Internet

¿Qué es el GDPR, cómo cumplirlo y por qué te afecta?

Reglamento General de Protección de Datos de la Unión Europea

Miguel Ángel Ossorio Vega | Martes 17 de abril de 2018
El 25 de mayo entrará en vigor la nueva normativa sobre protección de datos, que será más restrictiva, transparente... y dura para quien ose incumplirla. Muchos la ven como la precursora de legislaciones similares en otros países y hasta Zuckerberg ha dejado caer que estaría dispuesto a que fuera el modelo a seguir. Te explicamos todo lo que tienes que saber sobre el GDPR.

Se puede interpretar como la respuesta política ante la creciente preocupación de los ciudadanos por su privacidad en Internet. Se puede interpretar como la respuesta de la Unión Europea al poder de las tecnológicas estadounidenses, con las que la relación es más que tirante a causa de temas fiscales. Incluso se puede interpretar como el deseo de convertir a los 27+1 en pioneros de la economía digital que está por venir (aunque ya esté), demostrando que los negocios y la privacidad pueden caminar por la misma senda a pesar de que los datos sean el combustible que los haga avanzar. Hay muchas lecturas para el Reglamento General de Protección de Datos (GDPR), que entrará en vigor el próximo 25 de mayo. Pero también hay varias preguntas que sobrevuelan pequeñas, medianas y grandes empresas: ¿Qué es el GDPR? ¿Cómo afecta a mi empresa el GDPR? ¿Cómo cumplir el GDPR? ¿Para qué sirve el GDPR? Intentamos responderlas una por una.

1) ¿Qué es el GDPR?

La General Data Protection Regulation (GDPR) es un Reglamento (2016/679) que busca garantizar la privacidad de los ciudadanos europeos en Internet. Pone el foco en la protección de los datos personales de los sujetos, para lo que refuerza su capacidad de decisión sobre sus propios datos, obliga a aportar transparencia sobre la recopilación y uso de los mismos, y garantiza el cumplimiento por parte de las empresas de las normas establecidas a través de severas multas. Sustituye a la Directiva de Protección de Datos de 1995 (95/46).

2) ¿A quién afecta el GDPR?

El Reglamento protege a los ciudadanos europeos cuando interactúen con empresas localizadas en la Unión Europea, pero también cuando sus datos sean exportados a terceros países. Es decir: si un europeo compra en una tienda digital localizada en Estados Unidos, el comercio deberá cumplir con la normativa europea aunque esté operando desde fuera de la UE. El foco está puesto en el usuario.

3) ¿Cómo me afecta el GDPR?

El Reglamento afecta a usuarios y a empresas, y es de obligado cumplimiento. Incluso las Administraciones Públicas y las entidades sin ánimo de lucro están sujetas al GDPR.

Si eres usuario: deberás otorgar un permiso explícito a las empresas con las que interactúes, podrás revocar en cualquier momento cualquier permiso que hayas otorgado e incluso tendrás 'derecho al olvido' (llamado 'derecho al borrado'), pudiendo solicitar, a través de los procedimientos adecuados, que se valore la eliminación de determinada información que te afecte en Internet. Además, podrás solicitar a las empresas una copia de todos los datos que tengan sobre ti, que deberán entregarte en un formato exportable para que puedas conocerlo fácilmente. Dicha información deberá explicar los detalles del procesamiento de tus datos, con quién se comparten y cómo se han recopilado.

Si eres empresa: necesitarás un consentimiento explícito de tus clientes o usuarios para recabar, tratar y utilizar sus datos personales, y además deberás tener un control sobre todo el ciclo de los mismos, sabiendo en todo momento dónde están y por dónde pasan. Si tus usuarios son menores de 16 años, necesitarás un permiso paterno explícito para recopilar sus datos. Cuando el volumen de datos que recopila tu empresa alcance un determinado umbral, deberás nombrar a un responsable (Data Protection Officer -DPO-) para que responda ante tus clientes en menos de 72 horas en caso de problemas relacionados, como fugas de datos (aunque no será imprescindible notificar el hecho a los usuarios afectados si es imposible que los datos fugados identifiquen a sus propietarios por haber tomado las medidas de protección oportunas).

4) ¿Cómo cumplir el GDPR?

En realidad no es sencillo, dado que muchas empresas, sobre todo las más pequeñas, desconocen lo que se esconde detrás de su web, casi siempre subcontratada a empresas de diseño web. Esto les impide saber si se están insertando cookies en los navegadores de los usuarios, por poner uno de los ejemplos más sencillos. Por eso, se recomienda realizar una Evaluación de Impacto de la Privacidad (PIA) y una Evaluación de Impacto de la Protección de Datos (DPIA) que permita conocer qué está haciendo actualmente la empresa respecto a los datos de sus clientes y usuarios. Muchos despachos de abogados y empresas especializadas en protección de datos ofrecen ya estos servicios, incluso en forma de paquetes que permiten adecuar el funcionamiento de la compañía a la nueva normativa. Pero esto tiene un coste que debe sufragar el empresario. Se calcula que más de la mitad de las empresas españolas no cumplen el Reglamento, a pesar de que en realidad entró en vigor en 2016, pero se dieron dos años para adaptarse... y cumplen el 25 de mayo. Cada país tendrá una Autoridad que supervise el cumplimiento del Reglamento, y las empresas deberán dirigirse a ella para cumplir la normativa. Si una empresa tiene presencia en varios países de la UE, deberá someterse únicamente a una Autoridad, dado que cooperarán entre ellas.

