Comparte:
Transformación Digital
26 de abril de 2018

La soberanía del usuario sobre sus datos y las claves del nuevo RGPD para conseguirlo

La soberanía del usuario sobre sus datos y las claves del nuevo RGPD para conseguirlo

La soberanía del usuario sobre sus datos y las claves del nuevo RGPD para conseguirlo

Escrito por , 26/04/2018

Ya está aquí. Tras dos años desde su entrada en vigor, en apenas un mes el Reglamento General de Protección de Datos europeo (RGPD en español, GDPR por sus siglas en inglés y LOPD europea para los amigos) será de obligado cumplimiento. El objetivo de este artículo es tratar de mostraros el nuevo escenario para  llegar a él con menos incertidumbre. Para ello trataré de explicar qué nos espera a partir del 25 de mayo y por qué.

Esta nueva ley viene a sustituir a la anterior directiva europea de 1995, para suplir sus carencias, que son principalmente dos: la primera, que no fue uniformemente aplicada en toda la Unión Europea ni al mismo tiempo y, la segunda, su obsolescencia tecnológica. Por ello esta nueva legislación aparece ahora y con forma de reglamento, no de directiva, con la intención de garantizar su aplicación, si bien en la ley hay varios puntos importantes en los que se delega en la legislación y las herramientas de los países (por ejemplo en las sanciones).

En España se está trabajando desde noviembre del año pasado en una nueva LOPD aplicada a la RGPD que se pretende que esté lista para el 25 de mayo para poder hacer efectivo el reglamento europeo desde el principio, pero no es seguro que se consiga. En tal caso, habría un periodo en el que sabríamos qué está mal y qué está bien con respecto a la protección de datos, pero no sabríamos cómo aplicar el código en muchos aspectos ni  habría nadie que aplicase sanciones. De ahí que muchas empresas aún no estén adaptadas del todo tampoco. Esto respecto a la forma del reglamento.

En cuanto a su fondo, la idea central es la soberanía del usuario sobre sus datos. O, dicho de otro modo, aunque el usuario haya cedido sus datos, siempre debe tener control sobre ellos y sobre su uso. Además, cambia el enfoque de la protección: no trata tanto de proteger el fichero de los datos, sino de garantizar la legalidad de los diversos tratamientos que se puedan derivar de dichos datos.

Pero, ¿a qué “datos” aplica el código? Se refiere a los datos personales, es decir, a “toda información sobre una persona física identificada o identificable”. Por cierto, en las formas de identificación se incluye, como novedad, una dirección IP.

¿Y a quién se aplica el ordenamiento? Está destinado a empresas establecidas en la Unión Europea que traten datos personales, y también a empresas no establecidas en la UE que traten datos u observen el comportamiento de personas en la Unión.

Y en cuanto a quién debe hacer cumplir la norma, quién pondrá las multas, habrá una autoridad de control en cada país encargada de ello, en el caso de España la Agencia Española de Protección de Datos (AEPD).

Al defender la soberanía del usuario sobre sus datos, la ley define una serie de conceptos clave para realizar una correcta protección de la información. Uno de los más importantes es el consentimiento del usuario para ceder sus datos. La solicitud de consentimiento deberá ser clara y no estar mezclada con otras solicitudes o términos legales. Además, el responsable de los datos deberá ser capaz de demostrar en todo momento que recibió el consentimiento. Y, sobre todo, será tan fácil retirar el consentimiento como darlo.

Además, se define una nueva figura: el delegado de protección de datos (DPD, DPO por sus siglas en inglés): una persona independiente que se encargará de velar por el cumplimiento de la ley en la empresa y de la interlocución con la autoridad de control.

Otros elementos nuevos y característicos de esta ley son:

  • La clasificación de los datos, que ahora se dividirán entre no sensibles y sensibles (orientación sexual, religión, ideología…).
  • Seudonimización: la posibilidad de, a partir de datos personales, separar la identificación de las personas del resto de datos para poder tratarlos. Por ejemplo, hacer anónimos datos de historiales médicos para realizar estudios.
  • Las sanciones máximas que podrán ser de hasta 20 millones de euros o el 4 por ciento del negocio anual total de la empresa, según cuál sea mayor.
  • El concepto de fichero de datos deja de existir. En cambio, se llevará un registro de los tratamientos que se hacen de los datos.

Y, una vez que entendemos un poco mejor el contexto, llegamos al núcleo, la razón de ser de la normativa: los derechos de los usuarios. Además de incluir los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición ampliados), añade otros nuevos:

  • Derecho de acceso: amplía este derecho al especificar que se debe informar sobre el plazo de conservación del dato o los criterios para establecerlo, así como de la existencia de decisiones automatizadas, su lógica y las consecuencias para el usuario.
  • Derecho de supresión: conocido como el derecho de cancelación de los ARCO, con la diferencia de que incluye el “derecho al olvido”: cuando el usuario pida retirar sus datos de la red, el responsable de los mismos debe hacerlo e informar a los que los posean de que deben eliminarlos.
  • Derecho a la limitación del tratamiento: incluye la posibilidad de marcar los datos personales conservados para limitar su tratamiento en el futuro.
  • Derecho a la portabilidad de los datos: el interesado podrá recibir los datos que le incumban en un formato estructurado y de lectura mecánica y transmitirlos a otro responsable de tratamiento de datos. Se está estudiando si este derecho ampara el caso en el que el usuario quiera transmitir los datos generados por su actividad en una aplicación a otra. Por ejemplo, poder pasar una valoración como usuarios de BlaBlaCar a otra aplicación de transporte.
  • Derecho a no ser objeto de perfilado: los usuarios tendrán derecho a no ser objetos de una decisión totalmente automatizada en base a sus datos, que tenga efectos en su persona, incluida la elaboración de perfiles.

En resumen, se trata de una ley que pretende unificar el tratamiento de datos en toda la Unión Europea con un objetivo claro: que el usuario tenga el control de sus datos en todo momento. Y no solo de sus datos, sino del tratamiento que se hace de ellos, de ahí que se sustituya la figura del fichero por la del tratamiento. Además, la normativa contempla los nuevos escenarios tecnológicos al añadir el derecho al olvido, entre otros. Finalmente, para su aplicación serán imprescindibles las leyes nacionales.

Hasta aquí la teoría; la práctica la iremos conociendo próximamente.

Imagen: Sean Ellis

Sobre el autor

Gonzalo García-Marcos Mendoza

Gonzalo García-Marcos Mendoza

Soy ingeniero telemático por la UPM y trabajo en Telefónica España, en el área de Ingeniería especializada en cloud. La tecnología no es buena ni mala, es una herramienta; enseñemos a la sociedad cómo usarla. Leer, hacer deporte y viajar son para mí como el comer, beber y dormir.
Ver todos sus artículos »