Europa blinda los datos personales de los usuarios con sanciones millonarias
Empresas e instituciones se enfrentan a multas millonarias si no se adaptan a la nueva normativa europea, que hace hincapié en la protección del usuario
El 25 de mayo será de obligado cumplimiento el nuevo Reglamento general de protección de datos (RGPD), una normativa impulsada por la Unión Europea para establecer un criterio único a fin de tratar los datos personales. El Reglamento tiene como pilar fundamental la protección de los usuarios y prevé multas millonarias para empresas e instituciones si no cumplen con lo establecido. En concreto, el RGPD contempla sanciones de hasta 20 millones de euros o hasta el 4 % de la facturación anual del infractor.
De este modo, intentará poner fin a situaciones extendidas como recibir mensajes electrónicos con propaganda por el simple hecho de haber entrado en una página web para comprar algún producto o recibir mensajes vía WhatsApp de un ayuntamiento sin haber consentido estas comunicaciones. Son numerosos los cambios previstos en el RGPD, de los cuales destacan los siguientes.
Consentimiento inequívoco: hasta ahora lo habitual era el consentimiento tácito, es decir, que las empresas «entendían» que los usuarios daban permiso para utilizar sus datos personales si no lo rechazaban explícitamente. Con la nueva normativa, se da la vuelta a esta situación y las empresas deberán obtener un consentimiento inequívoco y verificable.
Transparencia en la información: las solicitudes para obtener datos personales deberán ser del todo comprensibles y transparentes con el motivo y el fin por los que se piden dichos datos.
Derecho al olvido: los usuarios tendrán en todo momento el control sobre sus datos; para ello, además de los derechos de acceso, rectificación, cancelación u oposición, las personas tendrán derecho al olvido, que supone un derecho de cancelación reforzado con el que quiere facilitarse que se borren los datos también en otros lugares donde puedan tratarse (como el rastro que queda en internet y servicios de almacenamiento en la nube).
Delegado de protección de datos: en muchos casos, las empresas que tratan datos personales deberán nombrar a un delegado de protección de datos (DPD), el cual deberá ser conocedor de la normativa y velar para que se cumpla, así como dominar la seguridad de los datos que gestione.
Un cambio de paradigma
Los expertos de los Estudios de Derecho y Ciencia Política de la UOC coinciden en que el RGPD establece un cambio de paradigma en el control de los datos personales. Miquel Peguera, experto en derecho en internet, asegura que hasta ahora «la normativa aplicable no ha sido capaz de proteger adecuadamente los derechos de los interesados y se ha creído necesario ofrecer mayor protección». Mònica Vilasau, profesora de Derecho civil, explica que «el cambio más importante es la introducción del principio de responsabilidad proactiva, ya que impone una mayor diligencia en los responsables del tratamiento». La experta en protección de datos asegura que empresas y administraciones no solo deberán cumplir la normativa, sino también «poder demostrar que poseen una actitud y adoptan medidas para realmente cumplir la normativa».
En este sentido, el profesor colaborador Carles San José explica que uno de los aspectos más relevantes de la nueva normativa es «la idea del enfoque del riesgo, ya que las medidas adoptadas para garantizar el cumplimiento del RGPD deben tener en cuenta los tratamientos y los riesgos para los derechos y las libertades de las personas. A partir de estos riesgos, es necesario adecuar y adaptar las medidas de seguridad que hay que implantar, con el objetivo de reducir al mínimo los riesgos».
Un reto para las administraciones
El sector público es uno de los actores interpelados por el cambio de normativa que más esfuerzos deberán hacer para adaptarse al RGPD. Carles San José explica que todas las administraciones públicas deberán aplicar el Reglamento «con la misma intensidad», independientemente de su dimensión, y esto puede provocar «dificultades en las entidades públicas con menos recursos (como los ayuntamientos pequeños), como ya ha sucedido con la legislación de transparencia, que tampoco tuvo en cuenta estas posibles diferencias e impuso las mismas obligaciones para todas las administraciones». Por su parte, Mònica Vilasau señala que «las administraciones tienen una tarea ingente por delante, que debe ir de la mano de la plena implantación de la normativa relativa a la administración electrónica».
El ahorro puede no compensar el coste
Miquel Peguera explica que «el coste de cumplir el RGPD es elevado, dado que se incrementan las obligaciones para tratar datos personales, en particular exigiendo medidas proactivas y de evaluación de impacto». Sin embargo, la normativa implica para las empresas y administraciones la supresión de una obligación formal existente hasta ahora, como es notificar a las autoridades la existencia de ficheros de datos personales.
Pero, a pesar de que existen algunas obligaciones que se han suprimido, «es cierto que la implantación de algunas exigencias del RGPD puede comportar un incremento de los costes económicos en las empresas, como la necesidad de disponer del delegado de protección de datos, aunque tampoco se exige a todas las empresas», explica San José. También «hay otros deberes, como llevar a cabo una evaluación de impacto, disponer de un registro de las actividades, implantar los principios de privacidad desde el diseño, etc., y todo esto también tiene un coste», asegura Vilasau.
0 comentarios:
Publicar un comentario