MIRENTXU MARIÑO / DANIEL G. APARICIO
Este viernes, 25 de mayo, comienza a aplicarse el nuevo reglamento europeo sobre tratamiento de datos personales (GDPR o RGPD). Más allá de las cuestiones básicas, contestadas aquí, estas son algunas de las preguntas que los ciudadanos se pueden estar haciendo:
¿Es el apocalipsis?
Sí y no. Hay incertidumbre, confusión y miedo (sobre todo esto) a las sanciones. "Todo el mundo ha tenido dos años para prepararse", dijo en enero Mar España, directora de la Agencia Española de Protección de Datos (AEPD); incluido el sector público. Cierto, aunque hay que recordar que: el texto ha sufrido modificaciones serias recientes en su versión española y que aún está pendiente la reforma de la Ley de Protección de Datos nacional, que desarrollará parte del reglamento. En la parte positiva, la GPDR (General Data Protection Regulation) no modifica tantas cosas y es solo "el principio" para un cambio mentalidad y de cultura de privacidad, opina Jorge Campanillas, abogado especialista en derecho de las TIC en Iurismatica.
¿Quién maneja mis datos?
El banco, las compañías que suministran internet y el gas, Instagram, una tienda online de ropa, un servicio de streaming, una carnicería que una vez hizo un sorteo, la universidad, el Ayuntamiento, el dermatólogo, varias apps del móvil, etc.
SPAM en el correo
En las últimas semanas (o días), decenas de correos electrónicos han llegado a nuestros buzones para hablarnos de la GDPR. ¿Qué hacer? "Primero hay que ver si proceden o no, y la mayoría no proceden", explica Samuel Parra, abogado especializado en protección de datos y privacidad en Eprivacidad. Todos son diferentes y piden cosas de forma distinta.
Algunos ejemplos: los que informan de que cambia la ley a nivel europeo; los que informan de que han cambiado sus condiciones; los que piden consentimiento para seguir recibiendo comunicaciones, aunque ya se lo dimos en su día; los que piden consentimiento para seguir recibiendo comunicaciones, nunca antes nos habían escrito y, sin embargo, tienen nuestros datos; los que dicen que lo necesitan, pero luego no piden nada. Y así hasta el infinito.
Casi todo son newsletters y páginas web en las que estamos registrados. En la mayoría ya habíamos dado un consentimiento previo compatible con el nuevo reglamento (no tácito, sino expreso), por lo que "no hace falta que envíen nada", apunta Parra, ni siquiera que informen del cambio en la legislación, ya que el reglamento "no tiene carácter retroactivo". Solo hay que pedir consentimiento si es la primera vez, si ha habido un cambio en la base jurídica o si una empresa dice ahora que tiene y usará los datos por "interés legítimo".
El problema es que, tengan que hacerlo o no, muchas empresas amenazan con borrar de sus bases de datos a quienes no consientan ahora. Esto puede provocar una avalancha de correos más adelante, porque "nos querrán volver a pedir los datos", dice Campanillas; el otro camino es que "algunas empresas analicen el riesgo y decidan conservar los datos, no hacer nada, aunque no puedan". Para rizar el rizo, la Ley de servicios de la sociedad de la información (LSSI) prohíbe desde 2002 las comunicaciones publicitarias o promocionales por correo electrónico sin autorización. ¿Conclusión? El ciudadano, sufridor del spam, tiene que decidir con qué quiere quedarse, si es que ha mirado el buzón a tiempo.
¿Y la tarjeta del súper?
Muchas personas tienen en su cartera una tarjeta de fidelización o de descuentos de su supermercado de cabecera. Algunos, como Carrefour, han advertido estos días en sus tickets de compra de que "es necesario" que los socios acepten las nuevas "bases de cliente", aunque antes ya hubieran dado su consentimiento. "No te queda más remedio que pasar por ahí", explica Parra, que se muestra convencido de que en este y otros casos las empresas perderán fieles. Simplemente por desconocimiento o por no saber qué hacer. 20minutos ha preguntado a Carrefour al respecto, pero no ha obtenido respuesta.
RGPD hasta en los tickets del Carrefour @CarrefourES; además con la absurda advertencia de que o consientes las nuevas políticas o no puedes seguir usando lo del club carrefour. Esto es de locos. pic.twitter.com/SMkIbyDaFS
— Samuel Parra ️️🇪🇺 (@Samuel_Parra) 19 de mayo de 2018
¿Y el banco?
Con los bancos, normalmente, ya tenemos una relación contractual (cuenta, hipoteca, tarjeta, etc.) que avala la tenencia y el tratamiento de datos. Otra cosa es que al firmar esos contratos, explica Parra, de paso se firmaran "una serie de cláusulas legales en las que aceptas otras tantas cosas que no son estrictamente necesarias para que se cumpla lo primero". La teoría dice que ahora deberían pedirnos consentimientos por separado para esas otras cosas.
El abogado ve difícil que todas las sucursales convoquen a sus clientes en masa para firmar consentimientos para el tratamiento de datos, aunque recuerda que sí les llamaron a filas hace poco con motivo de la normativa de blanqueo de capitales; también lo hicieron, por cierto, empresas como El Corte Inglés. Probablemente, la situación se quedará como está.
