El GDPR se aceptó en 2016 y hoy es realidad para los países pertenecientes a la Unión Europea.

Con gran solemnidad y sabiendo que es un avance importante para quienes ocupan internet empezó a regir en la Unión Europea (UE), el Reglamento de Protección de Datos Personales (GDPR, por sus siglas en inglés) el cual fue aprobado en 2016. Aunque uno puede pensar que por justa razón sólo afecta a los usuarios que viven en Europa, termina afectando a todas las empresas que recopilan y usan datos de miembros que se encuentran en la UE.

Es por esa razón que finalmente muchas empresas han decidido ajustar las reformas a sus plataformas a los usuarios que poseen alrededor del mundo. Por ejemplo, los usuarios de Gmail, Facebook y variadas redes sociales han recibido un correo informándoles acerca de las modificaciones.

El Account Manager para el Cono Sur de Forcepoint, Javier Chistik, señaló al portal argentino Infobae que finalmente “GDPR impacta a muchas empresas en América Latina que tienen lazos o negocios con Europa y, por lo tanto, es algo que no podemos ignorar. Confío en que el impacto de GDPR no solo será el nivel comercial, sino también se verá a futuro en las regulaciones locales”.

¿Qué entendemos por datos personales?

El GDPR define los datos personales de las personas como toda aquella información que se puede vincular directa o indirectamente a una persona. Es decir, pueden ir desde el nombre completo o domicilio de un individuo hasta información acerca de su condición social, estado civil o inclusive dirección IP.

Como se señaló, la normativa que entró en vigencia el pasado viernes 25 de mayo aplicará per se a todos los usuarios que se encuentren en la Unión Europea. En este sentido también afecta a todas las empresas que, aunque no residan en el viejo continente, utilicen datos de usuarios pertenecientes a esa región. Un ejemplo claro de ello son plataformas como Google, Facebook, Twitter o Amazon. Se debe precisar que los cambios impactan a compañías que reciben transferencias de datos desde la UE.

Al respecto los puntos más trascendentes del GDPR son los siguientes:

1. Consentimiento

Primero que todo, todas las compañías deben contar con consentimiento expreso, libre, inequívoco e informado de los usuarios para acceder y usar sus datos personales. Por ellos se exige que las empresas deben procurar informar de forma clara y entendible qué información utilizarán, por cuánto tiempo y con qué propósito. Al respecto hay una excepción, puesto que existen casos donde hay obligaciones legales o interés público en el cual las empresas deben justificar.

2. El consentimiento para menores de edad

Para quienes tienen menos de16 años, el consentimiento acerca de la recolección y tratamiento de sus datos personales queda en manos de sus padres o tutores. Se precisa que se elige los 16 años como como edad límite, aunque finalmente cada estado miembro de la UE puede elegir a partir de qué edad se considera a una persona menor de edad.

La Unión Europea resguardará los datos de sus usuarios, aunque esto puede afectar a otros de distintas partes el mundo.

3. Derecho al olvido

Un acápite importante de la normativa tiene que ver con relación a que los usuarios podrán solicitar a una empresa u organismo que elimine sus datos personales, si considera que estos ya no son relevantes, son erróneos o incluso fueron obtenidos de forma ilícita. Esto no es nuevo, porque muchas compañías lo estaban implementando 2014, ahora queda normado por ley.

Un tema importante es que este derecho no es absoluto, porque también se resguardan otros derechos como el derecho a la libertad de expresión y el derecho a la investigación.

4. Portabilidad de datos

Un usuario puede solicitar a cualquier empresa que le otorgue acceso a todos los datos personales recolectados con anterioridad, para de esta forma transferirlos a otra compañía, sí así lo desea.

5. Procedimientos claros

Un tema fundamental tiene relación con los procedimientos definidos y claros que deben tener las empresas para proteger los datos de sus usuarios, para reaccionar frente a incidentes que pueden presentarse. Por ese motivo todas las empresas deben implementar un software especializado el cual está diseñado para calcular el posible riesgo de las herramientas, la trazabilidad y el tratamiento de la información para de ese modo impedir o minimizar posibles pérdidas.

El Reglamento de Protección de Datos Personales (GDPR, por sus siglas en inglés).

6. Reporte de fallas a las autoridades

Si se produce una filtración o falla de seguridad, las compañías deben obligatoriamente notificar a las autoridades pertinentes en un plazo máximo de 72 horas. Si se excede este plazo, la empresa puede ser multada por el hecho en sí mismo, y por supuesto, la mora.

7. Derecho a reclamo

Este derecho tiene relación a que los usuarios pueden presentar sus reclamos y si es necesario ir a juicio y obtener una indemnización si un tribunal competente lo determina. Si se incumple esta normativa se pueden generar sanciones millonarias, las cuales pueden ser de hasta 20 millones de euros o el 4% de la facturación de la empresa en cuestión, en ese sentido se definirá la cifra que sea mayor.

Finalmente, la supervisión y control de la aplicación de esta normativa queda en manos de la autoridad competente elegida en cada estado miembro de la UE, que a su vez estará permanente en comunicación con la Comisión Europea. En este sentido las empresas dejarán de preocuparse de cumplir con una legislación diferente según el país en cuestión, y de esta forma deben seguir las reglas establecidas por una única autoridad.