Anaïs Ferrández, International MarCom Manager en Tradelab.
El Reglamento General de Protección de Datos (RGPD) contiene diversos avances para regular la recogida y tratamiento de datos personales. Para el particular, se traduce un cierto número de derechos. Tradelab ha resumido 9 medidas de las que hay que acordarse.
El 25 de mayo entrará en vigor el Reglamento General de Protección de Datos (RGPD). Este se impone incluyendo también a las empresas basadas fuera de la Unión Europea pero que se dirijan a ciudadanos europeos. Dicho texto determina los cimientos de los derechos y deberes aplicables al tratamiento de datos de carácter personal en Internet, pero no sólo eso.
Este texto se compone de 99 artículos, el cual reemplaza una directiva que data de 1995. Estos se han repartido en siete grandes capítulos. Hay que tener en cuenta que ciertos capítulos se dirigen sobre todo a los profesionales y a los juristas, se trate de certificaciones de conformidad de la RGPD (artículo 42), de la definición del consentimiento (4.11), de la obligación de hacer estudios de impacto en caso de riesgo (35), de la obligación de hacer “privacy by design” por defecto (25) o bien el papel clave del delegado de protección de datos (37 y subsiguientes).
Si todas estas disposiciones tienen que representar un papel en esta mecánica jurídica, hay medidas que están adquiriendo una importancia particular y merecen especial consideración, ya que conciernen directamente a la población:
El consentimiento del internauta
Para proceder a la recogida y al tratamiento de datos personales hay que haber obtenido previamente un acuerdo escrito, claro o explícito de los individuos. Esta recogida de datos puede reposar en otras bases jurídicas, como la ejecución de un contrato, el interés legítimo del responsable del trato, el respeto de una obligación legal, etc. La recopilación del consentimiento es únicamente una de las bases posibles para recoger datos personales de manera legal, pero no la única y no la más utilizada.
Además de la necesidad de materializar la adhesión dejando al internauta la opción de marcar por sí mismo la casilla “opt in”, el Reglamento recuerda que esta aceptación puede retirarse en todo momento, sin necesidad de justificación. (Art. 7 del RGPD)
Pero, ¿es que nadie va a pensar en los niños?
A partir de cierta edad, la inscripción de un menor a una red social requiere la autorización de los padres. En España, el tratamiento de los datos personales en el ámbito de los servicios de la sociedad de la información en menores de edad –como, por ejemplo, redes sociales– será legal siempre y cuando estos tengan más de 16 años. Sin embargo, el Reglamento permite rebajar esta edad y que cada Estado miembro establezca la suya propia, siempre con un límite inferior de 13 años.
En el caso de España, esta edad está fijada actualmente en 14 años, pero con la aplicación directa del RGPD se reduce desde los 14 a los 13 años para adaptar así el sistema español al RGPD. Por debajo de los 13 años, se necesitará el consentimiento del “titular de la patria potestad”, algo que puede resultar muy complicado. (Art. 8 del RGPD)
Portabilidad de datos
¿Ya no quieres utilizar Spotify y prefieres Apple Music? El RGPD prevé un mecanismo de portabilidad que ofrece la posibilidad de pasar de un servicio a otro. El derecho a la portabilidad de datos permite llevar consigo los datos – los cuales se ha recogido, tratado y producido durante un servicio online – para importarlos en una plataforma de la competencia, sin tener, en medida de lo posible, que perder algo durante esta “mudanza”. En principio, el usuario no tiene ni que ocuparse de este cambio. (Art. 20 del RGPD)
Derecho de supresión
El RGPD prevé un “derecho al olvido”. Este derecho obliga a Google a tener en cuenta las peticiones de los internautas que piden que se retiren ciertos links que les conciernen. El reconocimiento de este derecho de supresión permite a un particular pedir que se borren datos en los que se le reconoce, siempre y cuando no sea un motivo legítimo (razones históricas, científicas, estadísticas, etc.) incluido el derecho a la libertad de expresión. (Art. 17 del RGPD)
Perfilado por algoritmos
El perfilado es la utilización de los datos para evaluar determinados aspectos relacionados con la persona. El objetivo es predecir el comportamiento de la persona y tomar decisiones al respecto.
