Es importante hacernos las siguientes preguntas. ¿Hasta qué punto somos dueños de nuestros datos? ¿Qué uso pueden hacer terceros de nuestra información? Pueden parecer dos preguntas sencillas pero que, sin embargo, tenían una difícil respuesta hasta el día de hoy. Todos conocemos casos en donde empresas, marcas o entidades han tenido grandes dificultades con la legislación de algún país en materia de protección de datos.
El caso más reciente, sirviendo de ejemplo, lo tenemos en Facebook al ser condenado en Alemania por incumplir su ley de protección de datos al utilizar la información de los usuarios sin su consentimiento al actuar al borde de su legislación.
Nuestro país, con la entrada en vigor de la nueva ley de protección de datos, no solo cumple con las obligaciones recogidas en el “Reglamento General de Protección de Datos” (RGPD) publicado en el Diario Oficial de la Unión Europea (UE) el pasado 4 de mayo de 2016, sino que también se culmina el arduo proceso encabezado por la Comisión Europea (CE) para la regulación de la privacidad en toda la UE, derogando a la Directiva 95/46/CE, y en donde sus ciudadanos resultan los más beneficiados gracias a las mejoras que introduce en un intento de adaptarse, esta vez sí, al mundo digital.
La nueva norma introduce varias figuras donde se destaca el concepto de responsabilidad activa en donde empresas y responsables de ficheros deben disponer de una serie de medidas, para que puedan ofrecerse garantías que permitan al consumidor pleno control de los datos que comparte y de su seguridad. Lo que viene a ser que el usuario será ahora y más que nunca dueño de sus datos, sujeto activo del proceso y no una figura pasiva donde ahora el responsable último de la seguridad de los datos será la empresa con la que el cliente contrata el servicio.
Es momento, por tanto, de que empresas e instituciones revisen sus procesos en la manera en que procesan la información personal de sus clientes antes de que comience la cuenta atrás, que finalizará el próximo 25 de mayo con la entrada en vigor de la nueva normativa.
No hacerlo así supone exponernos a cuantiosas multas, ya que la nueva norma establece sanciones que podrán llegar a los 20 millones de euros o al 4% de la facturación global de la compañía. Hay que recordar que hasta el momento la multa máxima en materia de protección de datos en España es, hasta la fecha, 600.000 euros. Es claro por tanto el impacto económico que conlleva la posibilidad de hacer caso omiso y no adaptarse a sus novedades.
Además, un punto importante del nuevo reglamento es que obligará, como principio de transparencia, a las empresas a notificar en 72 horas las brechas de seguridad que sufran y que supongan el robo de información personal de sus clientes. Casos como los robos de información de eBay o el especialmente escandaloso caso de Yahoo, que ocultó un importante robo masivo de contraseñas (más de 500 millones) en 2014 hasta bien entrado 2016, no podrán volver a darse. Para evitarlo las empresas además deberán realizar evaluaciones de Impacto o “EIPD”, para determinar los riesgos en el tratamiento de datos de carácter personal y así poder mitigar o suprimir los mismos.
Es necesario tener en cuenta que a partir de este momento también debemos considerar que toda medida tomada a futuro debe ser diseñada bajo el principio de “privacy by design”, es decir, que cada vez que un usuario o cliente, sin importar su antigüedad, adquiera un nuevo producto o servicio, la privacidad que vendrá por defecto será la más estricta, y no la más laxa, como ocurre muchas veces ahora.
Se exige además que exista un consentimiento libre, informado, específico e inequívoco que requiere una acción positiva del interesado, por lo que no será válido el consentimiento tácito de la misma forma en que se venía entendiendo hasta la fecha, es decir, el que se entendía prestado a partir de una situación de silencio o inacción.
Diversas compañías como la tecnológica TokApp llevan tiempo aplicando estas nuevas normativas como elemento diferenciador, algo que otras compañías deberán emular a partir de ahora para adaptarse a la normativa. En relación con la protección de datos de carácter personal, TokApp hace un exigente cumplimiento sobre el mismo constando el fichero correspondiente debidamente inscrito en la Agencia española de Protección de Datos y facilitando al usuario el proceso para que pueda ejercitar sus derechos de acceso, rectificación, cancelación y oposición.
Esto también se aplica en varios derechos que hasta ahora los usuarios venían demandando y que les afectaba especialmente en el mundo digital y que, gracias a la adecuación de la norma, ya son posibles. A todos nos suena el conocido como derecho al olvido. Donde básicamente se resume en el derecho que tiene todo usuario en ser borrado de cualquier base de datos en donde figuren registros sobre el mismo.
Hasta el momento una empresa podía borrar nuestros datos pero mantener un registro oculto a modo de copia de seguridad o al haber “cedido” nuestros datos en algún momento a terceros hacer la tarea de “desaparecer” muy complicada. Esto cambia con la nueva norma, el usuario puede conocer al detalle el tratamiento que se hacen de sus datos, cesión a terceros, etc., siendo la empresa prestadora de servicio la que se hace responsable llegado el momento de facilitar la aplicación del derecho antes citado.
El derecho a la portabilidad, que complementa al derecho de acceso, es por tanto otra de las novedades introducidas que debe ser tenida muy en cuenta, ya que permite a los usuarios obtener los datos que han proporcionado a una entidad/empresa/organización (responsable del tratamiento) en un formato estructurado, de uso común y de lectura mecánica. Lo que posibilita no sólo que los datos puedan ser sean tratados de manera automatizada, mejorando nuestra privacidad, sino también transmitirlos de un proveedor o prestador de servicios a través de su autorización o contrato.
En un escenario tan conectado y complejo como es el entorno digital actual. la introducción de estas novedades, aún como resultado de la adecuación de nuestra legislación a las obligaciones recogidas en el “Reglamento General de Protección de Datos”, es sin duda una respuesta a las demandas más comunes realizadas por consumidores y una gran oportunidad permitirá a empresas mejorar en su oferta de servicios dentro del marco común que representa Unión Europea.
