El Reglamento General de Protección de Datos (en inglés, General Data Protection Regulation o GDPR) es el mayor cambio en las leyes de protección de datos de los últimos 20 años y, cuando entre en vigencia el 25 de mayo de 2018, su propósito será devolverles a los ciudadanos europeos el control de sus datos personales.
Sin embargo, el impacto no se sentirá solamente en Europa, ya que tendrá implicaciones más amplias para las empresas de todo el mundo que posean datos en el continente.
Aunque este cambio es una gran noticia para los individuos, presenta problemas complejos para las empresas que no acaten la ley. Por ejemplo, podrían recibir multas de decenas de millones de euros si infringen las nuevas normativas. Para que conozcas todos los aspectos importantes, preparamos esta explicación sencilla donde respondemos a las preguntas principales.
1. ¿Qué es entonces el GDPR?
Se trata de un nuevo conjunto de normas establecidas por la Comisión Europea que rigen la privacidad y la seguridad de los datos personales.
La nueva ley única de protección de datos introducirá importantes cambios en todas las leyes europeas de privacidad y sustituirá la obsoleta Ley de protección de datos de 1995.
2. ¿Cuál es el objetivo de las nuevas leyes?
Fueron diseñadas para devolverles el poder a los ciudadanos sobre cómo se procesan y usan sus datos.
De acuerdo con las nuevas reglas, los individuos tienen "el derecho a ser olvidados", es decir que podrán solicitarles a las empresas que eliminen su información cuando deje de ser necesaria o correcta.
Además, su intención es simplificar el entorno regulador.
3. ¿Cómo afectará a las personas?
Además del derecho a ser olvidado, la ley incluye disposiciones que potencialmente podrían aumentar los derechos de los consumidores sobre sus datos.
Pero aún hay una enorme área gris en lo que respecta a cómo se aplicará en la realidad. Las leyes implican que, en teoría, una persona podría pedirles a las redes sociales como Facebook que eliminen su perfil por completo.
Las leyes relativas a la libertad de expresión impedirán que "el derecho a ser olvidado" se extienda a los artículos de prensa.
Pero existe la posibilidad de que las personas transfieran sus datos de un servicio a otro más fácilmente, lo que es una excelente noticia para los consumidores, ya que facilitará el cambio de proveedor de servicios, seguros o ISP.
4. ¿Cómo afectará mi negocio?
Este cambio radical en las leyes de protección de datos es muy bueno para los individuos, pero podría significar multas enormes para las empresas que no cumplen con las leyes.
Esto se debe a que las fugas de datos se han vuelto cada vez más comunes en los últimos años. Sin embargo, devolverles a los ciudadanos el control de sus datos personales complejos no es para nada una tarea fácil.
Es necesario resolver cómo les devolverán el control de los datos, cómo se asegurarán de que los datos se almacenen adecuadamente durante su uso y luego se eliminen de forma segura. Es un problema sumamente técnico y está repleto de complicaciones.
5. ¿Cuánto costará?
El cambio más grande en la ley es el incremento en las multas a las compañías que no cumplan con las normativas: hasta el 4% de su facturación global o 20 millones de euros, lo que sea mayor.
Sin duda, esta amenaza es lo suficientemente grande como para asustar a las empresas y obligarlas a cambiar la forma en que manejan los datos.
6. Pero yo no estoy en la UE; ¿igual afectará mi negocio?
El GDPR tiene graves implicaciones para las empresas de países fuera de la UE. Por lo tanto, aunque tu empresa esté establecida en el extranjero, si tiene datos pertenecientes a cualquier persona que viva en Europa, eres responsable.
En resumen, si procesas datos que pertenecen a personas que viven y trabajan dentro de la UE, estarás sujeto a algunos aspectos de las nuevas directivas.
Hay más información en el artículo de Stephen Cobb que explica por qué el GDPR debería importarte aunque no trabajes en Europa.
7. ¿Qué deben saber las empresas?
La Oficina del Comisionado de Información (ICO, del inglés) del Reino Unido recientemente publicó una serie de directrices para ayudar a las empresas a prepararse para el GDPR.
También recomienda que las compañías revisen los avisos de privacidad y se aseguren de que haya un plan vigente que les permita hacer todos los cambios necesarios para cumplir con el GDPR.
Sin embargo, las nuevas medidas no son tan atemorizantes como se pensaba, ya que la ICO asegura que contendrán muchos de los mismos principios y conceptos que la actual Ley de protección de datos. Esto significa que las empresas que ahora cumplen correctamente con la legislación de 1995 probablemente ya estarán cubiertas.
De todas formas, se prevé que las empresas comenzarán con las búsquedas para contratar responsables de protección de datos para así asegurarse de contar con el personal adecuado.
8. ¿Qué otras ramificaciones potenciales puede haber?
Una vez que el GDPR entre en vigor, las empresas seguramente comenzarán a enfrentar más desafíos legales sobre problemas de privacidad por parte de individuos y de grupos que actúen en nombre de los ciudadanos.
Pero también encontrarán menos desafíos por parte de los agentes reguladores de cada país, debido a la cláusula de "oficina centralizadora". Dicha cláusula determina que la responsabilidad de llevar a cabo una acción legal es del regulador que se encuentra en el mismo país donde la empresa tiene su casa matriz.
Los reguladores también tendrán más poder para intervenir en caso de que consideren que otro regulador es demasiado indulgente.
Para más información sobre el General Data Protection Regulation, ESET preparó una página especial para que cuando llegue el momento, te asegures de tener todo cubierto.