El fin de los mails con propaganda basura

El nuevo Reglamento de Protección de Datos, que entra en vigor el 25 de mayo, blinda la información de los usuarios y multará a las empresas que envíen comunicaciones sin consentimiento.

Desde hace unos meses, todos hemos empezado a recibir por correo electrónico mensajes de empresas (bancos, redes sociales, aplicaciones, páginas web, etc.) en los que nos piden nuestro consentimiento para utilizar los datos personales que guardan de nuestra relación con las mismas.

Eso se debe a que, a partir del 25 de mayo, si vivimos en la Unión Europea se precisa un consentimiento inequívoco para que empresas y organismos puedan usar nuestros datos. Todo ello está contemplado en la nueva ley de protección de datos o GDPR (General Data Protection Regulation por sus siglas en inglés o Reglamento General de Protección de Datos en español), una normativa que afecta a todas aquellas empresas que traten datos de los ciudadanos europeos, sin importar en qué lugar del mundo se encuentre su sede.

El texto completo de la nueva norma es extenso y muy complejo. Servirá para reunir las diferentes legislaciones de cada país miembro de la UE (sus derechos y obligaciones) en un solo cuerpo y, al mismo tiempo, adaptarlas a los desafíos actuales. Algo imprescindible si tenemos en cuenta que España se regía por la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) de 1999.

Esto es lo que debemos saber, como usuarios, sobre el nuevo reglamento:

Consentimiento. Por fin, según consta en el GDPR, se acabaron las condiciones de uso extensas e incomprensibles. «Las condiciones para el consentimiento se han reforzado –explica la normativa–, y las compañías ya no podrán usar términos y condiciones ilegibles largos y llenos de jerga legal. La solicitud de consentimiento debe darse en una forma legible y de fácil acceso». Otro aspecto es que nos deberán informar, como usuarios o clientes, qué datos nuestros están utilizando, para qué y quienes serán los responsables de los mismos. De hecho, si lo solicitamos, se nos debe enviar una copia de los datos personales que tienen, en formato digital y de forma gratuita.

Derecho al olvido. También conocido derecho de supresión. Se refiere al derecho a que los responsables del tratamiento borren nuestros datos personales de forma inmediata si se cumplen diferentes supuestos (la información ya no es relevante para los propósitos, el usuario o cliente retira su consentimiento o los datos han sido tratados de un modo distinto para el que se ha dado consentimiento). Sin embargo, las empresas y organismos también pueden negarse a ello si se trata de información vinculada al «interés público en la disponibilidad de los datos». Este último supuesto es uno de los más complejos. Por ejemplo, si los datos son «necesarios para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento», si el interesado ha hecho manifiestamente públicos los datos, si se tratase de información vinculada a la salud pública y hasta se puede negar a borrarlos aduciendo «fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos».

Privacidad.

El GDPR habla de «privacidad por diseño», algo que, pese a llevar años en la práctica, ahora se ha vuelto obligatorio. Se trata de que «el responsable del tratamiento aplicará las medidas técnicas y organizativas adecuadas para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados (...) Solo se retendrán y procesarán los datos absolutamente necesarios para el cumplimiento de sus funciones (minimización de datos)». Es decir, nadie podrá pedir información vinculada al domicilio o miembros de la familia o tipo de hipoteca (por poner un ejemplo) si no tiene directa relación con los servicios que presta.

Información personal. Comienza a existir una diferencia entre la información personal y la privada. Esto implica que «queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, relativos a la salud o a la vida sexual». En cualquier caso, siempre será posible pedir un archivo con la información que tienen sobre nosotros, el cual se deberá, como explicamos previamente, enviar en formato electrónico.

Seguridad. Ya no vale informar a los usuarios o clientes de una brecha en la seguridad que haya provocado la filtración de información personal, meses o incluso años después. La nueva norma recoge que esto se debe hacer público en un lapso de 72 horas desde que se ha tenido conocimiento del problema. También se recoge que se deberá informar a los usuarios qué datos se han filtrado de modo directo: los afectados recibirán un comunicado que lo deje claro.

Edad. Se trata de un signo de los tiempos: muchos menores de 16 ya tenían cuentas en redes sociales, se descargaban aplicaciones y enviaban información en plataformas de videojuegos online. Pero no era legal. Ahora la edad mínima, en toda la UE ha pasado a ser de 13 años. Esto es importante en varios aspectos. Primero, el acuerdo de uso también debe ser comprensible para quienes tengan esta edad, ya no vale con los acuerdos tácitos o las casillas premarcadas. La medida provocará un importante cambio en sectores que no están acostumbrados a manejar datos y tecnología de modo tan específico, como pueden ser los centros educativos. Seguramente comenzaremos a recibir, los padres, correos electrónicos o comunicados a este respecto.

Responsabilidad propia. No todos los deberes pasan por las empresas. Los usuarios también tenemos los nuestros. Un ejemplo es la solicitud de información. Cuando le pidamos a Facebook o Instagram que nos envíen los datos que tienen sobre nosotros, sólo están obligados a enviar aquellos que nosotros les hemos facilitado, pero no todo lo vinculado a nuestra acción en las redes sociales: es decir, si publicamos imágenes de viajes o personas, si etiquetamos lugares o tiendas, no nos tienen que decir que hemos visitado aquellos sitios o comprado en determinados comercios.

Videovigilancia. Aquí se especifica que «las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones». Es decir, nos pueden grabar, pero excepto en caso de algún proceso judicial, las imágenes se deben borrar a los 30 días.

Futuro. La nueva normativa se lleva discutiendo en la Unión Europea desde hace nueve años. Desde entonces la tecnología ha avanzado mucho y lo ha hecho a una velocidad superior a la legislativa. Si bien el Reglamento General de Protección de Datos es una norma consistente y confiable, quedan muchas lagunas para la interpretación. Hay dos grandes ventajas: los usuarios tenemos algo más de poder (o somos algo menos vulnerables) y nace una nueva profesión, el jefe de datos o «Chief Data Officer», una figura encargada de informar a empleados y usuarios sobre la ley de protección de datos. No todas las empresas están obligadas a contratar uno, pero si tiene más de 250 empleados, la GDPR lo recomienda.