Si ha recibido en estos días varios mensajes, de empresas y desarrolladores, sugiriéndole revisar sus términos de servicio y privacidad, esto se debe a que desde el 25 de mayo, entró en vigencia el nuevo Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) , que es de aplicación obligatoria en toda la Unión Europea y ha provocado cambios en internet a nivel mundial. El GDPR contiene reglas mucho más fuertes sobre el tratamiento de datos de los ciudadanos y la privacidad de su información, así como una serie de obligaciones para las empresas, que de incumplirlo tendrán cuantiosas multas.
Este reglamento surgió en respuesta a las recientes violaciones a la privacidad del usuario por parte de la consultora política Cambridge Analytica que utilizó datos recopilados de millones de perfiles de Facebook sin su consentimiento, lo que generó mayor interés sobre cómo establecer mecanismos que garanticen la seguridad de los datos.
EL GDPR cambia la forma en que las empresas utilizan la información personal en varios aspectos:
Obtención de datos personales
Cada vez que una empresa quiera obtener información de un ciudadano de la UE, primero necesitará su consentimiento explícito. La empresa tiene la obligación de informar sobre el plazo de conservación de los datos y las posibles transferencias internacionales. Tendrán que mostrar sus condiciones de forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo.
Limitación de la finalidad
Los datos serán recogidos con fines determinados y no pueden utilizarse posteriormente con un propósito distinto. Asimismo, la información recogida será mantenida solamente durante un tiempo determinado.
Medidas de seguridad
Las compañías deben crear mecanismos de certificación para el procesamiento de datos y garantizar mediante unas prácticas de seguridad, como la identificación, autenticación, accesos, permisos, tratamiento, destrucción de documentos, copias de seguridad, etc. que responden adecuadamente a la protección de datos.
Eliminación de datos
Se refuerza la posibilidad de borrar la información. En el caso del «derecho al olvido» en internet, siempre habrá que ponderar si se antepone o no el derecho a la información. Se extiende y se amplía las garantías, no solo a los motores de búsqueda como Google, sino también a otros entornos, permitiendo al usuario tener a mano herramientas para solicitar la eliminación de sus datos de un fichero. Y, por primera vez, el reglamento incluye la posibilidad de que el consumidor decida el tiempo de duración de la información tratada.
Protección a menores
Aplicaciones y redes sociales deberán recabar el consentimientos de los usuarios de mayor edad y, en caso de no alcanzarla, habrá que contar con la aprobación de los tutores o padres, aunque esta norma es difícil realmente de procesar y confirmar.
En cuanto a las sanciones por incumplimiento del GDPR, los reguladores europeos pueden multar a las empresas con hasta el 4% de sus ventas globales anuales, y en el caso de compañías más pequeñas las sanciones pueden llegar hasta los 20 millones de euros (23,5 millones de dólares).
Frente a este panorama, varias firmas tecnológicas han optado por impedir temporalmente que los residentes de la UE usen sus servicios, debido a la preocupación de que no cumplen con las restricciones a las leyes de privacidad de datos del bloque europeo.
