El RGPD que entra en vigor hoy da más control a los usuarios sobre sus datos
Las empresas deben obtener un permiso expreso para usar información privada
Hoy entra en vigor el Reglamento de Protección de Datos (RGPD), un único marco regulatorio para los 28 países de la UE que trata de evitar que cualquier empresa pueda recabar nuestros datos sin nuestro consentimiento expreso, que nuestra información personal circule sin control, y que otorga más control a los ciudadanos sobre la misma, al ampliar derechos ya existentes como el derecho al olvido y a la portabilidad. Además, el RGPD impone un régimen de sanciones para aquellos que lo incumplan, que puede llegar ser del 4% de su volumen de negocio o de 20 millones de euros.
Según el director de la representación de la Comisión Europea en Barcelona, Ferran Tarradellas, “el nuevo reglamento da a los europeos más control sobre los datos personales y les ofrece más protección en caso de que se haga un mal uso”.
El RGPD hace todo esto posible exigiendo una actitud más proactiva a las empresas y al imponer lo que se denomina protección por defecto y protección por diseño. A partir de hoy, el diseño de cualquier página o de cualquier aplicación tendrá que hacerse bajo los preceptos del RGPD, y la configuración predeterminada de privacidad deberá también ajustarse a lo que determina la norma. Eso quiere decir que ya no son aceptables las casillas de verificación premarcadas.
Estos días las bandejas de entrada se han llenado de correos electrónicos en los que se nos pide permiso para seguir teniendo nuestros datos en la base de datos de una empresa o para que esta nos siga mandando correos. Lo segundo es consecuencia de lo primero, ya que nuestra dirección de e-mail es uno de los datos que requieren de nuestro consentimiento para que cualquier compañía lo pueda almacenar. Y la avalancha de correos es consecuencia de lo que establece el RGPD sobre cómo se considera que se ha otorgado este permiso. Antes bastaba con navegar por una web para que se considerará que se había otorgado de forma implícita. Por eso muchas de las empresas que ahora nos piden que les autoricemos a guardar nuestra información personal no nos suenan de nada. A partir de hoy “debemos dar nuestro consentimiento específico, claro y libre para ceder nuestros datos personales”, recuerda Maria Àngels Barbarà, directora de la Autoritat Catalana de Protecció de Dades. Por eso, las empresas al momento de recabar este consentimiento deben de explicar de forma comprensible qué datos van a recoger y con qué finalidad.
En el terreno de los nuevos derechos que el RGPD da a los ciudadanos se añaden dos nuevos al derecho de acceso que ya existía en legislaciones anteriores. Concretamente el derecho al olvido, que implica que las empresas deben eliminar los datos de una persona si esta retira su consentimiento para que la empresa los tenga, y el derecho a la portabilidad, que permite que podamos recuperarlos en un formato portable, por ejemplo un excel de Microsoft.
En otro de sus artículos, el RGPD da a las empresas, en el caso de una brecha de datos, un plazo de 72 horas desde que se tiene conocimiento de la misma para comunicar individualmente a los afectados que su información privada ha sido robada.
Son tantas las nuevas obligaciones que el RGPD impone a las compañías europeas o que quieran ofrecer sus servicios en el marco de la UE, que incluso este prevé la creación –de forma obligatoria– de un nuevo puesto en el organigrama de las empresas: el delegado de protección de datos, que es el encargado de velar por el cumplimiento del reglamento en cada organización.
Por último, la regulación que entra hoy en vigor establece dos niveles de sanciones para los que la incumplan. El primero establece sanciones de hasta un máximo de 10 millones de euros o, en el caso de una empresa, hasta el 2% de la facturación anual. Esta primera categoría se aplicaría en casos menos graves, por ejemplo, si una empresa no realiza las evaluaciones que exige el reglamento. El límite máximo de 20 millones de euros o el 4% de la facturación anual se aplicará en el caso de una infracción grave de los derechos de los interesados.
Los que incumplan la norma pueden hacer frente a multas de hasta el 4% de su facturación anual