El nuevo Reglamento General de Protección de Datos, que es de aplicación obligatoria para todas las empresas establecidas en la Unión Europea a partir del pasado 25 de mayo, ha sido ideado con el objetivo de atajar esta situación. Su objetivo es establecer unas reglas del juego que permitan a usuarios y consumidores gozar de un mayor conocimiento y control sobre lo que las empresas hacen con sus datos.
Más allá del alud de los avisos de cambios en la política de privacidad que la mayoría de consumidores están recibiendo y recibirán en los próximos días por parte de toda clase de compañías, este nuevo reglamento tendrá importantes efectos en nuestro día a día. A partir de la aplicación del reglamento, como novedad, los titulares de los datos personales tendrán derecho a conocer de forma desglosada las finalidades para las que se van a tratar sus datos y la base que legitima dichos tratamientos. Cuando la legitimación sea el consentimiento del interesado, no bastará con un consentimiento tácito, como había ocurrido hasta el momento, sino que será precisa una clara acción afirmativa. Pero ¿qué implica exactamente el nuevo reglamento para el usuario o titular de datos personales?
¿Tengo más derechos que antes?
Sí. A nivel general, el nuevo reglamento obliga a las empresas a actuar de acuerdo con el principio de transferencia y ampliación de los derechos de las personas físicas y la información que deben recibir sobre el tratamiento de sus datos.
¿Qué son los derechos ARCO y en qué se modifican?
Tradicionalmente los derechos ARCO se referían al conjunto de derechos que tenía el titular de datos de carácter personal. El nombre “ARCO” es una sigla formada por la primera letra de cada uno de los derechos (acceso, rectificación, cancelación y oposición).
Todos estos derechos son preexistentes al nuevo reglamento. Así, el derecho de acceso significa que en cualquier momento podemos pedir al responsable del tratamiento información acerca de los datos personales que las empresas han recopilado sobre nosotros, conocer para qué se están tratando, los destinatarios a los que se han comunicado o comunicarán los datos y el plazo previsto de conservación dichos datos. El derecho de rectificación nos sirve para solicitar la modificación de aquellos que sean erróneos o a que se completen los incompletos.
En cuanto a la oposición, este derecho significa que, bajo determinadas circunstancias, podemos negarnos a que con nuestros datos se haga un determinado uso y el derecho de cancelación o supresión supone solicitar que se eliminen nuestros datos personales cuando los datos personales ya no son necesarios para los fines para los cuales se recogieron o cuando queramos retirar un consentimiento que dimos en su día.
¿Qué otros nuevos derechos adquiero?
En ciertas circunstancias, sumamos también el derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado que produzca efectos jurídicos para el interesado. Esto significa que podemos oponernos a que se usen nuestros datos cuando vayan a ser usados por un programa informático para evaluar una decisión que nos afecte (por ejemplo, para evaluar nuestro rendimiento laboral o capacidad de crédito).
Además, el interesado tiene derecho a obtener del responsable una limitación del tratamiento de sus datos, que consiste en solicitar una “suspensión” del tratamiento mientras se verifica la exactitud de los datos impugnada por el interesado; o en impedir su supresión con el fin de que el interesado pueda formular una reclamación.
Se reconoce además el derecho a la portabilidad de los datos, que significa que podemos pedir que nos entreguen una copia de los datos personales delos usuarios cuando se hayan tratado de forma automatizada, en un formato estructurado de lectura mecánica o, incluso, a que dichos datos se transmitan de una empresa a otra. la finalidad de este derecho es fomentar la competencia, facilitando al usuario que pueda cambiar de proveedor de servicios, en especial, en el mercado digital.
¿Cómo notaré el cambio en mí día a día?
A partir de ahora, las empresas que te pidan datos personales deberán hacerlo explicitando para qué van a usar dichos datos (poder recibir un newsletter, formar parte de un club…) y no podrán bajo ningún concepto emplear esos datos con otra finalidad si no te han informado explícitamente de ello. Además, cuando la legitimación de la empresa para tratar tus datos sea tu consentimiento, este tendrá que efectuarse de forma expresa, mediante una clara acción afirmativa, no siendo válidas las casillas pre-marcadas en un formulario. Asimismo, las empresas deberán especificar el plazo máximo en el que van a conservar los datos personales de los interesados, y deberá ser un plazo ajustado al fin declarado.
¿Aumenta la seguridad con la que se gestionan mis datos?
A diferencia de la normativa vigente hasta el 25 de mayo, el reglamento no incluye un catálogo de las medidas de seguridad que deben adoptar las empresas. A partir de dicha fecha, el responsable tiene la obligación de adoptar de forma proactiva todas las medidas técnicas, organizativas y de seguridad, en función de los riesgos de cada tipo de datos que gestione, y además debe ser capaz de demostrarlo. Ello seguramente implicará que, en caso de duda, las empresas aumenten los niveles de seguridad.
¿Va a haber consecuencias en caso de un mal uso de mis datos?
Sí. Si el interesado sufre daños y perjuicios materiales o inmateriales derivados de una infracción del reglamento de protección de datos, tendrá derecho a ser indemnizado por parte del encargado o responsable del tratamiento de los datos.
¿Me enteraré si se produce una brecha de seguridad en la empresa que trata mis datos?
Una brecha de seguridad que afecta a los datos personales es una violación que ocasiona la destrucción, la pérdida o alteración accidental o ilícita de los datos o el acceso no autorizado a dichos datos.
En estos casos el reglamento establece que, cuando dicha violación suponga un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento tiene la obligación de informar a los afectados lo antes posible. En esa comunicación, entre otros temas, la empresa recomendará medidas a los afectados para minimizar los posibles efectos negativos.
¿El nuevo reglamento reconoce el derecho al olvido?
Sí. Como parte del derecho de supresión, si los datos personales ya no son necesarios para los fines para los que se recogieron, el interesado tiene derecho a obtener su supresión.
Por otra parte, si el responsable del tratamiento hubiera publicado los datos personales que debieran suprimirse, , el responsable del tratamiento debe de adoptar las medidas razonables, incluidas medidas técnicas, para que se supriman los datos también en dichos espacios.
Si soy un ciudadano residente en España, ¿qué derechos tengo cuando los datos personales los tratan empresas extranjeras?
Este nuevo reglamento amplía el ámbito de aplicación territorial, lo que supone una garantía adicional para los ciudadanos de la Unión Europea. Así, el reglamento será aplicable también a las empresas que no están establecidas en la Unión Europea pero que tratan datos personales de ciudadanos que sí que residen en la UE en relación con su oferta de bienes o servicios, cuando esta va dirigida a estos ciudadanos.