Cuando abres un sitio web en la UE, la organización titular del mismo no puede hacer lo que quiera con tus datos personales. Tiene que seguir ciertas normas y procedimientos conocidos como Reglamento general de protección de datos (RGPD), que está vigente en la UE desde 2018.

Puede que el RGPD te resulte molesto porque lo identificas con los avisos de cookies que saltan cada vez que abres una web nueva. Estamos bastante de acuerdo contigo. Los avisos de cookies son molestos para los usuarios, y sin duda no son la mejor manera de regular el intercambio de datos personales: la UE debe encontrar una alternativa viable.

Pero el RGPD va mucho más allá de los avisos de cookies.

¿Qué es el RGPD? ¿Por qué lo necesitamos?

Cuando utilizamos Internet, gran parte de nuestra información personal puede quedar a disposición de quienes quieran fisgonearnos. Esto puede incluir las direcciones de correo electrónico que necesitamos al iniciar sesión, nuestra ubicación o lo que tecleamos en los buscadores. Estos datos pueden desvelar mucha información acerca de nosotros -lo que nos gusta y cómo se nos puede vender- y son muy valiosos para las empresas que quieren que compremos sus productos. Sin regulación, las empresas pueden utilizar nuestros datos de forma que no sirvan a nuestros intereses.

Existen multitud de ejemplos de que esto ya ha sucedido. En 2021, Grindr, la plataforma LGBTQ* de citas en línea, vendió supuestamente datos de ubicación (re)identificables del alto cargo de la Iglesia católica estadounidense Jeffrey Burril, que acabaron en manos de los editores de una revista católica. Con los datos obtenidos, publicaron un artículo en el que se afirmaba que acudía con frecuencia a clubes gay. Tras la publicación, Burril tuvo que dimitir y se enfrentó a un torrente de polémicas sobre el celibato y el comportamiento homosexual promiscuo. Si estas secuelas son suficientemente graves, en otros países podría haber ido a la cárcel o incluso haber sido asesinado.

Se necesitan normas claras y precisas, así como su cumplimiento, para evitar que ocurran casos similares a cualquiera cuyos enemigos sean lo suficientemente ricos (o habilidosos) como para encontrar y descifrar el rastro que ha dejado en Internet. O, en su defecto, los datos que comparte en ciertas situaciones al margen de Internet.

Para proteger nuestro derecho a decidir lo que compartimos con otros, el 25 de mayo de 2018 entró en vigor en la Unión Europea el RGPD, que establece nuevas normas de protección de la privacidad y de los datos personales. Se sustenta en unos principios fundamentales que se resumen en el siguiente cuadro:

Licitud, lealtad y transparencia

El tratamiento de datos tiene que ser lícito, leal y transparente para el interesado (o sea, para ti).

Limitación de la finalidad

Para todo tratamiento de los datos, se tiene que especificar por adelantado todos los fines del mismo.

Minimización de datos

Solo pueden recogerse los datos absolutamente necesarios para los fines especificados.

Exactitud

Los datos personales deben ser exactos.

Limitación del plazo de conservación

Los datos solo pueden conservarse mientras se necesiten para los fines especificados.

Integridad y confidencialidad

El tratamiento de los datos tiene que ser seguro y el encargado del tratamiento tiene que garantizar que la información no llegue a donde no debe.

Responsabilidad proactiva

El responsable del tratamiento de los datos será capaz de demostrar el cumplimiento del RGPD en cada paso del tratamiento de los mismos.

¿Qué son los datos personales para el RGPD? ¿Por qué es tan importante protegerlos?

La terminología utilizada cuando se habla del RGPD puede ser compleja y desalentadora. Pero no te preocupes, este artículo se titula RGPD para principiantes: lo interpretaremos para ti y te explicaremos por qué la protección de los datos personales es importante para la democracia.

¿Qué son exactamente los datos personales? En el documento oficial del RGPD, los datos personales se definen como cualquier información relacionada con una persona física cuya identidad pueda determinarse mediante dicha información. Esto incluye identificadores como el género, la dirección postal y la identidad cultural o social. Hasta aquí todo bien, ¿verdad?

Pero, ¿por qué es tan importante para las democracias proteger los datos personales con la legislación oficial del RGPD?

