El GDPR ya está aquí: qué cambia hoy con la ley más importante de internet en décadas

Uno de cada tres españoles piensa que no tiene ningún control sobre la información que da online. Creen que no hay manera de corregirla, cambiarla o borrarla. Sienten que una vez que le cuentan a una red social o a una compañía algo sobre ellos mismos, ya no hay vuelta atrás. La realidad no es tan extrema, pero una parte de razón no les falta: por lo general, es más fácil encontrar una aguja en un pajar que dar con el modo de gestionar tus datos online.

Esto cambia hoy, cuando ha entrado en vigor la Regulación General de Protección de Datos (GDPR). Si usted no es un ermitaño de Internet, a estas alturas ya estará al corriente de que algo se avecina, debido a las decenas de emails que habrá encontrado en su bandeja de entrada enviados por todo tipo de empresas con las que haya interactuado online. Pero, en la práctica, ¿qué es lo que cambia?

Tu ubicación también está protegida

La protección de los datos se reconoce en la Unión Europea como un "derecho fundamental". Para garantizarlo, la nueva regulación reemplaza unas reglas que databan de 1995 y que se habían quedado completamente obsoletas en los últimos veinte años de desarrollo de Internet. El GDPR no se limita a actualizar las normas para adaptarlas al siglo XXI, también las homogeneiza en toda la UE, poniendo fin al crisol de requisitos nacionales vigentes hasta ahora. Pero su importancia radica en que refuerzan el poder que tiene el usuario frente a las empresas en lo que respecta al uso de sus datos.

¿Qué se puede considerar y qué no un dato personal? Para que no haya dudas, el GDPR aclara que se trata de "cualquier información que tiene que ver con un individuo vivo e identificado o que puede ser identificado. Esto incluye su nombre, apellidos, dirección, cuenta de email o datos sobre su ubicación”. Este último parámetro, el de la situación geográfica, ha cobrado gran importancia desde la popularización de las aplicaciones con geolocalización de los usuarios y el riesgo de que se utilicen para rastrear sus movimientos.

Nuevos derechos

El GDPR incluye nuevas medidas para blindar el uso que hacen las empresas de esta información. Por ejemplo, incluye normas contra la revelación de los datos ("disclosure") no autorizada, el robo de identidad online y el abuso online, pero también medidas para dar más control al usuario sobre los datos personales y mejorar tu seguridad, tanto online como en la vida real. Esto incluye:

A partir de ahora se podrá pedir que borren tus datos personales si no quieres que sigan siendo procesados

- Derecho a recibir información clara y comprensible sobre cómo se están procesando los datos, sobre qué datos se están procesando y por qué están siendo procesados.

- Derecho a solicitar el acceso a tus datos personales que una organización tiene sobre ti.

- Derecho a solicitar a un proveedor de servicios online que transmita tus datos personales a otro proveedor, por ejemplo cuando se pasa de una red social online a otra, o cuando se pasa de un servicio de almacenaje de datos en la nube a otro.

- Derecho al olvido: se podrá pedir que se borren tus datos personales si no quieres que sigan siendo procesados, y no hay una razón legítima para que la compañía los guarde. Eso incluye el famoso derecho al olvido, la clásica batalla con Google. “Cuando alguien introduce tu nombre en un motor de búsquedas como Google y aparecen resultados que incluyen enlaces a artículos antiguos de periódicos que hablan sobre una deuda que hace tiempo que ya saldaste, podrás pedir a Google que los borre”, recalca la Comisión Europea.

- En caso de que una compañía necesite tu consentimiento para procesar tu información, tendrán que pedírtelo e indicar de manera clara el uso que van a hacer de tus datos personales. Se trata de evitar que “las compañías se escondan detrás de una larga lista de términos y condiciones legales que nunca lees”. También se exigirá que el usuario dé su visto bueno de manera clara y activa, de modo que nunca se pueda interpretar que da su consentimiento por omisión.

- Si existe un robo de datos o estos se pierden, las compañías estarán obligadas a comunicarlo sin retraso tanto a los usuarios afectados, como a las autoridades. De no hacerlo, podrán ser multadas. Un precepto que, de haber estado en vigor en 2014, hubiera supuesto que Facebook tendría que hacer frente a una penalización por el caso de Cambridge Analytica

Multas millonarias para empresas que incumplan

Además de todas las medidas pensadas para los usuarios, el GDPR también pone la mirilla directamente sobre las empresas. Si las empresas abusan o utilizan de manera incorrecta los datos personales, ese codiciado bien inmaterial que tantos beneficios da hoy en día, podrán ser sancionadas. Las multas, por primera vez en la UE, serán potentes: hasta 20 millones de euros o el equivalente al 4% de los ingresos globales anuales de la compañía en cuestión.

Pero las empresas también salen ganando con la GDPR. Ésta armoniza las normas de protección de datos en toda la UE, lo que facilitará que las empresas den el salto de hacer negocios a otros países europeos. Una menor carga administrativa -por ejemplo, no tendrán que notificar a cada una de las autoridaes nacionales de protección de datos qué información están procesando, sino que habrá una ventanilla única- que Bruselas espera que se traduzca también en unos costes menores.

Los requisitos de la GDPR se aplicarán a todas las compañías que operan en la UE, sean o no sean europeas y estén o no basadas en este territorio. Las pymes recibirán un trato especial para facilitar su adaptación al nuevo reglamento.