empresa proveedora de productos y/o servicios, siempre que se cumplan algunos requisitos como, por ejemplo, cuando finalice la relación contractual entre ambos o que no sean datos necesarios para el propósito por el que fueron cedidos.

Derecho a la portabilidad de los datos

Los usuarios pueden pedir a estas empresas sus datos personales en un formato de uso común, como por ejemplo word o excel, para poder ser enviados y cedidos a otra compañía. Esto agiliza el cambio de proveedores de servicios como los telefónicos. También se puede preguntar a las empresas para qué utilizan la información privada y personal del usuario.

Limitaciones de información a recopilar

Las empresas deben limitar su recopilación de datos a lo establecido por el reglamento. Ciertas categorías de datos están prohibidas, por ejemplo, origen étnico y orientación sexual. 

Consentimiento en un lenguaje entendible

Antes de recibir cualquier tipo de dato, las empresas deben solicitar consentimiento. Están obligadas a transmitir con claridad y sencillez para qué van a utilizar los datos personales de sus usuarios, realizando esta autorización de forma separada respecto a otras condiciones relacionadas con el tipo de servicio a contratar.

Fin de las casillas pre marcadas en los documentos de privacidad

Las empresas no pueden enviar a sus usuarios formularios con las casillas premarcadas para autorizar a la compañía a que envíen publicidad o cedan información personal a segundas e incluso terceras empresas cuando se den de alta en sus servicios. Es más, se prevé que el número de estas opciones aumenten ya que lo que antes se englobaba en una única autorización ahora el usuario debe dar el visto bueno a cada una de ellas.

 

Obligación de informar de ataques informáticos

Todas las organizaciones y compañías públicas y privadas de Europa, y también las extranjeras que operen en Europa, tienen un plazo de 72 horas para informar a las autoridades y a sus usuarios de cualquier robo o filtración de datos personales como contraseñas, correos electrónicos, teléfonos e incluso la IP de su conexión a Internet.

Alcance y multas

Todas las empresas que trabajen con los datos personales de residentes de la UE deben cumplir con GPR, independientemente de la ubicación de la empresa. Los distintos países de la UE tienen sus propias autoridades de supervisión que monitorean el cumplimiento. Las multas relacionadas con la ley GDPR pueden ser significativas, hasta el 4 % de los ingresos anuales de una empresa. Por lo tanto este reglamento puede tener afectación en otros países fuera de la UE, como por ejemplo en Argentina.

Mas información; GPDR en Argentina