A pesar de que las leyes siempre parecen ir un paso por detrás en el ámbito de la innovación y las nuevas tecnologías, hay que reconocer que Europa es una de las zonas del mundo que trabaja para estar al día en este aspecto.
Un claro ejemplo de este esfuerzo legal es el Reglamento Europeo de Protección de Datos (Reglamento UE 2016/679), que entró en vigor el 25 de mayo de 2016 y está en plena aplicación desde el 25 de mayo del 2018.
La General Data Protection Regulation (desde ahora GDPR) fue la actualización necesaria y completa de una norma que no se modificaba desde los años 90. Para actualizarla, se tuvo en cuenta no solo el avance tecnológico, sino también las nuevas formas de relacionarse, principalmente a través de las redes sociales. Sin duda, esta norma ha cambiado el tratamiento que empresas, instituciones y organizaciones deben dar a los datos personales.
¿Cuáles son los derechos vinculados a la protección de datos que se revisaron y añadieron en la GDPR?
Derecho de consentimiento: debe ser inequívoco
Desde la aplicación de la GDPR la aceptación de las condiciones de tratamiento de los datos personales no es algo que pueda deducirse del silencio, omisión o inacción del usuario al que nos dirigimos.
Es necesario un consentimiento “inequívoco” y “explicito”, o lo que es lo mismo, que se produzca una declaración del usuario, o bien una acción positiva que otorgue su conformidad. Por ello, la empresa o institución que capta los datos debe asegurarse de que el usuario ha otorgado el consentimiento.
Derecho a la transparencia: acceso a toda la información
Con la nueva norma, empresas e instituciones deben facilitar el acceso a información clara, inteligible y accesible del tratamiento de los datos personales. Esto incluye su trazabilidad, es decir, que se sea posible señalar en cada momento el recorrido de la información, desde que se genera hasta su almacenamiento, y también su custodia (quién tiene acceso), conservación (cuánto tiempo y el porqué), la recuperación, tratamiento, y la cesión y/o venta a terceros.
En la GDPR la transparencia también se refiere a la comunicación de los fines y usos que tendrán los datos, y estos fines y usos deben ser explícitos y legítimos.
Derecho de rectificación y adicción: corrigiendo lo inexacto
Otro de los dpuntos interesantes vinculados al derecho de acceso a los datos que define la GDPR es el de rectificación. Permite modificar datos personales inexactos o falsos. También incluye la adición de nueva información que no exista previamente.
Las empresas e instituciones deben facilitar este derecho a los usuarios, así como responder a todas las solicitudes de rectificación e informar a la persona interesada cuando el cambio se haya resuelto.
Derecho al olvido: desapareciendo de Internet
Uno de los derechos más demandados por los ciudadanos europeos y que introdujo la GDPR fue el derecho al olvido: la posibilidad de eliminar permanentemente información personal de Internet que atente contra el derecho a la intimidad y el derecho al honor, o que sea información obsoleta.
A diferencia del derecho de supresión (que implica borrar los datos), el derecho al olvido obliga a la empresa u organización a que tome las medidas necesarias para que los datos personales “desaparezcan” de las búsquedas en Internet y en las redes sociales.
Derecho de limitación: nuestros datos no sirven para todo
Como alternativa al borrado, con la GDPR los usuarios pueden solicitar que las empresas y organizaciones dejen de utilizar sus datos. Este derecho puede ejercerse cuando se pone en cuestión la exactitud de la información o el tratamiento que se hace de su información personal, pero estos datos deben ser conservados por imperativo legal.
Derecho de portabilidad: mejorando el flujo de datos en la UE
Con la GDPR, los ciudadanos europeos pueden solicitar en cualquier momento que sus datos sean transferidos a otro proveedor de servicios.
El derecho a la portabilidad pretende facilitar el flujo de datos personales en la Unión Europea, y de esta manera fomentar la competencia.
Derecho de seguridad: asegurando nuestros datos
La GDPR obliga a empresas y organizaciones a tener una actitud proactiva en el establecimiento de medidas de seguridad y el almacenamiento y tratamiento de los datos de clientes y/o usuarios.
Esta responsabilidad activa incluye acciones como un acceso seguro, copias de seguridad, medidas para evitar fugas de datos, malware y ataques. También deben comunicarse las posibles brechas de seguridad de esos datos.
La GDPR, tres años después
Desde su entrada en vigor efectiva y completa en mayo del 2018, se han impuesto más de 270 millones de euros en multas por incumplimiento en el conjunto de la Unión Europea. Y a pesar de que esta norma ha mejorado mucho el nivel de protección de los datos de los europeos, parece ser ya insuficiente.
Según declaraciones en el Financial Times de uno de los padres de la GDPR, el abogado y político Axel Voss, ya es necesaria una revisión de la ley que contemple el avance imparable de las nuevas tecnologías y la aparición de nuevas amenazas para los datos.
Según Voss, la actual GDPR no contempla nuevas tecnologías como el reconocimiento facial y de voz, el blockchain, la inteligencia artificial o la minería de textos y datos.
