Esta ley cambia las reglas para las empresas que recolectan, almacenan y procesan grandes cantidades de información sobre los residentes de la UE. Requiere de más transparencia sobre qué datos tienen y con quiénes los comparten.
También significa que cualquier empresa con una presencia digital en la UE (que hasta el momento aún incluye a Gran Bretaña) tendrán que observar esta nueva ley, de lo contrario se enfrentarán a estrictas penalizaciones.
El Parlamento Europeo adoptó esta ley en abril de 2016. Cuando salió a la luz el escándalo de Cambridge Analytica y Facebook, los que abogan por la privacidad consideraron que este es el perfecto ejemplo de por qué los usuarios de Internet querrían más control sobre quiénes tienen acceso a sus datos.
El tema de GDPR salió a relucir varias veces durante la comparecencia de Mark Zuckerberg ante el Congreso en Estados Unidos en abril, y fue uno de los mayores enfoques el martes cuando los miembros del Parlamento Europeo cuestionó a Zuckerberg en Bruselas. Las autoridades europeas dijeron que no estaban satisfechas con las respuestas que el presidente ejecutivo de Facebook dio a preguntas sobre el GDPR.
"Creo que la GDPR en general va a ser un paso muy positivo para Internet", le dijo Zuckerberg a los congresistas estadounidenses en abril.
Pero no serán sólo las grandes y conocidas empresas como Facebook las que tendrán que cumplir con los preceptos de GDPR. Los servicios de salud, las aseguradoras, los bancos y cualquier empresa que lidie con información sensible tendrán que observar esta ley.
El GDPR tendrá un impacto significativo en el rastro que dejamos en Internet y en cómo los apps y servicios que usamos protegen o explotan nuestros datos. Esto es todo lo que tienes que saber sobre el GDPR y cómo te afecta, aun cuando no vivas dentro de la UE.
¿Qué es la GDPR?
La Regulación General de Protección de Datos (GDPR, por sus siglas en inglés) es una ley de gran alcance que brinda a los residentes de la Unión Europea más control sobre sus datos personales y busca aclarar las reglas y responsabilidades que los proveedores de servicios en línea tienen con los usuarios europeos. Esta norma reemplaza a la anterior ley rectora de la protección de datos de la Unión Europea, aprobada en 1995, y realiza algunos cambios drásticos sobre las convenciones existentes.
La nueva regulación amplía el concepto de lo que las compañías deben considerar como datos personales, y les exige rastrear muy de cerca la seguridad de los datos que almacenan sobre los residentes de la Unión Europea. Si alguien que radica dentro de esta región solicita a una empresa que elimine sus datos, que le mande copia de su información almacenada o que corrija un error en ella, las empresas tienen que cumplir con esta solicitud.
Además, la ley va más allá. Los residentes de la Unión Europea ahora pueden oponerse a las formas específicas en que las compañías están usando sus datos, diciendo que no les importa si la compañía conserva sus datos, siempre y cuando dejen de usarlos para un propósito en específico.
Y si esto no fuera suficiente, la ley exige a las empresas que notifiquen a los usuarios dentro de las primeras 72 horas de una violación de datos ––algo que muy pocas compañías hacen actualmente. Por ejemplo, durante la violación de los sistemas de Equifax que expuso la información personal de millones de personas de Estados Unidos y otros territorios, la compañía pasó semanas deteniendo el ataque y después se tomó el tiempo para planear cómo enfrentaría el daño reputacional antes de informar al público.
¿Cómo aplicará la Unión Europea la GDPR?
Cada estado miembro de la UE tendrá su propio mecanismo de aplicación, acompañado de un supervisor de la GDPR por país.
Los residentes pueden presentar quejas al órgano rector en sus respectivos países. Y las compañías que sean encontradas violando la ley enfrentarán multas que podrían ser muy altas. La multa máxima por una violación de la GDPR es de 20 millones de euros o 4 por ciento de los ingresos anuales globales que la compañía haya registrado el año previo, cualquiera que resulte mayor.
¿Cuándo entrará en vigor la GDPR?
Este viernes. La regulación fue ratificada en 2016 y las organizaciones tuvieron un "período de implementación" de dos años para prepararse. Este período de gracia termina el 25 de mayo de 2018, fecha en que la ley entra en vigor.
¿Esta ley sólo es aplicable a las empresas basadas en la Unión Europea?
No ––y esta es la razón por la cual es una gran noticia internacional. La GDPR se aplica a cualquier organización que recopile, procese, administre o almacene datos de ciudadanos europeos. Esto incluye a la mayoría de los principales servicios y negocios en línea que recopilan, procesan, administran o almacenan datos. Como tal, la GDPR esencialmente establece un nuevo estándar global para la protección de datos.
¿Qué tipo de datos protege la GDPR?
La regulación se aplica a una amplia gama de datos personales, desde el nombre de una persona hasta los números de identificación federales. También protege la información que puede mostrar la actividad de una persona tanto en línea como en el mundo real. Eso incluye información de ubicación, direcciones IP, cookies y otros datos que permitan a las empresas rastrear a los usuarios mientras navegan por Internet.
¿Cómo afectará esta ley a Facebook y a otras empresas de redes sociales?
Muchas de las grandes empresas de servicios en línea y compañías de redes sociales están actualizando sus políticas de privacidad y términos de servicio con el objetivo de estar listos para la nueva legislación.
Los reguladores europeos seguramente analizarán muy de cerca la respuesta de Facebook a esta norma, especialmente después del escándalo de Cambridge Analytica, así como por las preocupaciones pasadas que ya se habían despertado sobre la recopilación de datos que hace la compañía.
Estas incluyen el escándalo en 2007 sobre el polémico programa de publicidad Beacon que difundió la actividad de los usuarios en sitios asociados. Y no podemos olvidar el alboroto de los usuarios cuando Facebook y su filial Instagram afirmaron que eran dueños de los datos y fotos de perfil del usuario. En estos casos, la GDPR deja mucho más claro que estas actividades no son correctas.
En su testimonio durante una audiencia conjunta de los Comités Judicial y de Comercio del Senado de Estados Unidos, el pasado 10 de abril, el presidente ejecutivo de Facebook expresó su apoyo "en principio" a una norma similar o parecida a la GDPR para los usuarios, antes de que renuncien a sus datos ––pero no se comprometió por completo argumentando que "los detalles son importantes". (Las notas de Zuckerberg, que dejó abiertas durante un breve receso, incluían una advertencia: "No decir que nosotros ya hacemos lo que la GDPR exige").
¿Cómo me afectará esta ley si no soy residente de la UE?
Facebook, Microsoft, Twitter, Apple y otros servicios similares han ofrecido a sus usuarios, más allá de la Unión Europea, algunos derechos adicionales sobre sus datos.
Sin embargo, estos derechos no tienen el respaldo de una ley que los proteja, lo que significa que no puedes presentar una queja contra Microsoft por violar la GDPR si no eres residente de la UE. Ahora, si bien es cierto que disfrutas de estos derechos sólo mientras la empresa dice que los tienes, este hecho muestra que las regulaciones europeas están cambiando la forma en que las principales compañías protegen los datos de los usuarios.
La otra forma en que esto te afecta es con el aluvión de actualizaciones de políticas de privacidad que probablemente hayas recibido en los últimos meses. Muchas compañías crearon nuevas políticas de privacidad antes de que entrara en vigencia la GDPR, y luego te informaron del cambio, todas al mismo tiempo.
¿La UE puede multar a Facebook por cosas poco transparentes que hizo en el pasado?
Parece que no. En una entrevista con Bloomberg, la comisaria de Justicia de la UE, Vera Jourova, dijo que las nuevas reglas de la GDPR "no se pueden aplicar en éste [escándalo de Cambridge Analytica], porque la retroactividad no es posible".
¿Cómo impacta esta regulación los hackeos y las violaciones?
La GDPR requiere que las empresas que han perdido el control de los datos de los clientes o que han sido hackeadas notifiquen a sus usuarios dentro de las primeras 72 horas. Esta es una de las reglas que reciben la pena máxima si no se cumplen. Si se descubriera que Facebook no acata esta norma, por ejemplo, podría ser acreedor a una multa de US$1,600 millones (en base a sus ingresos anuales de US$40,000 millones en 2016).
¿Hay protecciones especiales para menores?
La GDPR exige que las empresas y organizaciones obtengan el consentimiento de los padres para procesar los datos personales de los niños menores de 16 años.
¿Estados Unidos tiene alguna legislación similar a la GDPR?
No. La mayoría de los estados tienen sus propias leyes que rigen la violación de datos y los requisitos de notificación, y la mayoría de ellas se aplican sólo a un tipo limitado de datos ––números de seguridad social e información financiera o de salud.
La SEC emitió recientemente una guía sobre cómo las empresas públicas deberían divulgar este tipo de violaciones de información y los riesgos posibles.
Los californianos podrían votar este año sobre una ley de privacidad de datos: la Iniciativa de Divulgación y Venta de Información Personal para Consumidores de California. Ésta permitirá que los residentes soliciten a las empresas que les den copias de sus datos, les digan a quiénes han vendido sus datos y les permitirán exigir a las compañías que no vendan ni compartan sus datos personales.
@cnet
