La nueva normativa europea de protección de datos personales- de personas físicas- ha supuesto un cambio de mentalidad en gran parte del sector empresarial europeo debido principalmente a dos motivos:
- Es de aplicación a toda persona, física o jurídica, que trate dichos datos y esté situada en la Unión Europea (UE) o, no estando situada en la UE, trate datos de residentes en la UE, y
- El régimen disciplinario impone unas sanciones muy superiores a las que establece el sistema actual.
Es decir, le aplica a todo el mundo y, en caso de infringir la normativa y detectarse dicha infracción, la sanción podría incluso determinar la continuidad del negocio del infractor, pues estamos hablando de sanciones de varios millones de euros. Por esta sencilla razón, el Reglamento General de Protección de datos (GDPR, por sus siglas en inglés) va a ser tenido en cuenta por las empresas que tratan datos de carácter personal (que son la totalidad de ellas) y por ello ya muchas empresas están inmersas en procesos de adecuación al GDPR y otras muchas están viendo cómo adecuarse. En cualquier caso, ya estén adecuadas, ya estén en proceso de adecuación, o incluso no adecuadas, son conscientes de las implicaciones que el GDPR conlleva y ése ya es un gran paso, pues hasta la entrada en vigor de esta normativa algunas empresas ignoraban que tuvieran obligaciones en materia de protección de datos.
Es necesaria la implicación de los sujetos afectados para el éxito del GDPR
Pero el GDPR no sólo está pensado para que lo conozcan y apliquen los sujetos obligados, sino que es necesario que las personas afectadas (los interesados cuyos datos personales se están tratando) conozcan esta normativa, al menos en cuanto a sus derechos se refiere. Hemos oído recientemente el escándalo de fuga de datos- o recogida no consentida- por parte de la mayor red social del mundo, pero no parece que el usuario final afectado- quien tiene abierta una cuenta en dicha red social- se haya enterado de qué infracción de la normativa de protección de datos se ha cometido (en caso de que así haya sido), qué perjuicio le ha supuesto o qué derechos tiene y cómo puede ejercitarlos ante aquéllos que traten sus datos personales.
Qué derechos tiene el interesado actualmente
Las personas cuyos datos se tratan tienen una serie de derechos que pueden ejercitar ante las personas que los tratan, ya sean responsables de tratamiento o encargados (recuérdese que el encargado es aquél que trata los datos conforme a las instrucciones y por cuenta del responsable). Estos derechos, que ya venían recogidos en la actual LOPD desde sus inicios, son los conocidos derechos ARCO: acceso, rectificación, cancelación y oposición.
El derecho de acceso permite a los interesados saber si se están tratando sus datos, qué datos suyos se están tratando y en qué condiciones (finalidad, cesiones, transferencias, plazo de conservación, etc.).
El de rectificación permite al interesado rectificar datos que no se corresponden con la realidad o están desactualizados (inexactitud de los datos).
El de cancelación permite bloquear el tratamiento de los datos que sean inexactos o incompletos para, una vez pasado el plazo legal de conservación para la atención de posibles responsabilidades, sean suprimidos.
Finalmente, el derecho de oposición implica que el interesado puede solicitar que no se traten sus datos o se cese en dicho tratamiento siempre que haya un motivo legítimo y fundado.
Qué debe conocer un afectado o usuario (“interesado” a efectos del GDPR)
El GDPR ha incorporado a la regulación de protección de datos nuevos derechos. En primer lugar, se ha modificado la extensión del derecho de cancelación, ahora llamado derecho de supresión o derecho “al olvido”. Es más efectivo que el de cancelación pues, como hemos visto, en el anterior formato los datos se bloqueaban y ahora se suprimen directamente, siempre que concurran una serie de circunstancias, como que los datos ya no sean necesarios, sean tratados ilícitamente, o que el interesado se oponga o retire el consentimiento.
También se reconoce el derecho a la limitación del tratamiento en el caso de que no queramos que se sigan tratando los datos, pero tampoco queremos que se supriman.
El GDPR, con vistas a facilitar al interesado la libertad de decidir con qué empresa contratar y que ello no suponga un problema a la hora de traspasar los datos de una entidad a otra, ha incorporado el derecho a la portabilidad de los datos. Éste permite traspasar directamente los datos personales de una entidad a otra en un formato estructurado, o bien entregarlos en dicho formato al interesado.
Finalmente, el GDPR ha introducido el derecho a no ser objeto de decisiones basadas en tratamientos automatizados, lo cual restringirá la posibilidad de que las empresas elaboren perfiles de nosotros tras recabar de forma automática datos personales y llevar a cabo acciones basadas en dichos tratamientos.
Es esencial que los interesados conozcan estos derechos y sepan que pueden ejercitarlos en cualquier momento, de forma gratuita y que no les suponga un esfuerzo gravoso.
¿Cómo comprobar, a simple vista como usuario, que una empresa cumple el GDPR y es fiable?
Si estás navegando en Internet y quieres comprobar si una determinada empresa o web cumplen con la nueva normativa europea de protección de datos, debes comprobar que se cumplen, entre otros, los siguientes requisitos (siempre que recaben datos personales):
- Se muestra debajo de la página la Política de Privacidad. Si está adaptada al GDPR, la Política de Privacidad ya no hablará de ficheros inscritos en la AEPD y deberá mencionar los derechos que se han citado, los fines del tratamiento, la base legal del mismo, y las cesiones o acceso a los datos, en su caso, entre otras obligaciones.
- Siempre que debas enviar datos, ya sea a través de un formulario, un mensaje o subir una foto, deberá avisarte de que debes prestar el consentimiento para el tratamiento de dichos datos y la casilla para prestar el consentimiento no puede estar premarcada.
- Deben avisarte de la utilización de Cookies nada más entres en la página web, y comprueba que dicho Aviso de Cookies existe y no sólo se trata de una alerta en un banner.
- Si se trata de una empresa con la que ya has tratado y diste en su día el consentimiento, a partir del 25 de mayo de 2018 tendrán que pedirte este consentimiento de nuevo, de acuerdo a las condiciones que impone el RGPD.
En definitiva, como usuario, como afectado, como persona dotada de derechos, como son el derecho a la privacidad y a la protección de datos personales, has de concienciarte de esta nueva realidad, la del tratamiento diario y masivo de tus datos personales y no puedes ignorar ni los peligros que ello conlleva ni los derechos que tienes para contrarrestarlos.