Quien más, quien menos, hace días que está recibiendo mails de las newsletters a las que está suscrito, y de las compañías de las marcas que ha comprado algún producto y que lo ha registrado, por lo que dichas empresas tienen sus datos personales como el nombre, apellidos y correo electrónico.
En dichos mensajes de e-mail, las empresas que los mandan piden que les demos permiso, de forma explícita, para poder seguir guardando, gestionando y utilizando nuestros datos para ponerse en contacto con nosotros.
Esto es debido a la entrada en vigor a nivel europeo de un nueva legislación para el almacenamiento y tratamiento de datos personales por parte de las empresas, el RGPD (Reglamento General de Protección de Datos). Pero, ¿esto en qué nos afecta como consumidores, y qué derechos nos otorga?
¿A quién afecta?
A todas las empresas que tengan su sede en cualquier país miembro de la Unión Europea, sea esta la sede central o una sede operativa, y afecta a todos los clientes de dichas empresas, además de afectar también a empresas de fuera de la Unión que procesen datos de ciudadanos europeos.
No obstante, habrá que ver cual es el nivel de cumplimiento de estas últimas, pues si una empresa tiene sede solamente en los Estados Unidos o en China, será difícil conseguir una auditoría de los datos que posee y sobre que tratamiento lleva a cabo de ellos.
Igualmente, y en el caso de tener varias sedes en Europa, una empresa deberá quedar bajo el amparo de una entidad reguladora nacional, de forma que, al final, una posible reclamación sobre nuestros datos podría tener que acabar siendo dirimida en Irlanda, en Luxemburgo o en Alemania, por ejemplo.
Los cuerpos policiales y todas aquellas entidades relacionadas con la seguridad estatal quedan excluidas de cumplir con esta ley siempre y cuando las actividades para las cuales recolecten, almacenen y procesen los datos, sean las relacionadas con la seguridad.
Esto, a su vez, abre una brecha que permite el incumplimiento de la ley por parte, por ejemplo, de servicios secretos, incluidos los de países de fuera de la UE.
Por otra parte, nuestros datos sólo podrán ser cedidos a un país de fuera de la UE bajo el amparo de los tratados internacionales firmados entre dicho país y la Unión Europea.
¿Qué se consideran datos personales?
Cualesquiera que estén relacionados con una persona concreta: nombre, apellidos, dirección (tanto física como electrónica), preferencias de cualquier tipo, registro de actividades de cualquier tipo… Todos estos datos almacenados en un fichero estructurado caen bajo el manto de la nueva legislación.
¿Como podrán obtener nuestros datos?
Sólo si nos los piden explícitamente. Es decir, que se acabó recibir un e-mail de una newsletter a la que no nos hemos registrado nunca… o, por lo menos, debería haberse acabado.
No obstante, la ley también prevé los posibles casos de adquisiciones y fusiones, facilitando la portabilidad de los datos de una a otra empresa, así que podemos encontrarnos con la tesitura de que demos unos datos a una empresa… y acaben en manos de otra, aunque de forma legal y sujetos a las mismas condiciones.
¿Y si nuestros datos se filtran?
La empresa responsable de su custodia deberá informar a las autoridades competentes y a los usuarios afectados, de forma que se acabó -nuevamente, recalco que teóricamente- el secretismo, de forma que podremos anular tarjetas de crédito, cancelar cuentas bancarias, o cambiar contraseñas que se hayan podido ver comprometidos.
La empresa que los custodia es la responsable legal de su gestión y su seguridad. Para ello, se crea una nueva figura legalmente reconocida en la empresa, que es el oficial de protección de datos (en inglés, el DPO, Data Protection Officer), cuya misión es garantizar que los datos almacenados y sus procesos de gestión cumplan con la RGPD.
Las empresas que deben tener obligatoriamente esta figura -que no debe ser necesariamente un jurista, pero sí conocer la ley- no son todas, pero sí las que manejen un determinado volumen de datos, lo que también implica que serán las grandes empresas.
¿Qué derechos tenemos sobre nuestros datos personales que poseen las empresas?
En esencia, la RGPD no es más que un refuerzo a las legislaciones anteriormente vigentes, pero enfatizando ciertos aspectos. Entre ellos, el del control de los datos que las empresas tienen de nosotros.
Las empresas deberían facilitarnos una forma de contacto para poder conocer qué datos tienen de nosotros (a fin de cuentas, dicho contacto vendría a ser el del oficial de protección de datos) y empezar por recolectarlos solamente con nuestro consentimiento explícito, como ya he dicho antes.
Así, cualquier empresa que haya, por ejemplo, «peinado» páginas web o foros para recoger direcciones de correo electrónico para volcarlas después a una base de datos y empezar a enviarles mensajes de correo electrónico, estaría incumpliendo la ley, puesto que no ha obtenido permiso explícito para ponerse en contacto con los destinatarios.
Si recibimos algún mensaje de una empresa que no hemos solicitado, esta estará cometiendo una flagrante violación de la ley.
Este consentimiento puede ser retirado de forma explícita en cualquier momento, y la empresa deberá informar a sus clientes de cómo retirarlo (el punto que he señalado antes).
En el caso de los menores de edad, el consentimiento para recoger, almacenar y tratar sus datos deberá ser otorgado por su tutor legal.
En cualquier momento, podremos preguntar a las empresas qué datos tienen sobre nosotros, solicitándoles una copia de estos, y disfrutaremos del «derecho al olvido», es decir: que si solicitamos a una empresa o entidad que borre nuestros datos, esta estará obligada a hacerlo.
Naturalmente, también tenemos derecho a conocer si la empresa que tiene nuestros datos los ha compartido con alguien más.
Nuestros datos ¿realmente bajo nuestro control?
Aunque la RGPD se nos ha vendido como una panacea para evitar las crecientes fugas de datos, sólo sigue siendo una ley. Ciertamente, lo va a poner un poco más difícil a determinadas empresas, pero debemos seguir siendo escrupulosos con lo que publicamos en Internet y qué datos damos a qué empresas.
Siempre hay que pensar no solamente que una empresa puede incumplir la ley (se supone que todas deben cumplirla al pie de la letra), sino también en los ataques que puedan sufrir las compañías que ofrecen los servicios que contratamos, y que terminen en el acceso de los atacantes al fichero de clientes, pudiendo meter mano a los datos personales de todos ellos.
Además, la RGPD deja al cuidado de la empresa la consideración de lo que es la seguridad en el almacenamiento de los datos de usuario, no habiendo un criterio unificado sobre unas mínimas prácticas.
Es por ello que debemos proporcionar el mínimo número de datos posibles a las empresas con las que contratamos servicios, así como en cualquier otro formulario para cualquier fin que se nos presente online. En el caso de los servicios contratados, siempre será necesario contar con tener que dar obligatoriamente ciertos datos «sensibles», como son el nombre y una forma de pago.
Esto es inevitable, pero en otros casos podemos pasar sin tener que dar tantos datos, como en el caso de servicios gratuitos o aquellos que podemos utilizar de forma anónima.
Pese a que haya marcos legales que regulen lo que otros pueden hacer con nuestros datos, nosotros mismos somos la primera barrera de protección para evitar que nuestros datos personales sean filtrados. y acaben siendo utilizados en nuestra contra.
Fotografía de François Schnell en Flickr bajo licencia Creative Commons