Dando el consentimiento explícito, podrá aplicarse una decisión individual automatizada, incluido el perfilado. Igualmente, el RGPD permite la creación de perfiles, pero hay que respetar algunos requisitos para asegurar los derechos de los interesados respecto de sus datos como el derecho a ser olvidado, ser informado, eliminar sus datos, poseer una copia de los datos personales (en el plazo de un mes, de forma gratuita), el derecho a la portabilidad de datos, el derecho a oposición, a interrumpir y a los derechos relativos a la toma automatizada de decisiones y el perfilado. (Art. 22 del RGPD)
Acciones de grupo
Con el nuevo reglamento, las asociaciones podrán defender a los particulares en el marco de una acción de grupo en vistas de poner fin a parte ilícita de un tratamiento de datos. Los individuos podrán también defenderse más fácilmente reagrupandose en un mismo banner en vez de hacer una campaña en solitario.
El RGPD también permite al interesado dar mandato a una entidad, organización o asociación sin ánimo de lucro “que haya sido debidamente constituida conforme al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de derechos y libertades de las personas implicadas”, en el marco de la protección de los datos personales. (Art. 80 del RGPD)
Información en caso de pirateo
El RGPD incluye un derecho de información en caso de pirateo de datos: si una empresa u organización es víctima de un pirateo de datos de sus clientes o de terceros, deberá informar a la autoridad inmediatamente la protección de datos – CNI en España – y en el caso de que esta divulgación no constituya problemas de seguridad, informar a los principales afectados.
Informar a particulares no es obligatorio. Depende de ciertos parámetros, si por ejemplo “el responsable del tratamiento ha puesto en marcha medidas de protección técnicas y organizacionales apropiadas”, de modo que los datos robados son “incomprensibles para toda persona que no esté autorizada a tener acceso”, gracias a una encriptación (Arts. 33 y 34 del RGPD)
Ventanilla única
Los responsables establecidos en uno o varios Estados de la UE que realicen tratamientos que afecten de forma significativa a ciudadanos de varios Estados de la UE, tendrán que responder solamente ante la Autoridad de control del Estado miembro en el que se encuentre registrada la entidad o en el que tenga su sede principal, aunque afecte a ciudadanos de otros estados. Esto implica que una Autoridad de control valorará si el supuesto tiene carácter transfronterizo, en cuyo caso deberá iniciar un procedimiento de cooperación con todas las Autoridades afectadas buscando una solución aceptable para todas ellas.
Este sistema no supone que los ciudadanos tendrán que relacionarse con varias Autoridades de control, sino que deberán plantear sus reclamaciones o denuncias ante su propia Autoridad nacional (la AEPD en España). Las gestiones serán realizadas por esa Autoridad debiendo informar al interesado del resultado final de su reclamación o audiencia. (Arts. 56, 60, 61 y 62 del RGPD)
Multas de sobresaliente
El RGPD prevé la posibilidad de sancionar las infracciones cometidas con respecto al tratamiento de datos de carácter personal con multas administrativas de 10 o 20 millones de euros, o en el caso de que se trate de una empresa, de una cuantía equivalente al 2% o al 4% como máximo del volumen de negocio anual global del ejercicio financiero anterior, optando por la de mayor cuantía.
Además, el RGPD, permite a los Estados miembros establecer normas en materia de sanciones penales por infracciones del reglamento, que pueden, incluso, suponer la privación de los beneficios obtenidos a consecuencia del tratamiento llevado a cabo, incumplimiento con lo dispuesto en la normativa. (Art. 83 del RGPD)