En el pasado empresas como Facebook y otras tecnológicas se enfrentaban a pocas limitaciones en el uso de datos personales de sus usuarios, pero eso cambia hoy tras casi diez años de batalla de lobbies en los 28 países de la Unión Europea (UE).
Cinco claves sobre esos cambios:
¿Por qué llegan ahora las nuevas regulaciones?
La protección de datos es un derecho fundamental en la UE. "Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan", señala la Carta de Derechos Fundamentales del año 2000. Sin embargo, a partir de 1995 la Carta se vio bastante superada por las transformaciones que provocaron Google, Facebook y otros, que no eran previsibles.
A ello se suma que hasta ahora la aplicación de las leyes se dejaba en manos de cada país. Hace dos años los miembros de la UE y la Eurocámara acordaron la nueva normativa de protección de datos y a partir del 25 de mayo todos los países deberán cumplirla.
Facebook aportó recientemente un fuerte argumento para estos cambios: hasta 87 millones de usuarios se vieron afectados por un nuevo uso ilegal de sus datos. Su máximo responsable, Mark Zuckerberg, se mostró arrepentido y se convirtió casi en un embajador de las nuevas normas europeas. Anunció que se usarán en el futuro en todo el mundo.
¿Qué regulan las nuevas normas?
Sobre todo la utilización de los datos personales por parte de empresas, asociaciones o autoridades. Es decir por ejemplo el nombre, dirección, email, número de documento de identidad o dirección IP. Da igual cómo se guarden los datos, si de forma digital, en papel o video.
Las informaciones especialmente sensibles como creencias religiosas, salud o vida sexual únicamente se pueden utilizar en casos excepcionales. Las nuevas regulaciones también rigen para empresas de fuera de la UE que ofrecen sus servicios en su territorio. Por eso se ven afectados gigantes de Internet como Facebook y Google.
¿Qué cambia para los consumidores?
La promesa de la Comisión es que los ciudadanos deben recuperar el control sobre sus datos. Por ejemplo, se les garantiza un "derecho al olvido". Los datos que ya no se necesiten para el objetivo inicial por el que se guardaron deben ser borrados. Los usuarios también tienen derecho a saber cuáles son las informaciones que tienen de ellos las empresas y organizaciones.
Asimismo, reciben un derecho a la portabilidad de datos, que les permite llevarse fotos, contactos o emails consigo si cambian de compañía. También tienen que ser informados si sus datos se han visto vulnerados por lagunas de seguridad o ataques de hackers. Si esto representa además un riesgo para ellos, las empresas deben informar a las autoridades del país.
¿Cómo se pondrá en práctica todo esto?
Hasta el momento la protección de datos en la UE era bastante poco efectiva, entre otros por la falta de sanciones. En cambio, a partir de ahora se podrán aplicar multas de hasta 20 millones de euros o un cuatro por ciento de la facturación anual mundial de la firma, según cuál sea la cifra más alta. En el caso de Facebook se supera fácilmente la marca de los 1.000 millones.
Para aplicar la sanción se tendrán en cuenta factores como la gravedad y duración de la infracción, el número de afectados y la premeditación.
¿Qué tienen que tener en cuenta las empresas y otras organizaciones?
Básicamente recopilar la menor cantidad posible de información: solo deben reunirse los datos que sean realmente necesarios.
Y estos datos tienen que guardarse con un nivel de seguridad que impida un acceso no autorizado o ilegal, pero también que haga imposible que se pierdan por error. Además, la información no puede ser guardada durante más tiempo del necesario ni utilizada para otro fin que el original.
Las empresas deben explicar a sus clientes en un lenguaje sencillo por qué requieren esos datos y durante cuánto tiempo se guardarán. Las firmas y organizaciones que trabajen con muchos datos personales tendrán que nombrar a una persona encargada de este tema.
En Argentina
Cambiarán muchos de los servicios que usan los argentinos a diario.
El nuevo marco legal supone que toda organización -sea cual fuere su localización geográfica- que trabaje con datos de europeos deberá informar de manera "entendible" cuál es el fin con el que se los solicitan y eliminarlos cuando esa misión se cumplimente, estándares que algunas empresas ya decidieron extender a todo el mundo.
Pero además, el tratamiento e intercambio de datos entre el viejo continente y otros lugares del mundo se verá necesariamente modificado, con especial atención al comercio electrónico. A mediados de 2017, el Consejo Europeo aceptó la adhesión de Argentina al Convenio para la Protección de Individuos con respecto al procesamiento automático de datos personales, algo que fue visto como un reconocimiento a los estándares nacionales pero que ahora podría revisarse a la luz del RGPD.
Si bien especialistas cercanos a funcionarios nacionales dijeron entender que la actual legislación argentina seguirá teniendo el beneplácito europeo, paralelamente al proceso de instauración del Reglamento Europeo se comenzó a trabajar en la idea de una nueva ley nacional.