El tratamiento y protección de los datos personales es uno de los grandes retos que plantea la era digital, en la que las empresas han tenido luz verde para pedir a los usuarios información personal a cambio de servicios gratuitos. Aunque el tratamiento de estos datos está regulado, la mayoría de los usuarios no tenemos constancia sobre la información que las empresas conservan sobre nosotros ni para qué fines la utilizan.
El nuevo Reglamento General de Protección de Datos, de aplicación obligatoria para todas las empresas establecidas en la Unión Europea a partir del 25 de mayo, ha sido ideado con el objetivo de atajar esta situación y establecer reglas que permitan a usuarios y consumidores gozar de un mayor conocimiento y control sobre lo que las empresas hacen con sus datos.
Más allá del alud de los avisos de cambios en la política de privacidad que la mayoría de consumidores están recibiendo y recibirán en los próximos días, este nuevo reglamento tendrá importantes efectos. A partir de la entrada en vigor del reglamento, los titulares de los datos personales tendrán derecho a conocer de forma desglosada las finalidades para las que se van a tratar sus datos y la base que legitima dichos tratamientos. Cuando la legitimación sea el consentimiento del interesado, será precisa una clara acción afirmativa. Pero ¿qué implica exactamente el nuevo reglamento para el usuario o titular de datos personales? Das ha elaborado esta guía.
¿Tengo más derechos que antes?
Sí. A nivel general, el nuevo reglamento obliga a las empresas a actuar de acuerdo con el principio de transferencia y ampliación de los derechos de las personas físicas y la información que deben recibir sobre el tratamiento de sus datos.
¿Qué son los derechos ARCO y en qué se modifican?
Tradicionalmente los derechos ARCO se referían al conjunto de derechos que tenía el titular de datos de carácter personal. El nombre “ARCO” es una sigla formada por la primera letra de cada uno de los derechos (acceso, rectificación, cancelación y oposición).
Todos ellos son preexistentes al nuevo reglamento. El derecho de acceso significa que en cualquier momento podemos pedir al responsable del tratamiento información acerca de los datos personales que las empresas han recopilado sobre nosotros, conocer para qué se están tratando, los destinatarios a los que se han comunicado o comunicarán los datos y el plazo previsto de conservación dichos datos. El derecho de rectificación nos sirve para solicitar la modificación de aquellos que sean erróneos o a que se completen los incompletos.
En cuanto a la oposición, significa que, bajo determinadas circunstancias, podemos negarnos a que con nuestros datos se haga un determinado uso. El derecho de cancelación o supresión supone solicitar que se eliminen nuestros datos personales cuando los datos personales ya no son necesarios para los fines para los cuales se recogieron o cuando queramos retirar un consentimiento que dimos en su día.
¿Qué otros nuevos derechos adquiero?
En ciertas circunstancias, sumamos también el derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado que produzca efectos jurídicos para el interesado. Esto significa que podemos oponernos a que se usen nuestros datos cuando vayan a ser usados por un programa informático para evaluar una decisión que nos afecte (por ejemplo, para evaluar nuestro rendimiento laboral o capacidad de crédito).
Además, el interesado tiene derecho a obtener del responsable una limitación del tratamiento de sus datos, que consiste en solicitar una “suspensión” del tratamiento mientras se verifica la exactitud de los datos impugnada por el interesado; o en impedir su supresión con el fin de que el interesado pueda formular una reclamación.
Se reconoce además el derecho a la portabilidad de los datos. Es decir, el usuario podrá solicitar una copia de los datos personales tratados de forma automatizada en un formato estructurado de lectura mecánica o, incluso, a que dichos datos se transmitan de una empresa a otra. La finalidad de este derecho es fomentar la competencia, facilitando al usuario que pueda cambiar de proveedor de servicios, en especial, en el mercado digital.
¿Cómo notaré el cambio en mí día a día?
A partir de ahora, las empresas soliciten datos personales deberán hacerlo explicando de manera clara para qué van a ser utilizados. No podrán bajo ningún concepto emplear esos datos con otra finalidad sin informar explícitamente de ello. Además, cuando la legitimación de la empresa para tratar los datos sea el c¡consentimiento, este tendrá que efectuarse de forma expresa, mediante una clara acción afirmativa, no siendo válidas las casillas pre-marcadas en un formulario. Asimismo, las empresas deberán especificar el plazo máximo en el que van a conservar los datos personales de los interesados, y deberá ser un plazo ajustado al fin declarado.
¿Aumenta la seguridad con la que se gestionan mis datos?
A diferencia de la normativa vigente hasta el 25 de mayo, el reglamento no incluye un catálogo de las medidas de seguridad que deben adoptar las empresas. A partir de dicha fecha, el responsable tiene la obligación de adoptar de forma proactiva todas las medidas técnicas, organizativas y de seguridad, en función de los riesgos de cada tipo de datos que gestione, y además debe ser capaz de demostrarlo. Ello seguramente implicará que, en caso de duda, las empresas aumenten los niveles de seguridad.
¿Va a haber consecuencias en caso de un mal uso de los datos?
Sí. Si el interesado sufre daños y perjuicios materiales o inmateriales derivados de una infracción del reglamento de protección de datos, tendrá derecho a ser indemnizado por parte del encargado o responsable del tratamiento de los datos.
¿Qué ocurre si se produce una brecha de seguridad en la empresa que trata los datos?
Una brecha de seguridad que afecta a los datos personales es una violación que ocasiona la destrucción, la pérdida o alteración accidental o ilícita de los datos o el acceso no autorizado a dichos datos.
El reglamento establece que cuando dicha violación suponga un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento tiene la obligación de informar a los afectados lo antes posible, recomendando las medidas necesarias a los afectados para minimizar los posibles efectos negativos.
¿El nuevo reglamento reconoce el derecho al olvido?
Sí. Como parte del derecho de supresión, si los datos personales ya no son necesarios para los fines para los que se recogieron, el interesado tiene derecho a obtener su supresión. Por otra parte, si el responsable del tratamiento hubiera publicado los datos personales que debieran suprimirse, debe adoptar las medidas oportunas, incluidas las técnicas, para eliminar los datos también en dichos espacios.
Si soy un ciudadano residente en España, ¿qué derechos tengo cuando los datos personales los tratan empresas extranjeras?
La nueva legislación amplía el ámbito de aplicación territorial, lo que supone una garantía adicional para los ciudadanos de la Unión Europea. El reglamento será aplicable también a las empresas que no están establecidas en la Unión Europea pero que tratan datos personales de ciudadanos que sí que residen en la UE en relación con su oferta de bienes o servicios, cuando esta va dirigida a estos ciudadanos