Nueva ley de protección de datos

7 Marzo 2018 - Actualizado 11 Mayo 2018, 15:56ARANTXA HERRANZ@aherranz

A partir del 25 de mayo, tendrás que dar tu consentimiento inequívoco para que las
empresas puedan usar tus datos si eres ciudadano europeo. Es más, te tendrán que decir
qué datos están utilizando, cómo los están tratando, para qué y quién es la persona responsable
de los mismos.

Ese día entra en vigor en toda Europa una nueva ley de protección de datos: GDPR (General
Data Protection Regulation). Una normativa que afecta a todas aquellas empresas que traten
datos de los ciudadanos europeos aunque sean de Estados Unidos, como Google o Facebook.

Las grandes multas a las que se enfrentan quienes no cumplan con ella son uno de los puntos
más controvertidos y mediáticos. Pero detrás de estas siglas también se esconde una nueva
manera de informar a los usuarios sobre qué información cedemos y para qué se
usa.

Qué es GDPR (o RGPD)

GDPR, por sus siglas en inglés (General Data Protection Regulation), o RGPD por sus siglas en
español (Reglamento General de Protección de Datos) es la nueva normativa que regula la
protección de los datos de los ciudadanos que vivan en la Unión Europea.

El reglamento entró en vigor el 24 de mayo de 2016, pero será de obligado cumplimiento a

partir del 25 de mayo de 2018.

Durante estos dos años, la Ley Orgánica de Protección de Datos (LOPD) ha seguido vigente,
pero tiene fecha de caducidad. De hecho, se espera que en unos meses se apruebe una nueva
ley(está ahora mismo en proceso de tramitación parlamentaria) que permita o facilite la
aplicación del Reglamento. Esta nueva ley no puede contradecir a GDPR, pero sí que definirá
mejor algunos de sus aspectos (cuando un usuario es considerado menor, por ejemplo)

Rafael García, responsable del área internacional de AGPD

Se trata de la primera norma sobre esta materia que afecta a todos los países de la Unión
Europea y unifica, por tanto, tanto los derechos como las obligaciones.

De hecho, durante años fue una reivindicación de muchas empresas y sectores, como el
tecnológico, quienes tenían que hacer frente a 28 legislaciones diferentes sobre el uso y
tratamiento de datos personales para poder ofrecer sus servicios en Europa.

José Luis Zimmermann, director general de Adigital

A quién afecta GDPR

Esta nueva normativa determina que todas las empresas, independientemente de su país de
origen o de actividad, deberán cumplirla si recogen, guardan, tratan, usan o gestionan algún tipo
de dato de los ciudadanos de la Unión Europea. Es decir, que Apple o Amazon (por poner
algunos ejemplos) también están sujetas a ella.
Y, por supuesto, nos afecta a todas las personas que vivimos en la Unión Europea.

GDPR va a ofrecer nuevas herramientas para que los usuarios sepamos qué datos
cedemos y para qué

El responsable del área internacional de la Agencia Española de Protección de Datos (AGPD),

Rafael García, asegura que GPDR da más derechos y mecanismos a los usuarios sobre
sus datos. Según su valoración, hay tres ideas generales: habrá nuevas herramientas para
controlar los datos (ya que la información tiene que ser más amplia, accesible, directa,
comprensible y clara que lo que se hace ahora); hay nuevos derechos; y se da más poder a las
agencias de protección de datos de cada país.

“Los usuarios deben ser conscientes de que las empresas que gestionan datos tienen nuevas
obligaciones", añade.

Cuáles son tus derechos

Este reglamento recoge y reconoce, por tanto, derechos, como al olvido y el derecho a la
portabilidad.

El primero establece que los ciudadanos podemos solicitar y lograr que nuestros datos
personales sean eliminados cuando, entre otros casos, estos ya no sean necesarios para la
finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos
se hayan recogido de forma ilícita.

