¿Qué se consideran datos personales?
El Reglamento General de Protección de Datos (GDPR) es una nueva ley de la Unión Europea que entra hoy en vigor y es la razón por la que has estado recibiendo continuos correos electrónicos y avisos sobre actualizaciones de políticas de privacidad. Entonces, ¿cómo te afecta esto? Aquí explicamos lo que necesitas saber.
La nueva ley GDPR ha entrado en vigor hoy, 25 de mayo de 2018, y cubre la protección de datos y la privacidad para los ciudadanos de la UE, pero también se aplica a muchos otros países de varias maneras y, dado que todos los gigantes tecnológicos son grandes corporaciones multinacionales, afecta a muchas de las cosas que usas a diario.
El problema que el GDPR está tratando de resolver: las compañías están recolectando y abusando de tu información personal
Desde el comienzo de Internet las empresas han recopilado la mayor cantidad de datos posible sobre cualquier persona que puedan. Es simple recopilar esa información, por lo que no hay motivo para que no la atesoren.
El problema es que en los últimos años muchas empresas han sido sorprendidas al no proteger, o simplemente abusar de, nuestra información personal. El escándalo de Cambridge Analytica, en el que un investigador utilizó una encuesta de Facebook para recopilar grandes cantidades de datos sobre millones de usuarios de Facebook y luego los vendió a una empresa de consultoría, es solo el ejemplo más reciente. El hackeo de Equifax el año pasado fue particularmente malo porque la información filtrada podría usarse para abrir tarjetas de crédito. Y esos son solo los grandes escándalos. Muchas empresas han usado indebidamente nuestros datos en formas más pequeñas, como venderlos a compañías de publicidad de terceros.
La UE ha tenido una débil visión de la situación y está utilizando el GDPR para intentar rectificarlo. Bajo las nuevas leyes, las compañías que no protegen adecuadamente los datos de los consumidores o de alguna manera hagan un mal uso de ellos enfrentan enormes multas.
¿Qué se consideran datos personales?
El GDPR protege los "datos personales", que aquí significa "cualquier información relacionada con una persona física identificada o identificable", y esa es una definición bastante amplia. En realidad, los datos personales generalmente incluirán cosas como:
• Datos biográficos como el nombre, dirección, número de teléfono, número de seguro social, etc.
• Datos relacionados con la apariencia física y comportamiento, como el color, la raza, la altura o el cabello.
• Información sobre la educación e historial de trabajo, como el salario, título universitario, GPA, identificación fiscal, etc.
• Cualquier información médica o genética.
• Cosas como el historial de llamadas, mensajes privados o datos de geolocalización.
Esto está lejos de ser una lista completa. La clave es que cuenta cualquier dato que nos haga identificables. En determinadas circunstancias, el color del cabello puede ser suficiente. En otros, incluso el nombre completo, si no es algo común como Antonio Garcia, podría identificarte.
¿Qué hace el GDPR?
El GDPR proporciona a los residentes de la UE a los que se les recopilan datos personales, denominados en la ley "data subjects (sujeto de datos)", ocho derechos. Son:
• El derecho a estar informado: si una empresa recopila datos, debe informar a los interesados qué se está recopilando, por qué se está recopilando, para qué se está utilizando, por cuánto tiempo se mantendrán y si se van a compartir con terceros interesados. Esta información no puede ser enterrada en términos de servicio que nadie lee; tiene que ser concisa y en lenguaje sencillo.
• El derecho de acceso: si lo solicitan, cualquier organización que tenga datos personales sobre un sujeto de datos debe proporcionárselos dentro de un mes.
• El derecho a la rectificación: si un sujeto de datos descubre que una empresa tiene datos incorrectos sobre él, puede solicitar que se actualicen. Las empresas tienen un mes para cumplir.
• El derecho a borrar: un sujeto de datos puede solicitar en ciertas circunstancias que una empresa elimine cualquier dato retenido sobre él. Por ejemplo, si los datos ya no son necesarios o está retirando su consentimiento para que se utilicen.
• El derecho a restringir el procesamiento: si una organización no puede eliminar los datos de un sujeto de datos, por ejemplo, porque los necesitan para un caso legal, entonces pueden solicitar que la compañía limite cómo se usan.
• El derecho a la portabilidad de datos: los interesados tienen derecho a recoger sus datos personales de un servicio y usarlos en otro.
• El derecho de objeción: si los datos se recopilan sin consentimiento, pero para intereses comerciales legítimos, para el bien público o por una autoridad oficial, el interesado puede presentar objeciones. La organización debe entonces dejar de procesar los datos hasta que puedan demostrar que tienen razones legítimas para hacerlo.
• Derechos relacionados con la toma automatizada de decisiones, incluida la creación de perfiles: el GDPR establece salvaguardas para que las personas puedan objetar u obtener una explicación sobre las decisiones automatizadas que los afectan a ellas y a sus datos.
Otra gran parte de las reglamentaciones es que las empresas deben tener una razón legal para recopilar o procesar cualquier información. Una de las razones legales es que han obtenido el consentimiento para usarlos para un propósito específico, pero hay otras como que los necesitan para cumplir con obligaciones legales o que la recopilación es de interés público.
Como puedes ver, los derechos otorgados a los residentes de la UE bajo la ley son bastante amplios y están obligando a las compañías que recopilan datos de ellos a pensar realmente en lo que están recolectando y por qué. Se han ido los viejos tiempos de simplemente recolectar todo lo que puedan y esperar a encontrar un uso para ello más tarde, al menos en Europa. Esta es la razón por la que casi todos los servicios a los que alguna vez has dado tu dirección de correo electrónico son para contactarle.
Lo que preocupa a muchas compañías es que las sanciones por no cumplir con el GDPR son bastante duras. Según la ley una organización puede recibir una multa de hasta € 20 millones o el 4% de su facturación anual en todo el mundo (lo que sea mayor). Para compañías como Amazon o Google, esto equivale a miles de millones de dólares en multas potenciales si manipulan mal los datos de los residentes de la UE.
Esto ha provocado que muchas empresas reevalúen cómo manejan los datos de los consumidores y algunos de ellas han comenzado a hablar sobre extender los derechos del GDPR a los residentes de fuera de la UE. Y también en muchos casos es más simple para las empresas hacer cumplir un solo conjunto de reglas para todos los clientes.
Por ejemplo, Apple ha lanzado un nuevo portal de privacidad donde las personas pueden descargar todos sus datos personales o eliminar su cuenta, es decir, brindar a las personas los derechos de acceso y borrado. Por el momento solo pueden usarlo las cuentas basadas en la UE, pero en los próximos meses Apple planea implementarlo en todo el mundo. Del mismo modo, Facebook está murmurando sobre dar las mismas protecciones GDPR a algunos usuarios fuera de la UE.
