Incluso los lectores menos atentos habrán escuchado decir que el futuro está en los datos, el nuevo oro, petróleo o Santo Grial. Con la evolución y afirmación de tecnologías como big data, geolocalización o machine learning, entre otras, los datos encarnan como nunca en la historia el concepto expresado por el filósofo Francis Bacon, según el cual “conocimiento es poder”. A la luz de esta relevancia creciente, los marcos normativos han sido modificados en todo el mundo para proteger la privacidad del usuario.

Sin lugar a dudas, el evento más importante en este sentido ha sido la introducción del RGDP (Reglamento General de Protección de Datos), el reglamento europeo 679/2016, en vigor desde el 25 de mayo de 2018 en todos los estados miembros de la UE, después de cuatro años de discusiones y negociaciones.

Antes del RGDP existía la directiva de protección de datos 95/46/CE de octubre de 1995, aprobada en un momento en el que apenas el 1% de los ciudadanos europeos tenía acceso a Internet y los problemas de privacidad en línea eran casi ciencia ficción. Desde entonces, la red ha crecido exponencialmente, aumentando la cantidad de datos en circulación, hasta alcanzar unidades de medida desconocidas para la mayoría de las personas.

La forma en la que se recopilan, almacenan y utilizan estos datos también ha ido cambiando radicalmente. Por esta razón, ha sido necesario redactar el RGDP, cuyo objetivo principal es devolver a los ciudadanos el control de sus datos personales. Entre otras cosas, mediante la obligación por parte de todas las organizaciones públicas y privadas de informar a sus usuarios antes de comenzar a recopilar y realizar cualquier operación con sus datos.

Este es el propósito del aviso de privacidad, ese largo formulario que hay que firmar en el momento de cerrar un contrato y que resume las medidas tomadas por la empresa o el profesional en el almacenamiento y procesamiento de los datos de otros. Con el RGDP esta comunicación ha pasado de ser un simple trámite a una herramienta de información y tutela.

Cómo debe ser un aviso de privacidad

El concepto de aviso, expresado en los artículos 12, 13 y 14 del RGDP, contiene toda la información que la empresa debe proporcionar al sujeto cuyos datos van a procesarse. En primer lugar, es necesario indicar quién es el interesado, es decir, la persona física a la que se refieren los datos personales, y quién lleva a cabo el procesamiento. La información debe ser “concisa, transparente, inteligible y de fácil acceso, con un lenguaje simple y claro, particularmente en el caso de información destinada específicamente a menores de edad. La información se proporciona por escrito o por otros medios, incluido, cuando corresponda, por medios electrónicos”.

Entre los principios legales, que animan el RGPD, el principal es el de la transparencia. Es decir, hay que redactar avisos claros, transparentes, comprensibles y completos, y cada organización debe identificar necesariamente las bases legales en las que basa la recopilación y el procesamiento de los datos.

El responsable del tratamiento de los datos está obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, así como a explicar sus motivos en caso de que no fuera a atenderlas. Además, es obligatorio indicar el período de conservación de los datos y, en consecuencia, eliminarlos una vez que se haya excedido el plazo indicado.

La entidad que recopila los datos también debe especificar los datos de contacto para cualquier reclamación o para el ejercicio de los derechos garantizados. Finalmente, se debe indicar si los datos se comunicarán a otros sujetos o se transferirán a otro país. En ese caso, es obligatorio agregar más detalles, por ejemplo, si se trata de un país fuera de la Unión Europea con garantías adecuadas de protección de datos.

¿Cuáles son los datos recopilados?

El aviso de privacidad debe indicar claramente qué datos personales se recopilarán y para qué fines, un elemento que normalmente depende de la actividad de la organización.

Además de la personalización de servicios y la inclusión en campañas de marketing, el procesamiento de los datos personales puede ser necesario, por ejemplo, para cumplir con obligaciones y ejercer derechos en el campo de la legislación laboral y la seguridad social, para atender a razones de interés público relevante, o para determinar, ejercer o defender un derecho en un juicio. También pueden usarse para fines de medicina preventiva, investigación científica o histórica, o con fines estadísticos.

En definitiva, cuando firmamos un aviso de privacidad, aceptamos la recopilación y el tratamiento de nuestros datos personales solo para el uso que nos explicitan. Y nada más. Pero, ¿cuáles son exactamente esos datos? En general, se trata de cualquier información que perfile a un individuo por sus características, relaciones, hábitos y estilo de vida, entre otros.

En concreto, se consideran datos personales la información de identificación: nombre, apellido, fecha y lugar de nacimiento, domicilio, imágenes de la persona; la información referente a los llamados datos sensibles: orientación sexual, condiciones de salud, origen racial y étnico, creencias religiosas, filosóficas, opiniones políticas, pertenencia a partidos, sindicatos y organizaciones de diversos tipos; información judicial, que puede revelar la existencia de medidas judiciales; y también datos relacionados con las nuevas tecnologías: dirección IP, datos de geolocalización, datos genéticos y biométricos.

Cómo funciona el consentimiento

No obstante, aunque se haya otorgado el consentimiento para el procesamiento de nuestros datos personales mediante la firma del aviso de privacidad, el RGPD establece que quien lo otorga tiene derechos que puede ejercer durante todo el tiempo del procesamiento. Entre estos están:

• El derecho a estar informado en todo momento sobre cómo y por qué se procesan los datos.
• El derecho a acceder a los datos.
• El derecho a corregir los datos.
• El derecho a eliminar los datos.
• El derecho a la portabilidad de los datos, es decir, solicitar que se transfieran directamente a otra entidad, cuando sea técnicamente posible.
• El derecho a objetar, es decir, a pedir a la organización que procesa los datos, en función de su propio interés legítimo o como parte de una actividad de interés público o por una autoridad oficial, que no los use.
• El derecho a no estar sujeto a procesos automatizados, como la elaboración de perfiles.

En particular, el artículo 7 del reglamento regula el consentimiento. Primero, el procesador de los datos debe poder demostrar en cualquier momento que la parte interesada ha dado su consentimiento libremente. Según el legislador europeo: “el consentimiento debe expresarse a través de un acto inequívoco positivo con el que el interesado exprese su intención libre, específica, informada e inequívoca de aceptar el procesamiento de los datos personales que le conciernen, por ejemplo, mediante una declaración escrita, también a través de medios electrónicos u orales”.

En cualquier momento, el consentimiento debe poder ser revocado por la parte interesada a través de un procedimiento igual de simple que el utilizado para otorgarlo. No se requiere que la parte interesada explique por qué retira su consentimiento y, en este caso, se interrumpe el tratamiento, a menos que exista una base legal diferente para continuar. Para los menores de 16 años, los que ejercen la patria potestad deben dar su consentimiento, por lo que es recomendable prestar atención a redes sociales, aplicaciones y juegos en línea, entre otros.

En definitiva, es preciso leer con atención el aviso de privacidad antes de firmarlo, ya que “conocimiento es poder”.