breve-guia-nuevo-reglamento-europeo-proteccion-datos-img

Breve guía del nuevo Reglamento Europeo de Protección de Datos: una batalla de cuatro años por la protección de tus datos

Texto de la red European Digital Rights de la que Xnet es miembro.

En 2012 se inició lo que se convertiría en un proceso de cuatro años: la creación del nuevos Reglamento Europeo de protección de datos que sustituye la normativa de protección de datos de 1995 y mejora y armoniza los niveles de protección de datos en toda Europa. Un instrumento legislativo influyente que afecta a la vida de 50 millones de personas y que crea el estándar regional más alto para la protección de datos.

Los grupos de presión enloquecieron
Con tanto en juego, la sociedad civil estaba preparando para un fuerte ofensiva de las corporaciones. Pero nunca hubiéramos podido imaginar con que empeño los grupos de presión estaban dispuestos a trabajar para socavar los derechos de la ciudadanía y lo lejos que llegarían para lograr sus objetivos. La ex Comisaria Europea Viviane Reding dijo que ha sido la campaña de lobbying más agresiva que jamás había conocido. El Parlamento Europeo se vio inundado por la mayor ofensiva de grupos de presión de su historia política.

La sociedad civil contraatacó
Los miembros de European Digital Rights (EDRi), una asociación de organizaciones de derechos humanos y civiles en el ámbito digital de toda Europa, trabajamos juntos para contratacar. Entre otras cosas, tuvimos que explicar cosas tan obvias como que las filtraciones de datos personales pone en peligro a las personas y por esto necesitan ser comunicadas cuando ocurren; o que no es aceptable rastrear y hacer perfiles de personas sin su consentimiento. Nos enfrentábamos a los esfuerzos conjuntos de las mayores corporaciones multinacionales y gobiernos ávidos de datos, pero también teníamos dos cosas a nuestro favor: el rapporteur, Jan Philipp Albrecht, y su equipo se mantuvieron firmes en la defensa de los derechos civiles; y en 2013 las revelaciones de Snowden hicieron que los políticos tuvieran más interés o no tuvieron más remedio que hacer lo mismo. Contra todo pronóstico, nos impusimos.

El GDPR no es perfecto, pero es el camino a seguir
El GDPR (por sus iniciales en inglés) Reglamento General de Protección de Datos que se adoptó en 2016, y que entrará en vigor a partir del 25 de mayo, dista mucho de ser perfecto. Sin embargo, como señalamos en 2015, logramos salvar “los elementos esenciales de la protección de datos en Europa”, y ahora disponemos de una herramienta con la que hacer rendir cuentas a las empresas y a los gobiernos que utilizan nuestros datos. Y tenemos la intención de hacerlo valer.
 

Breve guía de tus derechos con el nuevo Reglamento Europeo de Protección de Datos

¿Cuáles son mis derechos con el GDPR?
1. Tienes derecho a la información.
– Las empresas y organizaciones están ahora obligadas a comunicarte, en un lenguaje claro y accesible, qué datos personales procesan y cómo los utilizan. (“Procesamiento” incluye todo lo relacionado con la recopilación, agregación, extracción o intercambio de datos.)
– Si una empresa u organización crea un perfil tuyo a partir de los datos (por ejemplo, a partir de datos procedentes de diferentes fuentes), tienes derecho a saber qué contiene este perfil.

2. Tienes derecho a un procesamiento seguro.
El GDPR obliga a que los datos personales sean almacenados y procesados de forma segura.

3. Tienes derecho a acceder en cualquier momento a los datos personales que una empresa u organización tiene sobre ti.
– Si los datos son inexactos, puedes modificarlos o completarlos.
– Si los datos ya no son necesarios, puedes solicitar a la empresa/organización que los elimine.
– Si inicialmente proporcionaste a la empresa/organización más datos de los necesarios para recibir el servicio (por ejemplo, con fines de marketing), pero ya no deseas que tengan estos datos, puedes pedirles que los eliminen.

4. Tienes derecho a utilizar un servicio sin revelar datos adicionales.
Si una empresa u organización desea procesar datos personales que no son estrictamente necesarios para la prestación de un determinado servicio (por ejemplo, una aplicación de transporte que desea acceder a la lista de contactos de su teléfono), debe obtener tu consentimiento explícito para procesar dichos datos. Ten en cuenta que incluso si una empresa cree que ciertos datos son útiles para la prestación de su servicio, esto no siempre significa que sean necesarios. Si ya has dado tu consentimiento para el tratamiento de datos adicionales, siempre podrás revocar dicho consentimiento.

