Desde el 25 de mayo es de obligado cumplimiento por parte de empresas e instituciones el GDPR, siglas en inglés de la Regulación General de Protección de Datos de la UE. Se ha hablado mucho de los cambios que tendrán que abordar las empresas para cumplir con las obligaciones del GDPR si no quieren recibir sanciones millonarias que pueden llegar a los 20 millones de euros o el 4% de su facturación global. Sin embargo, aquí vamos a subrayar los beneficios del GDPR a los cientos de millones de ciudadanos europeos a la hora de proteger y gestionar su información personal.
Consentimiento reforzado
Un punto clave para dar mayor control de la información a los usuarios es el del consentimiento. Hasta ahora, eran habituales los textos largos, ininteligibles y escondidos para conseguir que el usuario consintiera el empleo de sus datos personales, por ejemplo, con fines comerciales. El consentimiento tácito y difuso desaparece. Cualquier consentimiento a partir de ahora debe ser pedido con un texto claro, sencillo y de fácil acceso. Y el usuario deberá darlo de forma inequívoca.
Por eso, ya no valdrá un consentimiento genérico, sino que tendrá que ser específico y de forma expresa para cada actividad concreta. Es decir, las empresas deberán adaptar sus páginas para que los ciudadanos entiendan perfectamente para qué se les reclaman los datos y qué implicaciones tiene eso en cada caso.
Portabilidad de los datos
Además, el GDPR hará realidad por fin la portabilidad de los datos de un servicio a otro si el cliente lo pide. Era una de las grandes demandas de los usuarios de internet en los últimos años y hará posible que cada uno se pueda llevar sus datos a casa en un formato reconocible cuando cancele un servicio o que pueda trasladarlos cuando cambia de plataforma o de servicio.
Cada proveedor o red social deberá poner sus medios para hacer realidad este punto, pero conviene tener en cuenta el modelo de Facebook, que permite al usuario descargar en un archivo zip una copia de sus datos que incluye todos sus mensajes, conversaciones de chat, fotografías o publicaciones. En cualquier caso, es un tema de una complejidad técnica muy grande y que requerirá del desarrollo de estándares para que se pueda llevar a cabo.
Derecho al olvido
También el reglamento europeo pone en primera línea el “derecho al olvido”, otra de las aspiraciones de los cibernautas desde hace años. De esta manera, se va a facilitar que una información personal se elimine (por ejemplo de las búsquedas de Google) a requerimiento de su titular. Delitos que han prescrito siguen marcando la vida de mucha gente porque salen en la primera página del buscador de Google. Una información sobre la supuesta anorexia de la exatleta española Marta Bobo continuó condenando su reputación muchos años después de ser publicada. La nueva legislación ahora quiere evitar los dolores de cabeza y las noches de insomnio que el pasado más remoto nos puede ocasionar.
Eso sí, conviene advertir que este derecho estará limitado cuando el interés público de la información se imponga. Por ejemplo, un político corrupto no podrá pedir que se eliminen las noticias que daban cuenta de sus fechorías porque ahí prevalecerá el derecho a la información del resto de la comunidad.
Notificación de brechas de seguridad
Un punto importante del nuevo reglamento es que obligará a las empresas a notificar en 72 horas las brechas de seguridad que sufran y que supongan el robo de información personal de sus clientes. Tendrán que comunicarlas a las autoridades (en España a la Agencia Española de Protección de Datos), pero sobre todo a los clientes afectados.
Incluso esas compañías podrán ser obligadas a hacer públicas sus brechas a través de los medios de comunicación. A partir de mayo, serán mucho más difíciles de ver casos como el de Yahoo, que entre finales de 2016 y principios de 2017 informó con dos años de retraso de varias brechas de seguridad que habían dejado al descubierto los datos de decenas de millones de clientes.
Cobertura geográfica mundial
Otro punto muy interesante del GDPR es que amplía la cobertura geográfica de la protección de datos. Y es que las obligaciones se extienden a cualquier empresa que lidie con datos de ciudadanos comunitarios, aunque su infraestructura de gestión de la información esté fuera de la UE. A partir de ahora una compañía no podrá alegar que sus servidores están en China, Rusia o Estados Unidos para evitar someterse a la legislación europea en materia de protección de datos.
Privacy by design y privacidad por defecto
El artículo 25 del Reglamento europeo proclama los llamados privacy by design y privacy by default. No es algo de lo que el usuario vaya a ser consciente en muchos casos, pero sí que va a ayudar a que tenga un mayor control sobre la información. Y es que las llamadas “privacidad por diseño” y “privacidad por defecto” obligarán a los desarrolladores de software y servicios a ingeniárselas para proteger la privacidad de los usuarios por encima de todo, haciendo que sus sistemas solo reclamen, procesen y almacenen la mínima cantidad de datos personales necesarios.
una adecuada garantía de una protección
En palabras de Maite Arcos, especialista en digitalización y relaciones institucionales en Orange, “debemos celebrar que la línea emprendida por las autoridades europeas respecto a la protección de los datos parece haber asumido un firme compromiso con la creación de un marco global y coherente que otorgue seguridad jurídica y permita conciliar la explotación de todo el potencial social y económico de los datos, con la garantía de una protección adecuada”.
Para garantizar la máxima seguridad a sus clientes, Orange, a través del menú “Mi contrato” de su aplicación Mi Orange, ofrece acceso a una sección de “Revisión de Privacidad” donde se pueden aceptar (y revisar) las opciones de privacidad.
En Nobbot | Los datos abren nuevas vías a un futuro de vértigo