El próximo 25 de mayo comienza a regir en el ámbito de la Unión Europea el nuevo Reglamento General de Protección de Datos (RGPD). Esta ley, aprobada por el Parlamento Europeo y el Consejo de la Unión Europea en 2016, brinda nuevos derechos para los Usuarios en tanto a la privacidad de sus datos y establece sanciones a quienes no cumplan con esta medida.
El nuevo Reglamento General de Protección de Datos tiene como objetivo la protección de la privacidad personal. En esa línea establece normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y normas vinculadas a la libre circulación de tales datos. El reglamento entrará en vigencia luego de un periodo de dos años, establecido desde la fecha de su aprobación, en el que las empresas y compañías debieron arbitrar los medios necesarios para su implementación.
La medida repercute directamente sobre los ciudadanos de la Unión Europea y abarca, además, a las empresas que pertenecen a la región, y también a aquellas radicadas en países fuera de este bloque político y económico, que incluyan en sus bases de datos información sobre personas que habitan en el territorio de los países miembro. Por este motivo, se considera que la medida tiene repercusión a nivel internacional.
Entre los puntos destacados del Reglamento se establecen nuevos derechos para los ciudadanos que podrán acceder a la información que las empresas guardan sobre ellos y verificar la misma, haciendo fuerza en el concepto de consentimiento expreso e informado del titular de los datos sobre su tratamiento. La medida contempla también el Derecho al Olvido, que brinda la posibilidad de exigir la suspensión o eliminación de datos personales de redes sociales o buscadores de Internet; es decir, de revocar el consentimiento otorgado oportunamente a las empresas en el momento que el usuario lo desee. Otro punto a destacar es el Derecho a la Portabilidad, a través del cual los titulares de los datos podrán solicitar el traslado de los mismos de una entidad a otra.
Asimismo, aquellos que consideren que las organizaciones realizan un tratamiento ilícito de sus datos personales podrán recurrir a asociaciones de usuarios para realizar las denuncias y exigir la correspondiente indemnización por daños y perjuicios.
En lo que respecta a la responsabilidad de las empresas, la ley establece que las mismas deberán proporcionar información sobre qué usos y tratamiento se dará a los datos personales de sus usuarios, manifestar expresamente con qué fin se almacenarán y ofrecer la información completa y de manera sencilla para que los ciudadanos puedan decidir. También deberán comunicar en un plazo máximo de 72 horas los incidentes de seguridad que puedan ocurrir sobre sus bases de datos a las autoridades de aplicación, y en casos extremos, a los afectados.
Entre las nuevas obligaciones que deben afrontar las compañías y las instituciones públicas, figura designar un Delegado de Protección de Datos (DPO), interno o externo, que las asista en el proceso del cumplimiento normativo. Aquellas empresas o compañías que no cumplan con la reglamentación, podrían recibir sanciones de hasta 20 millones de euros o el 4% de su facturación global anual.
Esta norma es una de las más importantes en los últimos años en lo que respecta a la protección de datos personales ya que introduce cambios en las leyes europeas de privacidad y es la primera que unifica tanto los deberes como las obligaciones de las compañías, dentro y fuera de la Unión Europea. A su vez, abre la discusión a nivel internacional sobre otros ámbitos en los que se manejan datos personales como por ejemplo a través del Whois.
Si bien el Reglamento establece nuevas regulaciones y controles a la que deben adaptarse las empresas, ahora los Usuarios tienen la posibilidad de definir hasta dónde están dispuestos a ceder sus datos personales y, a su vez, cuentan con las herramientas necesarias para hacer valer los derechos sobre su privacidad.