5) ¿Qué puede pasar si mi empresa no cumple el GDPR?

Las sanciones por incumplimiento del GDPR pueden alcanzar el 4% del volumen de negocio mundial o 20 millones de dólares; se escogerá la cantidad que sea más elevada. Para hacernos una idea: Facebook facturó 27.638 millones de dólares en 2017. En caso de incumplir el GDPR, podría llegar a tener que pagar un multa de 1.105 millones de dólares. Dado que ese mismo año obtuvo beneficios de 10.217 millones, probablemente podría permitírselo... pero ¿qué hay de una pyme que apenas alcanza el millón de euros de facturación?

6) ¿Qué dudas hay sobre GDPR?

Cuando navegamos por Internet estamos sometidos a las 'cookies' en casi todos los sitios web que visitamos, aunque entremos solo durante unos segundos. Una de las dudas que plantea el GDPR, y que Enrique Dans comentaba en uno de sus artículos, es si tendremos que rellenar un formulario con preguntas sobre nuestras preferencias de privacidad en estos casos. Hace algún tiempo, la Unión Europea ya obligó a las webs a mostrar un mensaje que recordase la política de privacidad respecto a las cookies, pero esa normativa permite entender como aceptación la no contestación a la pregunta. En el caso del GDPR se va más lejos y es obligatorio el consentimiento explícito. ¿En qué medida afectará a los negocios -y a los usuarios- tener que dedicar parte del tiempo de navegación a ir rellenando formularios con preguntas sobre las preferencias de privacidad?

7) ¿Qué se considera un 'dato personal'?

El GDPR amplía el concepto de dato personal, que según la Comisión Europea son "cualquier información relacionada con un individuo, ya sea que se refiera a su vida privada, profesional o pública". Incluye, por ejemplo, direcciones, fotografías, email, datos bancarios, publicaciones en redes sociales, información médica (incluso genética) o la dirección IP de un ordenador. Todo aquello que, de un modo u otro, permita identificar a una persona. Por supuesto, tu nombre, apellidos o número de teléfono son datos personales.

No obstante, el GDPR aboga por la 'seudonimización' de los datos de los usuarios: aglutinarlos bajo algún tipo de etiqueta que no permita identificar a su propietario original. Otros modelos de actuación serían el cifrado o la tokenización.

8) ¿Y la Justicia?

Aunque las Administraciones Públicas deberán someterse asimismo al GDPR, las actividades de seguridad nacional quedarán excluidas, aunque con matices: la recopilación de información sobre un individuo que realicen Cuerpos y Fuerzas de Seguridad o tribunales seguirá funcionando conforme a la legislación actual, si bien en caso de que esa información sea solicitada por un tercer país, deberá atenerse a los acuerdos internacionales que haya entre las partes. Este apartado es algo polémico, aunque la GDPR incluye normas específicas al respecto.

9) ¿Es bueno o malo el GDPR?

En realidad no lo sabemos. Sobre el papel supone otorgar mayor poder a los usuarios a la hora de proteger sus datos personales en Internet, convertidos en el petróleo del siglo XXI y en la base de casi todos los productos gratuitos que pueblan la Red (que no son ni pocos ni pequeños). Está por ver si realmente el GDPR es efectivo para proteger la privacidad y evitar algunos abusos que han cometido algunas empresas hasta ahora o si alguien encontrará algún recoveco que permita seguir haciendo y deshaciendo sin límite. Por otra parte, habrá que evaluar en qué medida afecta el GDPR a la innovación, al nacimiento de nuevos negocios digitales y al mantenimiento de las empresas que necesitan los datos de sus usuarios para funcionar correctamente e incluso para ser rentables. Además, y dado que países como Estados Unidos, Rusia, China o India no son nada escrupulosos a la hora de lidiar con la privacidad de los usuarios, habrá que ver qué papel juegan las empresas europeas en el ecosistema digital si ellas están sometidas a una legislación como el GDPR y el resto no: ¿habrá problemas de competitividad?

La otra cara de la moneda está en si el GDPR podría convertirse a largo plazo en el modelo legislativo para otras naciones. Mark Zuckerberg, en una de sus recientes declaraciones parlamentarias en Estados Unidos, ya dejó caer que estaba dispuesto a que Facebook se rigiera a partir de ahora por el GDPR (más o menos) aunque la sede central de la compañía esté en los Estados Unidos. ¿Adoptarán las tecnológicas el GDPR para mostrarse responsables y comprometidos ante sus usuarios? Lo veremos a partir del 25 de mayo.

Bonus: Los medios se pronunciaron hace algunos meses sobre el GDPR, y no precisamente a favor.

>> Descargar en PDF el GDPR

TEMAS RELACIONADOS: