Como casi todos saben, el RGPD (Reglamento General de Protección de Datos de la Unión Europea o, más popularmente, GDPR, por sus siglas en inglés) es de cumplimiento obligatorio. Y es muy probable que, aunque no nos encontremos en la Unión Europea (UE), la bandeja de entrada haya recibido ingente cantidad de correos que avisan sobre cambios en la política de privacidad.
Esos emails provienen de todas las empresas que tratan con datos de ciudadanos europeos en la web, no importa si son de países de la UE o de fuera. Gracias a este reglamento, la forma en la que se les debe informar sobre los datos que están cediendo, y para qué los están usando, cambia drásticamente.
Puede que el reglamento sea europeo, pero sus ramificaciones se extienden al resto del mundo y por eso a todos nos debería importar, independientemente de dónde vivamos. A modo de resumen vamos a explicar de una manera sencilla y concreta cómo afecta el reglamento y por qué es importante.
¿Para qué sirve la normativa GDPR?
Esta regulación le da a la UE el poder para hacer responsables a empresas y organizaciones de la forma en la que recolectan y manejan la información personal de los usuarios, es decir, nuestra información, la suya.
La norma entró en vigor el 24 de mayo de 2016 y se ha otorgado un plazo de dos años para que todas las empresas se adecuen a ella. En ese tiempo las corporaciones deberán explicarnos bien qué hacen con nuestros datos, solicitar nuestro consentimiento para usarlos y, además, ofrecernos la oportunidad de borrarlos o revocarles el permiso para seguir procesándolos.
Quienes fallen en acatar el reglamento podrían ser multados con hasta el 4% de lo que facturen en todo el mundo al año o hasta 20 millones de euros.
Pareciera que la utilidad del reglamento sería relativa si todo se solucionara con un simple email, como antes. La diferencia es que ese correo con información no deja a las empresas lavarse las manos y asumir que dimos nuestro consentimiento de forma tácita, como pasaba antes.
Recibimos los emails porque las empresas de todo el mundo tienen la obligación de ponerse en contacto con nosotros, tanto para informarnos de forma transparente y sencilla qué hacen con nuestros datos, como para renovar el consentimiento de uso que dimos, si este no cumplía ya con la GDPR.
¿Qué pasa si aceptamos… y qué, si no aceptamos?
Es importante remarcar que el reglamento no impide que organizaciones y empresas usen nuestros datos para todos los fines que les plazca, siempre que hayamos dado nuestro consentimiento. Lo que hace es obligarlas a explicarnos lo que están haciendo. Ahí es donde entra nuestra parte de la responsabilidad.
Si no damos nuestro consentimiento activo, una empresa no podrá hacer cosas como enviarnos publicidad, vender nuestros datos a terceros, usar esos datos para hacer venta cruzada, etc.
Tampoco vale que una empresa marque todas las casillas por su cuenta: la privacidad tiene que ser la opción por defecto, nosotros debemos hacer todos los clicks y aceptar todas las formas en las que nuestros datos serán usados.
De más está decir que lo primero que debemos hacer es leer la política de privacidad. Por supuesto que da pereza, a nadie le gusta leer las condiciones y términos de servicio, primero porque esos artículos son demasiado largos; segundo, son demasiado densos y tercero, son demasiado aburridos.
La GDPR exige que ahora las políticas y los términos de servicio deberían ser más fáciles de entender, que deberían estar escritos en términos sencillos y no en una jerga legal incomprensible por el ser humano promedio.
Si se nos ha informado, si la política se ha rediseñado para ser clara, si han solicitado nuestro consentimiento de forma correcta, nos sigue dando pereza y aceptamos las condiciones de todas formas, porque queremos seguir usando un servicio u otro, ya es nuestra responsabilidad.
Pareciera que si no vivimos en Europa nada de esto nos importa, pero gracias al alcance territorial del reglamento —y a la supraterritorialidad de Internet, entre otras cosas— y a que cualquier organización que trate con datos de residentes de la UE debe cumplir con él, el impacto de la GDPR alcanza a todas las grandes empresas que conocemos, como Apple, Google, Facebook, Microsoft y demás.
Puede que en nuestro país no existan estas reglas estrictas, pero algunas organizaciones y empresas han optado por mantener estos principios y ofrecer las mismas opciones de privacidad y protecciones para sus usuarios fuera de UE. Algunas quizás de buena fe y otras, para no quedar mal con el resto del mundo y cuidar su imagen.
¿Qué pasa con nuestros datos si no queremos compartirlos con nadie?
Uno de los que nos otorga este reglamento es el Derecho a la portabilidad de los datos, es decir, que debemos tener acceso a todos los datos que una organización ha recolectado sobre nosotros.
Además, también tenemos derecho a moverlos a otro proveedor sin perder el historial que hemos recopilado, para que nosotros también podamos beneficiarnos de nuestros propios datos. Y, finalmente, tenemos derecho a solicitar que toda nuestra información sea eliminada, si así lo decidimos, de las bases de datos de una organización.
La GDPR no va a detener mágicamente la recolección de datos por parte de múltiples organizaciones, pero probablemente sí los hará pensar dos veces sobre la cantidad de datos que recopilan, pues necesitarán justificar su propósito e informar sobre él. Es un paso adelante para que se adopten mejores prácticas de recolección.
¿Qué son los “Datos personales”?
Técnicamente se habla de Información de Identificación Personal (PII, según sus siglas en inglés). Es información que puede ser utilizada para distinguir o rastrear la identidad de un individuo, como su nombre, número de documento, fecha y lugar de nacimiento, apellido de soltera de la madre, registros biométricos, incluyendo cualquier otra información personal que esté vinculada o se pueda vincular a un individuo específico». Esto se ha convertido en un tema lo suficientemente importante como para que el NIST haya creado una lista de campos específicos que constituyen la IIP.
Pues bien, según GDPR, datos personales significa «cualquier información relativa a una persona física identificada o identificable». Para la norma, «persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física».
En otras palabras, la información personal incluye la definición de IIP, pero además puede incluir la dirección IP (sí, incluso IPs dinámicas con un usuario detrás de un router haciendo NAT/PAT), preferencia sexual, recetas médicas, ocupación, color de ojos, tamaño de zapatos e, incluso, hobbies.
