GDPR ¿Qué es esta nueva normativa y qué gano con ella?

qué es el gdpr

Podría apostar que en estos días has estado recibiendo muuuchos correos de distintos servicios, diciendo que están actualizando sus políticas de privacidad debido al nuevo GDPR, no? Bueno, yo también recibí un montón.

Y era de esperarse. El nuevo GDPR entra en vigencia hoy (25 de mayo) y era el plazo que tenían casi todos para subirse al carro.

Pero, ¿Qué es el GDPR?

En términos simples, el GDPR es la nueva normativa legal europea sobre el control de la información personal. Antiguamente ya existía una directiva (del año 2002), pero era sólo una directiva (recomendaciones a tener en cuenta). Ahora, en cambio, es una normativa legal, es decir, es una ley y debe ser cumplida como tal.

Sus siglas en inglés significan General Data Protection Regulation (regulación general de protección de datos) y a lo que apunta esta legislación es dar mayor control y transparencia al usuario – es decir, – sobre qué información manejan los distintos servicios, productos, aplicaciones, sitios web u organizaciones.

Esto es bueno, porque en términos concretos, obliga a todas las empresas a tener ciertas normas y estándares con la forma en que recolectan, almacenan, utilizan o manipulan tu información para obtener provecho de ella.

Y claro, la pregunta es obvia: ¿Pero si es una normativa europea, porqué me avisan a mí, que no estoy en Europa? ¿Qué tengo que ver yo?

Te respondo con otra pregunta: ¿Usas spotify?… ¿Facebook?… ¿Twitter?… ¿Instagram?… bueno, muchos usuarios en europa también y eso obliga a que cualquier empresa o servicio con usuarios en europa, tenga que implementar y respetar esta nueva ley.

Técnicamente, aplica a:

  • Todas las organizaciones que tengan presencia física en algún país de la comunidad europea.
  • Todas las organizaciones que procesen o almacenen información sobre algún individuo que resida en la comunidad europea.
  • Todas las organizaciones que utilicen servicios de un tercero, que procese o almacene información sobre algún individuo que resida en la comunidad europea.

En otras palabras, prácticamente aplica a todas las empresas o servicios que son de uso diario en nuestras vidas (redes sociales, buscadores, sitios de e-commerce, blah blah).

De hecho, si tú tienes alguna empresa con usuarios o clientes en europa, o usas servicios de un tercero que almacena sus datos, deberías implementar la normativa también (y rapidito, porque ya estás fuera de plazo!).

Pero, en lo concreto. ¿Qué es el GDPR?

Primero un disclaimer: Este post no es un consejo ni guía legal de nada. Si quieres realmente implementar esta regulación en tu sitio web, consulta a alguien que sí sepa de lo que habla, no como yo 🙂

Dicho eso, el GDPR divide tu información personal en dos tipos:

La información personal (personal data): Incluye información almacenada en cookies, dirección IP, ID de tu teléfono celular, huellas digitales, MAC address, cuentas de usuarios, etc.

La información personal sensible (sensitive personal data): Información de salud, pasado judicial, orientación sexual, opiniones políticas, raza y etnia.

Cada sitio web, servicio online, aplicación o empresa que tenga, almacene, utilice o haga uso de este tipo de información, ahora deberá cumplir una serie de normativas que aseguren su privacidad, transparencia y el acceso de los usuarios dueños de esa información.

Esto no es con el objetivo de sólo tener acceso a mis propios datos (de qué me sirve saber mi propio nombre o edad!), el objetivo es que tú puedas saber qué información personal se maneja y quienes la manejan.

Las obligaciones legales y técnicas que las empresas deben cumplir son distintas dependiendo del tipo de información (ya sea sensible o no), pero van desde  salvaguardar la integridad de la información, guardar esta información de forma totalmente anónima e, incluso, están obligadas a publicar sus políticas de privacidad de una forma clara, legible y entendible por un usuario normal, no sólo por abogados.

No voy a entrar en detalle sobre todos los aspectos técnicos y legales del GDPR (tampoco me los sé y tendría que poner toda la ley aquí!), pero en lo global, la ley reconoce 8 derechos:

  • Derecho a estar informado: Transparencia para saber cómo son utilizados tus datos.
  • Derecho al acceso: Debes poder tener acceso a los datos que la empresa maneja sobre ti. Cómo son utilizados y a cualquier otra información suplementaria que sea utilizada junto con tus datos.
  • Derecho a la rectificación: Te da derecho a rectificar información en caso de ser errónea.
  • Derecho a ser borrado (también llamado derecho al olvido): Debes poder tener derecho a que tus datos sean totalmente eliminados de cualquier lugar si no existe un motivo específico o convincente para que sean almacenados. Te clarifico este punto con un ejemplo: Nadie podría esperar que un banco borre tus datos si tienes una cuenta corriente ahí, no? Pero si podrías pedir que un callcenter borre tus datos si no tienen porqué tenerlos.
  • Derecho a restringir el procesamiento: Permite que tus datos sean almacenados, pero no procesados. Por ejemplo, un banco puede tener tus datos, pero no utilizarlos sin tu permiso para ofrecer otros servicios, seguros, etc.
  • Derecho a la portabilidad de datos: Puedes solicitar copias de toda la información que una organización tenga de ti, con el objetivo de usarlos en otra organización.
  • Derecho a objetar: Te da derecho a objetar la forma como se están utilizando tus datos. Por ejemplo, si no quieres que tus datos sean utilizados para marketing directo o callcenters.
  • Derecho sobre la toma de decisiones y creación de perfiles automáticos: Suena complejo, pero no lo es tanto. En el fondo, puedes objetar a los sistemas que intentan perfilarte de forma automática, en base a comportamientos o compras previas que has realizado.

¿Y si la empresa no cumple?

Si una organización no cumple o viola alguno de estos derechos, se arriesga a penalidades draconianas que pueden llegar a los 10 millones de euros o incluso el 2% del volumen de ventas a nivel global.

Ese, es el motivo por el que estamos llenos de correos mencionando el cambio de políticas de privacidad. 🙂