¿Y la peluquería? ¿Y los sorteos?
La peluquería a la que vamos habitualmente puede tener datos personales nuestros. "Si antes ya cumplían con la ley y se ajustan al reglamento, no hace falta que hagamos nada", dice Parra. Si una vez dimos nuestros datos para un sorteo, lo lógico es que la celebración del mismo hiciera caducar los datos, a menos que consintiéramos algo más.
¿Qué es el interés legítimo?
Es algo a lo que se pueden agarrar las entidades o responsables para tratar datos sin consentimiento, siempre que no colisione con otros derechos o libertades; todos los expertos consultados están de acuerdo en que es algo difuso y subjetivo. "El interés legítimo de una empresa siempre va a ser no perder dinero", dice Campanillas, "es algo goloso". Se puede dar el caso de que un banco, por "cercanía", envíe a un cliente "una felicitación de Navidad" a casa y alegue ese interés; la mercadotecnia directa, según la GPDR, también puede ser un fin legítimo. El reglamento explica que hay que ir "caso por caso" para determinar si hay interés legítimo o no; la AEPD, por su lado, "irá dando luz".
Explicación del interés legítimo dirigida a ingenieros. #RGPDdepelicula pic.twitter.com/E1E0gTJ852
— Yago M.-Abascal (@yagoabascal) 11 de mayo de 2018
¿Puedo reclamar mi información?
El derecho de acceso ya existía en la legislación. Cualquiera podía ejercerlo, "aunque es un error pensar que una empresa te va a dar todos los datos que tenga sobre ti", dice Parra, "si tiene tu nombre y apellidos y tu teléfono te lo dirá, pero no si ha deducido que eres soltero".
La GPDR contempla un derecho nuevo y complementario, el de portabilidad, que permitirá a los ciudadanos la descarga de todos los datos personales que hayan sido recopilados por un organismo o empresa y tratados de forma automatizada (no en papel); y, además, permitirá su transmisión directamente a otra entidad. Ejemplo: cambiar de operadora.
¿Y pedir que me olviden?
El derecho de supresión o derecho al olvido, muy solicitado por los usuarios durante años en los tribunales, es nuevo en la ley. Es limitado y diferente al de cancelación. El usuario debe acudir con su reclamación, en primer lugar, a la entidad que posee la información (ya sea Google, una compañía telefónica, una web de citas o un administrador de fincas). Si esta no responde o lo hace de forma insatisfactoria, puede recurrir a la AEPD.
La supresión se puede pedir cuando los datos ya no sean necesarios para el fin para el que fueron reunidos, cuando se haya revocado el consentimiento o cuando los datos se hayan obtenido de forma ilegal. Tiene excepciones, entre ellas, el derecho a la libertad de expresión e información. Si, por ejemplo, una persona debe dinero a una empresa tampoco puede pedirle que suprima todos tus datos personales. La GDPR dice que este derecho es especialmente pertinente si el afectado dio su consentimiento cuando era menor de edad.
¿Consentir o no consentir?
El reglamento incluye una frase concreta que no estaba en la legislación anterior: "Será tan fácil retirar el consentimiento como darlo". ¿Será esto así? Campanillas lo ve "complicado", no obstante, confía en que las empresas adopten determinadas prácticas como las que usa ya el marketing electrónico, esto es, colocar en un lugar visible y accesible una opción de "baja". En cuanto a la información para dar consentimiento, la AEPD recomienda que se haga por capas: primero un resumen claro y después una explicación más larga.
"¿Ordenó usted el uso de datos sin consentimiento?" #RGPDdepelicula cc @jcampanillas @Jorge_Morell pic.twitter.com/NeOCBZ6MSG
— A. Vigil Hochleitner (@almudenavigil) 10 de mayo de 2018
¿Y si tengo un blog?
A la hora de crear un blog de cero o de adaptarlo a la GDPR se pueden seguir algunas pautas como las que da Antonio Cambronero (@blogpocket), entre otras, tener al día el aviso legal, el de privacidad y el de cookies; modificar las listas de correo y el formulario de suscripción para que incluya una forma de dar consentimiento explícito y un resumen de la política de protección de datos, almacenar los consentimientos, configurar la cuenta de Google Analytics, etc. Sobre las famosas cookies, también puedes leer esto de Jorge García.
¿Qué pasa con las redes sociales?
Las redes sociales que usamos y a las que hemos proporcionado muchos de nuestros datos se han adaptado en los últimos meses a la GDPR; también tecnológicas como Google. Aunque con reservas: Mark Zuckerberg insinuó que aplicaría el reglamento a su red social en todo el mundo, aunque después reculó y habló de hacerlo "en espíritu" fuera de la UE. Todas, en cualquier caso, han aumentado la extensión de sus políticas de privacidad. En opinión de Campanillas, no está claro que el reglamento vaya a blindar más a los usuarios frente a las redes, teniendo en cuenta casos graves como el de Cambridge Analytica, pero también cree que estas compañías no quedarán fuera del radar y "alguna sanción ejemplarizante caerá".
