¿Qué sabe Google y Facebook sobre nosotros, y quién más puede acceder a nuestros datos personales? Los gigantes de internet tienen pocos incentivos para dar respuestas directas a los usuarios, incluso a preguntas simples como ¿por qué me muestran esta publicidad?
Sin embargo, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que entró en vigencia a fines de mayo, marcó un cambio en el equilibrio de poder a favor de los usuarios web, otorgándoles el control sobre sus datos personales y privacidad.
“El reglamento pone al ciudadano en el centro del desarrollo tecnológico y reconoce el derecho a la protección de sus datos, pero como ciudadano, no solo como consumidor”, remarcó el embajador de la UE en Perú, Diego Mellado.
La privacidad será un derecho por defecto
El GDPR se enfoca en garantizar que los usuarios conozcan, comprendan y consientan los datos recopilados sobre ellos; ahora las empresas deben ser claras y concisas sobre la recopilación y uso de datos personales como nombre completo, domicilio, ubicación o dirección IP, entre otros.
El embajador Mellado explicó que si bien el GDPR se aplica a empresas establecidas en la UE, también rige sobre aquellas que realicen ventas a ciudadanos y residentes del bloque europeo; “por lo tanto, una empresa peruana que esté vendiendo bienes y servicios a la UE a través de internet, también tendría que tener en cuenta este reglamento”.
"Las empresas tienen una obligación de transparencia, pues el ciudadano tiene que saber qué va a ocurrir con sus datos y debe entenderlo con un lenguaje directo y claro. Luego tiene la facultad de saber qué datos hay sobre él y puede rectificarlos e incluso pedir que los borren, es decir el derecho al olvido", agregó el diplomático.
Claves del GDPR para las empresas
Qué hacer: a partir del 25 de mayo, las compañías u organizaciones deben...
- obtener el consentimiento de los ciudadanos de la UE para recopilar sus datos personales y explicar para qué serán usados,
- dejarlos ver, corregir y eliminar dichos datos a solicitud,
- facilitar a los usuarios la portabilidad de sus datos a otras empresas.
Qué no hacer: las empresas NO deben...
- ignorar las solicitudes de los reguladores para corregir el incumplimiento del GDPR,
- tardarse más de 72 horas para informar una violación de seguridad que involucre datos personales y constituya un riesgo para los derechos de los usuarios.
Las multas: los peores infractores pueden recibir una multa de hasta 20 millones de euros (US$ 23 millones) o el 4% de sus ingresos del año anterior, lo que sea mayor. No tener suficiente consentimiento del usuario se considera una infracción grave.
El impacto: algunos medios de comunicación estadounidenses bloquearon el acceso a sus webs a usuarios de la UE para no correr el riesgo de multas. El GDPR también tienen enormes implicaciones para compañías de redes sociales como Facebook, que ha pedido a sus miembros que actualicen sus configuraciones de privacidad. Activistas que velan por la privacidad en internet ya han presentado quejas contra Facebook y Google.
Por qué es importante: los estrictos estándares de Europa podrían influir en cómo Estados Unidos y otros países configuran sus regímenes de protección de datos.