5. Con las decisiones automatizadas, tienes el derecho a una explicación y a la intervención “humana”.
– Si se ha tomado una decisión sobre ti a través de mecanismos automáticos, tienes derecho a saber cómo se tomó la decisión (es decir, tienes derecho a una explicación de la lógica que hay detrás del mecanismo utilizado).
– Cuando se trata de toma de decisiones automatizada, tienes derecho a la intervención humana, y el derecho a impugnar cualquier decisión tomada.

¿Cómo se harán cumplir estos derechos?
Cada país debe contar con una Autoridad Pública de Protección de Datos (en España la Agencia Española de Protección de Datos) independiente para garantizar que las empresas cumplan la normativa. Tienes el derecho de presentar una queja a la Agencia o de acudir a los tribunales si crees que tus derechos han sido violados.

¿Tengo que hacer algo como particular?
Depende de las empresas y organizaciones asegurarse de que tus datos personales estén protegidos.
Sin embargo, hay decisiones que tendrás que tomar.
Para nuevos servicios que desees utilizar o servicios que ya estás utilizando:
– Si la empresa te pide que les des datos, ¿realmente quieres dar tu consentimiento?
– Si el servicio sólo procesa los datos necesarios, está obligado a informarte, pero no necesita solicitar un consentimiento especial para hacerlo. Sin embargo, necesitan pedir consentimiento explícito cuando quieren datos que no son necesarios.

¿Significa que puedo “borrarme” a mí mismo?
No exactamente. No puedes borrar todos tus datos personales cuando quieras. Sin embargo, puedes solicitar que se eliminen tus datos en algunas situaciones específicas, por ejemplo, si una empresa u organización ya no los necesita para prestar el servicio que estás utilizando, o si decides retirar su consentimiento. Sin embargo, incluso en tales casos, las empresas pueden tener motivos razonables para conservar tus datos, por ejemplo, con fines fiscales o para protegerse de posibles reclamaciones futuras.

¿Puedo hablar con las empresas sobre el uso que hacen de mis datos?
¡Absolutamente! El GDPR exige que las empresas y organizaciones respondan a las preguntas sobre datos personales. Esto incluye si procesan o no tus datos personales, y si es así, para qué propósito, cuánto tiempo estarán almacenados y con quién se comparten. Y si alguna vez cambias de opinión sobre lo que has consentido o aceptado, las empresas y organizaciones también están obligadas no sólo a que sea fácil para ti comunicar tu decisión, sino también a actuar eficazmente.

¿Qué puedo hacer si una empresa utiliza mis datos personales contra mi voluntad?
Puede ser útil contactar primero con la empresa. Sin embargo, independientemente de si lo haces o no, también puedes presentar una queja ante la Autoridad de Protección de Datos de tu país, incluso si la empresa no tiene una oficina en tu país.
– También puedes ir directamente a los tribunales si sientes que tus derechos han sido violados.
– Si, como consecuencia de una infracción, has sufrido un daño material o moral, puedes solicitar una indemnización económica.

¿Por qué algunas empresas son críticas con el GDPR?
Muchas empresas se han acostumbrado a tratar sus datos como un “recurso gratuito” – algo que podrían tomar sin pedir permiso y explotar para su propio beneficio financiero; algo que podrían recoger sin límite, sin protegerlo. El GDPR es una herramienta poderosa para obligar a las empresas a considerar los riesgos que conlleva – no sólo para las personas cuyos datos procesan, sino también para ellas mismas, en términos de pérdida de confianza de los clientes – y a tratar tus datos con el cuidado y el respeto necesarios.

¿Se aplica el GDPR a los datos que mi empleador tiene sobre mí?
Sí, tu empleador, como cualquier otra organización que procesa datos, tiene que cumplir con el GDPR. Sin embargo, cada Estado miembro de la UE puede adoptar normas más específicas en lo que respecta a la relación laboral. Si estás interesado en esto, deberías buscar más información en el sitio web de la Autoridad de Protección de Datos de tu país.

¿Se aplica el GDPR a las empresas estadounidenses?
Sí. Tan pronto como una empresa controle o rastree el comportamiento de los usuarios de Internet en el territorio de la UE, el reglamento entrará en vigor, independientemente del lugar en el que la empresa tenga su sede.

https://gdprexplained.eu/
https://timetodisagree.eu/

 

Lecturas adicionales:
Fondo documental EDRi GDPR: https://edri.org/gdpr-document-pool/