Es cierto que el derecho al olvido existe desde la sentencia del Tribunal de Justicia de la Unión
Europea, pero ahora se recoge en este Reglamento. "El problema es que no es un derecho
absoluto, existe confrontación con otros derechos (libertad de información por ejemplo), por lo
que hay que ponderar cada caso concreto según unos criterios", explica el abogado experto en
protección de datos.

Marcos Judel, socio y abogado experto en protección de datos personales de Audens

Mientras, el derecho a la portabilidad te permite que, si tus datos se están tratando de modo
automatizado, puedas recuperarlos en un formato para cederlos a otro responsable.
Estos datos deben estar "en un formato estructurado, de uso común y lectura mecánica (por
ejemplo un excel) para que pueda transmitirlos fácilmente a otro responsable y facilitar así un
cambio de proveedor, por ejemplo", explica Marcos Judel.

En principio, y según nos explica este abogado, este derecho sólo se aplicaría a los que has
aportado en cada web, "no las segmentaciones que realizan o los tratamientos inferidos
posteriores". Es decir, Facebook solo estaría obligado a darte los datos que tú has facilitado, no
la información que hayas ido dejando con tus acciones en la red social. Sin embargo, "en el
futuro seguramente veamos muchas resoluciones de las autoridades de control perfilando este
tema".

Sobre todo porque hay algunos aspectos de la normativa, como éste, que permite varias
interpretaciones según el experto al que se consulte.

¿En qué casos puedes pedir que cancelen tus datos? Este abogado explica que los derechos
siempre se pueden ejercitar, pero que hay casos en los que la práctica es tan fácil. Por ejemplo, si
está en vigor una relación contractual o existe un plazo legal de conservación (como puede ser
mantener los datos fiscales a disposición de la Agencia Tributaria).

Otro de los nuevos derechos que contempla GDPR es el de acceso. Así, podrás pedir a las
empresas que te confirmen si tus datos se están procesando, dónde y con qué
propósito. Si lo haces, puedes pedir también una copia de tus datos personales sin que se te
cobre por ello.

Dato eres tú

Pero, ¿qué es un dato personal? Cualquier información relacionada con una persona
física que se puede utilizar para identificarla directa o indirectamente.

Puede ser cualquier cosa: desde un nombre, una foto, una dirección de correo electrónico, datos
bancarios, publicaciones en sitios web de redes sociales, información médica o una dirección IP
de un ordenador.

Adiós a las casillas premarcadas

Para que una empresa pueda utilizar estos datos, tendrás que dar tu consentimiento. Pero ya no
se hará como hasta ahora, cuando las empresas suelen utilizar largos términos ilegibles y
condiciones plenas de jerga legal.

Condiciones de uso de Facebook

Con la entrada en vigor de GDPR, la solicitud de consentimiento debe darse en una forma
inteligible y de fácil acceso, con el propósito del procesamiento de datos adjunto a ese
consentimiento. Es decir, que el consentimiento debe ser inequívoco, claro y
distinguible de otros asuntos. Las empresas tendrán que mostrar sus condiciones de forma
inteligible y de fácil acceso, usando un lenguaje claro y sencillo.

Esto implica dos cosas. Por un lado, que cuando te des de alta en un servicio, web, aplicación o
producto, el aceptar los términos de uso irá por un lado y, por otro, todo lo relativo al
tratamiento de tus datos.

GDPR prevé multas de hasta el 4% de la facturación global anual o 20 millones de euros

para quienes lo incumplan

Por otro lado, dejaremos de ver casillas premarcadas para el envío de publicidad,
consentimientos tácitos para comunicaciones comerciales o cesiones de datos. A partir del 25 de
mayo, las empresas están obligadas a informarte sobre cada finalidad del
tratamiento de los datos, "la legitimación para su recogida y uso, y en su caso, la obtención
del consentimiento por separado para cada finalidad", por lo que empezaremos a ver más
casillas para que aceptes cada uno de estos aspectos, según nos avanza Marcos Judel, abogado
experto en protección de datos del despacho Audens.

