El GDPR, por sus siglas en inglés, es una nueva ley que involucra una serie de principios, derechos y obligaciones, los que tienen el objetivo de resguardar los datos de los usuarios. De esta manera, el usuario deberá dar su consentimiento para que las empresas puedan usar sus datos y ellas deberán informar cuando sean ocupados y con qué finalidad.
A todas las empresas que procesen datos de ciudadanos de países que pertenezcan a la Unión Europea. Esta normativa incluye a las compañías que, independiente de su país de origen, traten con información personal de los usuarios. De esta manera, conocidas fi como Amazon, Facebook, Google, Spotify y Twitter, han debido modificar sus términos y condiciones de uso, adecuándose a la normativa.
Si bien el reglamento está vigente desde el 24 de mayo de 2016, será de carácter obligatorio desde este viernes 25 de mayo de 2018 para la totalidad de las empresas.
El reglamento entrega más control e información a los usuarios sobre el uso de sus datos. Las empresas deben otorgarle a los clientes una serie de derechos en cuanto al procesamiento de datos, incluyendo:
- Derecho a estar informado: por qué y cómo mis datos son usados.
- Acceso a los datos: se debe poder ver qué información se ha recopilado sobre mí.
- Rectificación y eliminación de datos: se debe tener acceso para hacer modificaciones o borrar cualquier dato de forma fácil.
- Ser informado de inmediato en caso que ocurra una filtración de datos personales.
Además, hay derechos respecto a los sistemas automatizados de toma de decisiones y a la creación de perfiles en base a esos datos, sobre los que el usuario podrá intervenir.
Según el GDPR, tienen la obligación de adecuarse a la normativa. En primera instancia, deben recibir consentimiento explícito del usuario sobre el uso de sus datos y ser transparentes en su manejo. De esta manera, deberán informar de manera clara y precisa sobre la solicitud del uso de datos, con el fin de no confundir al usuario. Las compañías deben además comprometerse al cuidado de la información, para evitar filtraciones y malos usos. Además están obligadas a informar en 72 horas sobre cualquier vulneración.
Toda la información que pueda ser utilizada para identificar, directa o indirectamente, a una persona física. Dentro de esta categoría se incluyen: nombre, fotos, dirección de correo electrónico, datos bancarios, publicaciones en redes sociales, información médica o la dirección IP de un computador.
Las empresas tienen la obligación de actualizar y dar a conocer sus nuevas políticas de privacidad a los usuarios, y de esta manera renovar el "contrato" con el usuario, de acuerdo a lo estipulado en el GDPR. Empresas como Twitter, Spotify y Facebook ya han informado sus nuevas condiciones de uso. Por esto es probable que en las últimas semanas, su cuenta haya recibido una inusual cantidad de correos electrónicos sobre cambios en términos y condiciones de distintas aplicaciones y servicios.
Debido a que algunas empresas operan globalmente y se presenta una dificultad al distinguir entre usuarios europeos de otros continentes, la mayoría de las compañías han decidido extender sus políticas de privacidad y condiciones de uso para todo el mundo. De esta manera, los usuarios nacionales, en el caso de aceptar, tendrán las mismas condiciones indicadas en el GDPR en varias plataformas.
La normativa reconoce dos niveles de multa, dependiendo de la gravedad, duración y naturaleza de la infracción. Por un lado, las empresas están expuestas a una multa del 2% del volumen de ingresos o 10 millones de euros (lo que sea mayor) en el caso de la organización no pueda demostrar una seguridad adecuada, no cuente con un Delegado de Protección de Datos o no haya establecido un acuerdo sobre el procesamiento de datos. Por otro lado, si la empresa infringió los derechos de los usuarios deberán cancelar el 4% del ingreso anual de la empresa o 20 millones de euros.
El reglamento reconoce una serie de derechos de los usuarios, como el del olvido y a la restricción del procesamiento de datos. Estos derechos deben ser respetados por las empresas. De esta manera, todas las personas tienen, desde ya, más control sobre el uso de sus datos y las compañías deben informar a los usuarios sobre el uso que les dan y con qué objetivo los utilizan.