Seguro que tú también has sufrido el bombardeo de mails de empresas que, como pollo sin cabeza, buscaban ponerse al día del nuevo Reglamento Europeo de Protección de Datos. Y es que somos muchos los que hemos acabado hasta la coronilla de esta marabunta de correos y la historia de Protección de Datos.
Pero… ¿por qué tanto revuelo?
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a bla-bla-blá…, conocido como GDPR por los más 'pro', o, simplemente, nuevo Reglamento para quienes queremos dar una visión más sencilla de la norma, nace con un objetivo muy simple: devolvernos a los usuarios el poder y control sobre nuestros datos.
Para entenderlo, debemos pararnos y analizar la realidad actual. Vivimos en un mundo en el que podemos comprar cualquier cosa desde cualquier lugar, seguir en directo desde una manifestación a un concierto de tu artista favorito, incluso retransmitir en streaming el trayecto que haces en metro hasta el trabajo. Y resulta que lo podemos hacer de forma inmediata y desde cualquier parte, porque no importa que estés en Canadá y el concierto se esté celebrando en Chile. Es pura magia.
Pero esta magia requiere un flujo continuo de información, un ir y venir de datos sin el que la economía y la sociedad actual no podrían funcionar con esa inmediatez.
Pues bien, es en este contexto donde nace el 'fastidioso' nuevo Reglamento: un mundo con ese frenético trasiego de datos exige que los ciudadanos cuenten con los medios necesarios para no perder su control. Por tanto, se trata de seguir dando alas para que la economía y toda nuestra sociedad siga funcionando con la inmediatez que nos brindan las nuevas tecnologías, pero estableciendo el marco normativo que va a garantizar que el ciudadano conserve el poder sobre sus datos.
Llegados a este punto, la pregunta es: ¿cómo contribuye el nuevo Reglamento a esta causa? Imponiendo a las empresas nuevas obligaciones para que sean más transparentes a la hora de explicar cómo y para qué van a usar los datos, quién va a tener acceso a ellos, y reconociendo nuevos derechos a los usuarios. Te resumimos estas obligaciones continuación.
1. Deber de información: Se amplían los detalles sobre el uso de información que deben facilitarse al usuario, por lo que debe adecuarse el contenido de las cláusulas y avisos legales en correos electrónicos, facturas, avisos legales de la web. Además, deben redactarse con un lenguaje comprensible.
2. Esa información previa, más detallada, permitirá obtener el consentimiento libre, informado, específico e inequívoco y para cada finalidad que ahora exige el GDPR.
3. Desaparece la obligación de presentar ficheros, pero sí debe llevarse un "registro de actividades de tratamiento".
4. Los contratos de acceso a datos (de Encargados de Tratamiento), deben ampliar su contenido, puesto que ahora requiere una descripción detallada de los servicios prestados, posibles transferencias internacionales, etc.
5. Nuevos los derechos. Además de los conocidos como ARCO, aparecen otros como el derecho a la portabilidad de los datos, a la limitación del tratamiento y el derecho al olvido.
6. Notificación de Incidencias en 72 horas. Todo fallo de seguridad que haya afectado a datos personales, deberá comunicarse en un plazo de 72 horas a la AEPD, pero también a los afectados.
7. Evaluaciones de Impacto de Privacidad antes de adoptar decisiones o cambios en la empresa que afecten a la privacidad de trabajadores o clientes.
8. Nombrar delegado de protección de datos en los casos que marca la Ley.
9. Regulación de las transferencias internacionales de datos. En caso de enviar o almacenar datos fuera del espacio de la UE, se deberá solicitar permiso específico.
-
Marta Alberola Ruiz de Adana e Inma Cabrera Ros son abogadas, socias de Sáez & Asociados Abogados Consultores Jurídicos