Incluso se está estudiando la posibilidad de crear unos iconos estandarizados para facilitar la
transmisión y comprensión de estas condiciones. Algo que depende, según nos explica Rafael
García, de que la Comisión Europea desarrolle esta posibilidad.
En cualquier caso, y como sentencia Judel, "con lo que pretende acabar el GRPD es con
cláusulas oscuras, ilegibles e incomprensibles y que el usuario pueda conocer a qué se enfrenta y
hacer valer sus derechos más fácilmente".

¿Cómo se determinará si algo es entendible o no? Este abogado tira de humor y sentencia que
algo será legible "cuando una persona media lo puede entender todo, sin tener que leerlo cinco
veces o preguntarle a un abogado". Eso sí, "si el tratamiento afecta a menores de edad, el
lenguaje debe ser entendible por los niños".

Aunque, eso sí, adivierte que, al final, en sus manos está el leer y aceptar las políticas de
privacidad, por muy fáciles y sencillas que sean".

Eso sí, parece que textos en los que se pueda leer frases típicas como “En cumplimiento de la
Ley Orgánica 15/1999 de Protección de Datos y su normativa de desarrollo el Real Decreto
1720/2007 de desarrollo de la LOPD le informamos que…” pueden pasar a la historia. "Basta
con que las cosas queden claras. Cuanto más sencillo y fácil, mejor", incide Marcos Judel.

Van a pedirte que renueves tus votos

¿Quiere esto decir que recibiremos una avalancha de peticiones para que demos nuestro
consentimiento en todos los servicios, aplicaciones y web en los que estemos dados de alta?

“El reglamento lo que dice es que los tratamientos que estén basados en un consentimiento de
los interesados y que se haya obtenido antes de que el GDPR sea aplicable (es decir, del 25 de
mayo), si ese consentimiento no se obtuvo de forma conforme al reglamento, ese
consentimiento ya no es válido”, explica Rafael García, responsable del área internacional
de la Agencia Española de Protección de Datos. “Lo más normal es que las empresas adviertan a
los usuarios de que están tratando sus datos con un consentimiento que ya no es válido y hay
que volver a darlo de forma correcta”.

En este sentido, el director general de Adigital, José Luis Zimmermann, considera que
es el tema del consentimiento uno de los que más quebraderos de cabeza puede dar,
porque "este cambio obliga a cambiar los procesos establecidos para obtener el
consentimiento o a valorar de forma documentada si pueden existir otras causas
legales que permitan tratar datos sin necesidad de obtenerlo”.

Además, y en caso de que un usuario denuncie que los datos se han cogido de forma ilícita. "es el
denunciado quien debe probar que tenía los datos de forma lícita y conforme a los principios del
RGPD", explica Judel.

Te dirán si te han hackeado

Otro de los cambios importantes tiene que ver con las brechas de seguridad y violaciones de
datos. ¿Cuántas veces nos hemos enterado, incluso años después de que sucedieran, de
incidentes de seguridad en diversas empresas?

Con la entrada en vigor de GDPR las empresas deberán informar en un plazo de 72

horas de que han sufrido un incidente de seguridad. Y no sólo deberán dar parte a las
autoridades competentes (en el caso de España, la Agencia de Protección de Datos),
sino también a todos aquellos usuarios cuyos datos se hayan podido ver
comprometidos.
Esta normativa afecta a todas las empresas que traten datos de ciudadanos europeos,
independientemente de su lugar de origen

Las empresas, además, deberán tener un responsable de los datos si procesan datos personales
para dirigir publicidad a través de motores de búsqueda basados en el comportamiento en
Internet de las personas o si tratan datos especialmente sensibles, como de salud.

El límite de 72 horas puede suponer un verdadero desafío para las empresas. Así al menos
lo considera Lorenzo Martínez, experto en seguridad, quien asegura que "quienes nos
dedicamos a la respuesta ante incidentes, sabemos que si éste ha tenido la suficiente
envergadura, y ha conllevado un ataque a diferentes sistemas dentro de una red, puede
llegar a ser sumamente difícil dar una respuesta en menos de 72 horas".

