Capitular La opacidad con la que actúan las redes sociales, que recogen, almacenan y venden datos personales a terceros para hacer negocio, ha quedado al descubierto con el escándalo de Cambridge Analytica, una empresa británica que utilizó sin consentimiento datos de 87 millones de clientes de Facebook, casi tres millones de ellos europeos. El nuevo reglamento sobre protección de datos de la Unión Europea, que será de obligado cumplimiento desde hoy viernes, intentará precisamente evitar que se repitan situaciones similares dando más protección a los 250 millones de ciudadanos que utilizan diariamente internet en Europa.
Los correos electrónicos que estos últimos días empresas e instituciones han enviado a los ciudadanos (a veces de forma masiva) obedecen, precisamente, a la entrada en vigor de este reglamento comunitario.
La normativa, de 80 páginas y 99 artículos, fue aprobada hace dos años, en abril de 2016, para reemplazar otra de 1995, «la edad de piedra» en términos digitales, según la asociación de consumidores europeos (BEUC), cuando el multimillonario fundador de Facebook, Mark Zuckerberg, tenía solo 11 años. El reglamento no supone, según la Comisión Europea, una revolución, pero sí una evolución destinada a reforzar derechos, mejorar el control y la privacidad de los datos personales y exigir a empresas y todo tipo de organizaciones un uso transparente de la información de sus clientes. Estas son algunas de las claves y los nuevos derechos reconocidos.
LENGUAJE CLARO Y SENCILLO /. Las interminables solicitudes de consentimiento deberán estar escritas con un lenguaje claro y fácil de entender. Desde el gigante Facebook hasta cualquier empresa que utilice datos digitales de sus clientes tendrán que especificar qué uso harán de los datos personales, durante cuánto tiempo se conservarán, con quien se compartirán, si serán transferidos fuera de la UE y cómo retirar el consentimiento, que deberá ser específico, informado e inequívoco, cuando un cliente desea retirarlo. El objetivo: que las empresas no puedan escudarse en las extensas condiciones jurídicas que nunca se leen para esquivar las políticas de privacidad. El silencio no será suficiente y el consentimiento, para ser válido, tendrá que ser afirmativo.
ACCESO A DATOS PERSONALES / El reglamento garantiza el acceso de todos los usuarios a los datos personales en manos de una organización, de forma gratuita, así como a obtener una copia en un formato accesible. Aunque en ocasiones prevalece el interés público, el reglamento también consagra el derecho de los usuarios a solicitar la corrección de datos inexactos, incompletos o incorrectos sin una dilación indebida. La normativa también consagra el derecho a oponerse a la recepción de publicidad directa, la obligación de las empresas de no enviar formularios con casillas premarcadas y más protección para los menores. Por ejemplo los menores de 16 no podrán seguir utilizando aplicaciones y servicios digitales sin autorización de los padres.
RECTIFICACIÓN / Cualquier usuario podrá pedir en todo momento que se borren sus datos personales si ya no desea que se traten y no existe ninguna razón legítima para que una empresa los conserve. Por ejemplo, si al hacer una búsqueda en internet uno encuentra un enlace a un artículo de prensa sobre una antigua deuda que ya pagó podrá pedir al motor de búsqueda la eliminación del enlace. Este derecho está limitado por la libertad de información y de expresión y serán los tribunales o la autoridad de protección de datos la que determinará en cada caso.
PORTABILIDAD DE DATOS / Al igual que ocurre con el número de teléfono móvil, un usuario podrá pedir a una red social que le devuelvan sus datos o que los trasladen a otra empresa cuyos servicios quiera utilizar. El proveedor original, ya sea una red social, un banco o cualquier prestador de servicios, estará obligado a transmitirlos al nuevo proveedor en un formato de uso común y lectura mecánica que facilite su uso en otros sistemas.
PÉRDIDA DE DATOS / Si una empresa sufre una brecha de seguridad y le roban datos de sus clientes tendrán que notificarlo rápidamente a la autoridad de control de datos y al afectado de forma personal si la violación de la seguridad supone un riesgo. Para ello tendrán un plazo máximo de 72 horas. Si la compañía no lo hace podrá ser objeto de sanciones.
MULTAS POR VULNERACIÓN / Cualquier usuario podrá presentar una denuncia ante la autoridad nacional de protección de datos o los tribunales e incluso las asociaciones de defensa de los consumidores. Los usuarios podrán pedir compensaciones por daños materiales o inmateriales.Las empresas podrán ser sancionadas con hasta 20 millones o el 4% de sus beneficios mundiales.
AMBITO DE APLICACIÓN / Todas las empresas, sean europeas o extranjeras, que gestionan datos digitales de clientes residentes en Europa tendrán que cumplir las nuevas normas de protección de datos. Los Estados miembros siguen trabajando para adaptar su legislación aunque no todos estarán listos desde hoy. Pese a los dos años que han tenido los gobiernos para prepararse, hay siete que no han hecho aún los deberes, entre ellos Bélgica, Bulgaria, Chipre, Hungría y también en Eslovenia.