Tenía la sensación que con el #RGPD iba a crecer bastante la extensión de las Pols. de Privacidad y definitivamente lo está haciendo, incluso más de lo esperado 😳 Ahí van 7 ejemplos ya adaptados | Lo de "en forma concisa" del art. 12.1 RGPD va a ser que no 😬 pic.twitter.com/AbT4uUM6pc
— Jorge Morell Ramos (@Jorge_Morell) 29 de abril de 2018
¿Qué es el uso doméstico?
El uso doméstico era y sigue siendo una excepción al reglamento. Es la agenda de nuestro teléfono o la foto que mandamos a la familia por Whatsapp, pero no si en el grupo "hay 200 personas". Tampoco si colgamos una foto en un perfil de Facebook abierto, explica Parra, aunque ahí entrarían también en juego otros derechos (imagen, intimidad). Véase la jurisprudencia del TS.
¿Los niños no podrán usar Whatsapp?
La GDPR establece que la edad de consentimiento para el uso y tratamiento de datos personales en relación a los servicios de sociedad de la información es 16 años, pero los países pueden bajarla a 13 si quieren. En España está en 14 años. En todo caso, es complicado controlar que quien esté dando el consentimiento sea un menor o un adulto.
¿Las pymes sufrirán más?
En las empresas españolas tienen mucho por lo que preocuparse, no solo por el envío masivo de correos de consentimiento. La GDPR les da "flexibilidad de adoptar aquellas medidas técnicas y organizativas que consideren apropiadas para garantizar la integridad y confidencialidad de los datos" y demostrar que cumplen con la ley, recuerda el Real Instituto Elcano, pero tienen que hacerlo de una forma proactiva, desde el minuto uno, por defecto.
Las grandes compañías "llevan tiempo ejecutando el proceso de adaptación", explicaba hace poco el experto de Accenture Jaume Soler a EFE, pero las pymes -el 99% de las empresas en España lo son- van "un poquito cojas". Algunos estudios hablan de que el 40% no llegará a tiempo. Según la consultora tecnológica IDC, además, las empresas españolas van a desembolsar 488 millones en el periodo 2018-2021 para adaptarse. En la AEPD también están preocupados por las pymes, y para las que tratan datos personales con un riesgo bajo han creado una herramienta llamada Facilita, que les ayudará en la transición.
¿Y si hay una fuga de datos?
El reglamento da un plazo de 72 horas para que los responsables de tratamiento de datos de las entidades notifiquen una violación de seguridad a la autoridad de control, a menos que esta no entrañe riesgo para los usuarios o clientes (nada de notificaciones "indiscriminadas"). Estos, si el riesgo es alto, han de ser informados inmediatamente. En principio, esto facilitará la persecución a los autores de un supuesto crimen, aunque hay expertos que opinan que aumentará la extorsión a las empresas con secuestros exprés de datos.
¿Qué pasa con la LOPD?
Se está reformando en el Congreso, pero no va a llegar a tiempo para la aplicación de la GDPR: el proyecto de ley ha recibido más de 350 enmiendas. Según José Luis Piñar, exdirector de la AEPD, podría estar lista a final de año, pero al ser orgánica requerirá de la mayoría absoluta del Hemiciclo. La reforma hace falta porque la ley nacional tiene que adaptarse y desarrollar aspectos que en el reglamento se dejan en manos de los países; seguirá vigente, aunque en aquello que choque con la GDPR, primará la normativa europea.
"Los políticos han pedido a los demás que hagan los deberes", dice Campanillas, "pero ellos no los han hecho". El abogado cree que se producirán situaciones de "inseguridad jurídica y problemas de interpretación" en este impasse. No descarta, incluso, que cuando se apruebe la reforma de la LOPD, nuestros buzones vuelvan a llenarse de correos de empresas. Así va el tema en otros países.
2. El procedimiento administrativo español no “soporta” la instrucción de expedientes transnacionales. Sin la LO quedarán impunes.
— Paloma LLaneza (@PalomaLLaneza) 17 de abril de 2018
¿Hay webs que no podremos usar?
Hay algunas webs o servicios de terceros países que han anunciado que, de momento, van a dejar de operar en la UE porque no han podido adaptarse al reglamento. De hecho, hay plugins que pueden bloquear el tráfico que provenga de la UE. Parra cree que todo esto será "esporádico y temporal", más que nada porque la pérdida de clientes será enorme. Las conocidas páginas WHOIS también se ven afectadas.
¿Es el fin del SPAM?
Aunque ahora mismo haya un bombardeo coyuntural, es probable que a partir de ahora se reduzca de forma considerable el correo basura. Se acabaron (o deberían acabarse) los consentimientos tácitos y las casillas marcadas por defecto para el envío de publicidad. Ante las dudas sobre el SPAM telefónico y los SMS de publicidad, la AEPD recomienda recurrir a la llamada Lista Robinson. El proceso es sencillo, tan solo hay que introducir los datos personales, de forma gratuita y voluntaria, en un fichero de exclusión publicitaria. La lista debe ser consultada por quienes vayan a realizar una campaña.
Fuente: Tecnología https://ift.tt/2s5E4HG
via IFTTT