La filtración de información del Caso Audios y el proceso de investigación ética contra el abogado del imputado, llevó a...
Europa despertó hoy con una nueva normativa de protección de datos personales
Tras 2 años de vacancia, comenzó a regir el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que exige consentimiento explícito, libre e informado para el tratamiento de datos personales, impone límites respecto de los menores de 16 años y consagra los derechos de rectificación y al olvido, defendidos previamente vía jurisprudencial.
25 mayo, 2018
-Si recibiste decenas de correos de distintas aplicaciones y sitios web, explicándote sus nuevos términos, condiciones y política de datos, es porque hoy comenzó a regir el nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea, tras 2 años de vacancia, luego de ser promulgado el 27 de abril de 2016, y aquellas empresas o servicios web que habían obtenido el consentimiento para tratar información personal de sus usuarios con anterioridad, estaban obligados a renovar su sistema, si es que no se ajustaba a esta normativa.
«Nos han llegado esos correos porque las empresas necesitaban avisar a sus usuarios que había habido cambios en la legislación y que ahora tendrían que trabajar de forma diferente con tus datos personales», explica Claudia Rossi, abogada especialista en la materia.
Pero aclara que esa dinámica se dio en el entendido de que se trataba de entidades que ya tenían los datos de un usuario en sus registros: «En tal sentido, si una organización que opera en la Unión Europea no actualiza su forma de trabajo en relación con los datos personales que trata, puede verse expuesta a serias sanciones, lo que implica multas por infringir el RGPD de hasta los 20 millones de euros», dice.
¿Tiene asidero la percepción de mucha gente respecto de que todo va a seguir más o menos igual y que estas actualizaciones de políticas sólo servirán para que usen con menor riesgo nuestros datos? La respuesta de Rossi es que podría ocurrir. «Efectivamente puede haber empresas que se estén aprovechando de esto y vía email nos soliciten nuestro consentimiento, que no tenían, pero hay que tener presente que ahora no sirve un consentimiento genérico», aclara. Así que el llamado es a ser cuidados y leer lo que estamos aceptando.
Nuevos derechos y obligaciones
El Reglamento, que ha sido calificado como el cambio más importante en regulación de privacidad de datos en los últimos 20 años, trae consigo nuevos principios, obligaciones y derechos, que tienen por objeto “devolver a los ciudadanos el control de sus datos personales y garantizar en toda la UE unos estándares de protección elevados y adaptados al entorno digital”.
Así como surgen nuevas obligaciones para las empresas y entidades que en sus operaciones reciban o usen información de este tipo, nacen derechos y garantías para los ciudadanos, como que la información de los datos que se comparten esté disponible y que ya no baste el consentimiento tácito para habilitar su tratamiento, sino que siempre deba ser explícito.
La norma contempla evaluaciones de impacto sobre la privacidad, ampliación de datos sensibles y garantías adicionales para la transferencia internacional de datos, entre otros cambios, como la solicitud de bloqueo temporal de tratamiento de datos y un procedimiento de denuncias. Junto a ello, el derecho al olvido juega un papel preponderante, pues permite revocar el consentimiento ya otorgado (Ver más adelante).
Como se indica en International Financial Law Review, el foco ha estado puesto en el marco legal, pero poco se ha discutido sobre el cambio cultural que implica: «Las empresas no se podrán dar el lujo de mirar a la protección de datos como una responsabilidad menor, sino como un imperativo del negocio, aplicable a todos los niveles».
Las empresas, administraciones, instituciones y otros organismos que no cumplan con el RGPD podrán ser sancionados con hasta € 20.000.000 o el 4% del volumen de negocios anual del año financiero anterior. A su vez, los ciudadanos tendrán derecho a ser indemnizados.
Voluntad libre, específica, informada, e inequívoca
De acuerdo a la norma, los usuarios deben dar su consentimiento explícito para que las entidades puedan hacer uso de sus datos. Es reuisito para ello que el lenguaje de las cláusulas de privacidad sea “claro y comprensible”.
“El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal”, establece el reglamento.
Esto incluye distintos tipos de consentimiento como marcar casillas en sitios web, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información o cualquier otra forma que indique claramente las reglas del juego.
Tratamiento de datos de menores
Los niños tienen una protección específica, dado que podrían tener menos conciencia de los riesgos de compartir su información personal y, por ende, quedar más expuestos. Por ello, desde hoy, se le requerirá a los padres de los menores de 16 años, o al titular de la patria potestad o tutela, que autoricen el tratamiento de datos.
WhatsApp fue uno de los primeros en comenzar a adaptarse. Justo hace 1 mes, la aplicación de mensajería publicó en su sitio web: “Si vive en un país de la Unión Europea, debe tener al menos 16 años para usar nuestros servicios”.
No obstante, los países miembros de la Unión Europea podrán cambiar la edad mínima por el Parlamento Europeo, a través de sus propias leyes.
Derecho de rectificación y al olvido
El artículo 16 del reglamento europeo dispone: “El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento, la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional”.
Otro recurso que tendrán los ciudadanos es el derecho de supresión (o al olvido), que crea el derecho de limitación y el de portabilidad. Así, el usuario tendrá la posibilidad de exigir que se suprima su información personal, sin que la entidad que la tenga guardada se pueda negar a ello, pero esta facultad está prevista en carácter de excepcional, sólo para situaciones específicas. Por ejemplo, cuando los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o que la información haya sido tratada ilícitamente.