500 millones de ciudadanos y 26 millones de empresas de la Unión Europea (UE) estrenan hoy el nuevo Reglamento General de Protección de Datos (GDPR).
A partir de hoy las empresas están obligadas a informar a sus usuarios sobre el uso que hacen de sus datos, para qué fines los van a utilizar, el tiempo durante el cuál se conservarán, con quién se compartirán o si serán transferidos fuera de la UE.
Esta nueva ley otorga un mayor control sobre la utilización de la información personal de los ciudadanos y armoniza las legislaciones de todos los países de la UE.
Ahora, los comunitarios pueden saber cómo, quién y para qué se usa su información una vez los cede a una empresa, ya sean los datos de su tarjeta de crédito para hacer una compra en internet o su número de teléfono.
La norma es desde hoy obligatoria en la UE tras dos años de transición desde su entrada en vigor en mayo de 2016, y al tratarse de una regulación no es necesario que los países apliquen cambios en su ordenamiento para que sea legalmente aplicable.
La normativa busca poner fin a prácticas habituales como los términos y condiciones incomprensibles, las casillas validadas por defecto o la pérdida de control sobre los datos personales una vez se ceden a una empresa.
La regulación actualiza una anticuada directiva de la década de 1990, que no exigía la armonización en todos los países y nació en una Europa sin redes sociales o teléfonos inteligentes y con un uso de internet mucho más limitado que el que unos 250 millones de europeos, según Bruselas, disfrutan hoy en toda la UE.
Además, los ciudadanos tendrán el derecho a preguntar a una compañía qué datos guarda sobre ellos y a obtener esta información en un formato legible y sencillo de consultar, como un documento de Excel.
Las normas abordan también los robos de datos a empresas, que vuelven a estar en el ojo del huracán por empresas como Uber y su encubrimiento durante más de un año de una filtración de información de hasta 57 millones de usuarios.
A partir de hoy, el robo de datos debe ser notificados en un plazo de 72 horas a las autoridades de supervisión de la protección de datos y a los usuarios afectados.
La privacidad, por tanto, será el estándar ‘por diseño’, mientras que el mero silencio por parte del usuario no será suficiente para que las compañías hagan uso de los datos: el consentimiento para utilizarlos deberá ser activo, claro e ‘inequívoco’.
Un incumplimiento de las nuevas normas conlleva sanciones de un máximo de 20 millones de euros o hasta un 4% de la facturación global de la compañía el ejercicio anterior, la que sea mayor.
Por ejemplo, en el caso de Facebook, supondría una multa de 1,626 millones de dólares, según su facturación de 2017.
Por otro lado, las compañías dirán adiós a 28 legislaciones en diferentes en materia de privacidad que les obligaban a actuar de forma diferente en cada país de la UE y podrán a partir de hoy guiarse por los mismos estándares en España, Suecia o Rumanía.