El próximo 25 de mayo del 2018 (después de un período de transición de dos años) el RGPD, o Reglamento General de Protección de Datos, entrará en vigor en todos los países de la Unión Europea con la intención de proteger los datos personales de sus ciudadanos. Muchos expertos creen que el nuevo estándar de la UE será modelado por muchos otras naciones, pero ¿cuáles son los cambios introducidos por el RGPD y qué significan para las empresas?
¿Qué es RGPD?
El Reglamento General de Protección de Datos (RGPD) es el reglamento con el que la Unión Europea pretende cambiar la forma en que las compañías almacenan y administran sus datos. Las compañías extranjeras que procesan datos de ciudadanos de la UE también están involucradas. Esta nueva ley de RGPD hasta cierto punto está empoderando a los ciudadanos de la UE a tener más voz y voto sobre algunas de las formas en que las compañías manejan sus datos personales. Más sin embargo, es importante aclarar que dichos cambios solamente benefician a los ciudadanos de la UE y no de otras regiones por ahora.
¿Qué hay de nuevo?
La principal novedad es, ante todo, la extensión del derecho de los ciudadanos a saber cuáles son sus datos. Los usuarios ahora pueden solicitar y obtener los datos almacenados por las empresas al igual que solicitar la cancelación o la transferencia a otro operador. Ahora, para obtener información sobre sus datos, en la mayoría de los casos, será suficiente con escribir un simple correo electrónico. Una empresa de todas maneras puede solicitar datos del cliente, como la dirección, para confirmar su identidad.
El usuario también puede solicitar la corrección o eliminación de datos después del vencimiento de un servicio. Por consecuencia, según este nuevo reglamento, las empresas se ven obligadas a eliminar los datos personales de sus clientes una vez que se termine el contrato; están obligadas a solicitar a sus usuarios que acepten los nuevos términos de uso y se requiere que estas compañías comuniquen los cambios a sus clientes de una manera fácil de entender. Después de recibir la información necesaria, los usuarios deben poder decidir libremente que hacer con su información personal.
¿Cómo tratar los datos de los niños?
Como en otras áreas, incluso en este aspecto, la regulación sigue siendo muy general. En el futuro, los servicios de Internet podrán procesar datos personales de usuarios de 16 años en adelante. Para aquellos menores de 16 años, se requiere el consentimiento de los padres. Sin embargo, las nueva regla no estipula cómo las empresas pueden determinar la edad del usuario o cómo el servicio puede identificar a los padres. Facebook, por ejemplo, propone vincular los perfiles de los niños menores de 16 años con los de los padres o que al menos los adultos proporcionen sus direcciones de correo electrónico.
Los usuarios deciden a quién dar sus datos
El RGPD proporciona el derecho a la transferibilidad de datos. Los usuarios deben poder transferir fácilmente los datos almacenados de un servicio a otro y así obtener un mayor control sobre ellos. Con base en lo último, no solo los datos del perfil como el nombre o la edad son transferibles sino también todo tipo de datos relacionados con la persona incluyendo las actividades realizadas en Internet. Compañías más grandes como Google o Facebook ya han hecho disponibles herramientas completas para permitir a los usuarios descargar sus datos. Sin embargo, el RGPD sigue sin estar claro al no proporcionar reglas precisas sobre cómo se va a gestionar.
¿Las fotos también son datos confidenciales?
Si las fotos se deben considerar datos confidenciales protegidos por el RGPD no está claro. En general, las imágenes en las que aparecen las personas se consideran datos personales. Sin embargo, el RGPD no se aplica al sector privado, sino solo al sector empresarial. Por esta razón, un individuo (a diferencia de las empresas) no está legalmente obligado a buscar el consentimiento.
Las penalidades se duplicaron
Para subrayar la importancia que la UE atribuye a los datos personales, se prevén sanciones mucho más exigentes que en el pasado. El artículo. 83 par. 4 prevé una sanción pecuniaria administrativa de hasta un máximo de 10 millones de Euros o el 2% de la facturación total de los negocios de una empresa. En caso de infracciones graves, las autoridades pueden aplicar multas de hasta 20 millones de Euros y para las empresas hasta el 4% de la facturación total del año anterior. A diferencia de lo que informaron varios periódicos en línea, la autoridad no se pronunció sobre la congelación de las sanciones por 6 meses.
¿Cómo funciona el pasaje?
Aunque el RGPD ha estado en vigor desde finales de mayo de 2016, se le ha otorgado dos años como una fase de transición para permitir que las compañías se preparen adecuadamente. Si bien la mayoría de las grandes empresas están listas para hacer frente al cambio, muchas PYME, trabajadores por cuenta propia y asociaciones aún no son conscientes del RGPD y aún no han tomado ninguna medida.
¿Qué pasará después del 25 de mayo de 2018?
El RGPD sigue sin estar claro en muchos de sus puntos. Es muy probable que los tribunales tengan que hacer algunos ajustes o aclarar algunos puntos. Las solicitudes se encuentran en el Tribunal de Justicia de la UE (TJUE) en Luxemburgo. La Directiva 2002/58/CE, conocida como la Directiva sobre privacidad electrónica, debe servir para aclarar algunos puntos. Originalmente habría tenido que retirarse con la entrada de la regulación de protección de datos, pero no fue posible conciliar los numerosos intereses en una sola directiva.