Aquí entra en juego el responsable de los datos (Chien Data Officer, CDO en inglés). Ya hemos
visto que no todas las empresas deben tener uno, pero de haberlo se encargará de informar y
asesorar a los empleados sobre sus obligaciones bajo la ley de protección de datos; supervisar el
cumplimiento de la legislación (incluidas las auditorías, actividades de sensibilización y la
capacitación del personal) y actuar como un punto de contacto para las solicitudes de las
personas con respecto al procesamiento de sus datos personales y el ejercicio de sus derechos,
entre otras.

La privacidad será por defecto y diseño

Por último, José Luis Zimmermann, director general de Adigital, considera que, aunque gran
parte del GDPR es muy similar a la normativa anterior, el problema estriba en las novedades
que incorpora. “Suponen la necesidad de hacer cambios sustanciales en la gestión de los datos
por parte de las empresas. Exige, como punto de partida, una proactividad en medidas técnicas
y organizativas que en nuestra opinión va a suponer muchos problemas, especialmente en
pymes”.

Además, Zimmermann alude a dos nuevos conceptos que aparecen en GDPR: privacy
by design y privacy by default. “Estos conceptos suponen que una empresa debe tener en
cuenta todos los requisitos de privacidad desde el momento de la creación de una nueva
solución o herramienta tecnológica. Todo ello, obviamente, bajo el yugo de un régimen
sancionador muy duro”.

Qué hacer si compruebas que no cumplen la ley

Como decíamos al principio, las sanciones previstas por GDPR han sido uno de los
temas más polémicos y controvertidos.

Las organizaciones pueden ser multadas con hasta el 4% de la facturación global anual por
infringir GDPR o € 20 millones. Ésta es la multa máxima que se puede imponer por
las infracciones más graves. Por ejemplo, no tener suficiente consentimiento del
cliente para procesar datos o violar el núcleo de los conceptos de Privacidad por Diseño.

Existe un enfoque escalonado para multas. Así, una empresa puede recibir una multa del 2% de
su facturación por no tener sus registros en orden, sin notificar a la autoridad supervisora y al
sujeto de los datos sobre una infracción o la no realización de la evaluación de impacto.
¿Qué debemos hacer si vemos, como usuario, que una empresa no está cumpliendo con esta ley?
"Lo primero que aconsejamos es intentar arreglar el tema con el responsable del
tratamiento de los datos. Puede ser un simple error o fallos que pueden arreglarse sin
necesidad de pasar a otras actuacaiones. Pero, si no funciona, estamos ahí para proteger los
derecos de los ciudadanos”, señala Rafael García.

Además, GDPR introduce el concepto de ventanilla única, lo que según el abogado de Ausens
facilitará la presentación de denuncias en toda Europa, "lo que da al usuario un mayor poder".

Una ley muy demandada pero ¿caduca?

Esta unificación de todas las leyes de protección de datos se demandaba desde hacía tiempo.
“Era necesario que en algo tan esencial para el desarrollo de la economía digital en
Europa no hubiese diferencias regulatorias entre los países que puedan generar
desventajas competitivas entre ellos”, nos asegura el director general de la Asociación Española
de Economía Digital (Adigital), José Luis Zimmermann.

Si el tratamiento y uso que dan a tus datos no se ajusta al nuevo reglamento, deberán
pedirte de nuevo tu aceptación

En este sentido, la Unión Europea defiende que GDPR es un paso “esencial para fortalecer los
derechos fundamentales de los ciudadanos en la era digital y facilitar los
negocios mediante la simplificación de las normas para las empresas en el mercado único
digital”.

Sin embargo, Adigital cree que nace caduca. El problema reside en que, desde el momento en
que inician las conversaciones se iniciaron hace más de 9 años. “En todo este tiempo han pasado
muchas cosas. Han aparecido nuevos modelos de negocio, nuevos usos de los datos, múltiples
innovaciones alrededor de los datos, ha variado la percepción del ciudadano y de los riesgos. Es,
por tanto, una norma que nace ya, en su aplicación, con cierta obsolescencia”,
asegura Zimmermann.