En mayo entrará en vigor el Reglamento General de Protección de Datos de la Unión Europea (GDPR), una nueva regulación sobre protección de datos personales con impacto global. La misma fue diseñada para proteger y habilitar la privacidad de todos los ciudadanos, así como para “remodelar” la forma en que se mira la intimidad de las personas en el ciberespacio.
El GDPR es el reemplazo de la Directiva Europea de Protección de Datos Personales que, desde 1995, servía como guía en la recolección y tratamiento de los datos personales de ciudadanos europeos en internet.
Uno de los aspectos más relevantes es que el GDPR es aplicable a todas las empresas que procesan y mantienen los datos personales de los interesados que residen en la Unión Europa (UE), independientemente de la ubicación de la compañía.
Así las cosas, el GDPR no puede ser aplicado tanto a las organizaciones ubicadas dentro de la UE como a otras ubicadas fuera de esta, siempre y cuando las mismas ofrezcan bienes y/o servicios a la UE o, incluso, si monitorean el comportamiento y/o utilizan datos de sus residentes.
El reglamento entrará en vigor el 25 de mayo de 2018 y, a partir de ese momento, las organizaciones en que incumplan con este podrían enfrentar grandes multas. El mismo indica que cualquier información relacionada con una persona física o sus datos puede ser utilizada para identificar, directa o indirectamente, a dicha persona.
Por ende el uso o almacenamiento de un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica o una simple dirección IP bastarán para ser multado.
Lo anterior resulta grave si tomamos en cuenta de que, en el caso de México y según datos de PWC, 48% de las empresas incumple al menos con uno de los requisitos que marca como obligatorios la Ley General de Protección de Datos Personales en Posesión de Particulares.
Sanciones por incumplimiento
Las organizaciones que no acaten las normas del GDPR pueden recibir multas de hasta 4% de su facturación global anual o, en su defecto, €20 millones, que es la multa máxima que se puede imponer por las infracciones más graves, entre las que destaca, no tener suficiente consentimiento del cliente para procesar datos.
Ahora bien, existe un enfoque escalonado para multas. Ello significa que una empresa puede recibir una multa del 2% de su facturación anual por no tener sus registros en orden sin notificar a la autoridad supervisora y al sujeto de los datos sobre una infracción o por la no realización de la evaluación de impacto (artículo 28).
Es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores. Un controlador es la entidad que determina los propósitos, condiciones y medios del procesamiento de datos personales, mientras que el procesador es la que procesa datos personales en nombre del controlador.
En este escenario, la información almacenada en la nube no estará exenta de la aplicación del GDPR.
Adiós a las largas formas de consentimiento
Con el GDPR, las condiciones para el consentimiento se fortalecen, de modo que las empresas ya no podrán utilizar largos términos ilegibles y condiciones llenas de jerga legal en sus fórmulas de aceptación de servicios.
Al contrario, la solicitud de consentimiento debe darse usando un lenguaje claro y sencillo, y debe ser de fácil acceso. Asimismo, retirar el consentimiento debe ser tan fácil como lo es otorgarlo.
Por otro lado, se requerirá el consentimiento explícito para procesar datos personales confidenciales, en este contexto, un “aceptar” será suficiente. Sin embargo, para datos no confidenciales, el consentimiento “inequívoco” será suficiente.
En el caso de menores de edad, el GDPR establece que será necesario el consentimiento de los padres para procesar los datos personales en cualquier servicio en línea. Ahora bien, la normativa señala que los Estados miembros pueden legislar por una edad más baja de consentimiento, pero nunca podrá ser menor de 13 años.
¿Cómo proceder?
Aunque esto depende del tipo de empresa y su volúmen de operación, además de si son o no autoridades, el reglamento detalla que las empresas deberán contar con un “director de Manejo de Datos.
Entre otras tareas, este cargo tendrá que velar por el cumplimiento de disposiciones que incluyen la obligación de las empresas de permitir que los ciudadanos ejerzan su derecho al olvido (borrar completamente sus datos de internet), la opción de que otra empresas maneje sus datos personales o portabilidad de datos, además de darle a la gente la opción de elegir si quiere o no que la empresa tenga sus datos.
Para mayor información, se puede recurrir a la página oficial del GDPR, haciendo clic aquí.