En primer lugar, el derecho a la privacidad es un derecho fundamental. Para vivir con dignidad, algo que todos merecemos, es necesario poder tomar libremente las decisiones sobre qué guardar para uno mismo y qué compartir con los demás. Incluso antes de Internet, tu derecho a la privacidad necesitaba protección frente a otros que podían utilizar tus datos para sus propios fines. Pero era muy difícil y costoso recopilar información, especialmente a escala masiva para porciones significativas de la sociedad.

A medida que se digitalizan más y más actividades, la recopilación de datos es cada vez más fácil. Dado que el 92% de los hogares de la UE tiene acceso a Internet, podemos deducir sin temor a equivocarnos que casi todos nosotros dejamos rastros de nosotros mismos en Internet, y en base a esos rastros, las empresas pueden deducir lo que nos gusta, lo que nos interesa o lo que tememos. Puede que no suene alarmante, pero en realidad es muy peligroso.

La manipulación política, en particular, supone un enorme peligro para las democracias y la libertad de expresión. Si los partidos y los candidatos pueden simplemente comprar información sobre cómo influir en tu voto, se socava el proceso democrático. No tiene nada que ver con una campaña electoral leal, accesible e igualitaria. Donald Trump, por ejemplo, difundió mucha propaganda política y desinformación a través de las redes sociales y la propaganda personalizada directa.

Deberías poder ver los mismos anuncios políticos que tu vecino, pero gracias a la propaganda microdirigida puede que no sea así. Si recibes anuncios personalizados, al menos deberías tener derecho a saber por qué se te muestra determinada información específica.

¿Qué es una violación de la seguridad de los datos? ¿Por qué es peligrosa?

El peor escenario es que tus datos caigan en manos delictivas, lo que se conoce como violación de la seguridad de los datos. Una violación de la seguridad de los datos se produce si los datos son robados, perdidos, destruidos o han sido manipulados por piratas informáticos. Incluso las empresas más grandes no son 100% seguras: en 2021, por ejemplo, se extrajeron y filtraron en línea los datos de más de 500 millones de usuarios de Facebook.

Pero, ¿qué puede pasar si la seguridad de mis datos es violada?

Algunas consecuencias son molestas, como la pérdida de acceso a tus cuentas de redes sociales, pero otras son especialmente dañinas y suponen un peligro auténtico. Imagina, por ejemplo, que se filtrasen los datos personales de un foro de asesoramiento sexual en línea -en el que la gente busca anónimamente consejos sobre temas personales-, de modo que sus usuarios pudiesen ser identificados fuera de la red. Esta situación podría ser gravemente perjudicial para la salud mental de una persona, o incluso ponerla en peligro físico si su estilo de vida contraviene las normas sociales.

El RGPD reduce este riesgo al imponer la minimización de los datos y la limitación de su plazo de conservación. Cuantos menos datos se conserven, menos se podrán filtrar y más difícil será identificar a las personas. Además, los responsables del tratamiento de datos también deben notificar el incidente de seguridad sin demora y a más tardar 72 horas después de que hayan tenido constancia de ello y, de acuerdo con el Artículo 25 del RGPD, "protección de datos desde el diseño", todos los sistemas deben incorporar las medidas técnicas que permitan aplicar de forma efectiva la máxima seguridad.

El RGPD para principiantes: ¿Cómo funciona en realidad? Datos y conceptos importantes

Bien, hemos llegado hasta aquí, pero todavía tenemos que abrirnos paso a través de algunas palabras rimbombantes y exponer cómo funciona en realidad el RGPD y por qué es importante para ti:

¿Quién es el interesado?

Yo soy un interesado y tú también. El interesado es toda persona cuyos datos sean tratados por una organización. Básicamente, cualquiera que haya utilizado Internet alguna vez es el interesado.

¿Quién es el responsable del tratamiento?

El responsable del tratamiento es toda entidad que recopila y almacena datos: por ejemplo, una empresa.

¿Quién es el encargado del tratamiento?

Es quien es contratado por una gran empresa para hacer el tratamiento de datos en su nombre.

¿Qué es una autoridad de control?

Cada país de la UE tiene su propia autoridad de control. Como guardián de la privacidad de los datos, debe hacer cumplir el RGPD en su territorio y, si fuera necesario, imponer cuantiosas multas.

¿Quién es el delegado de protección de datos? (DPD)

Es la persona que se encarga de todos los detalles del RGPD en una organización/empresa.

¿Qué son las evaluaciones de impacto relativas a la protección de datos? (EIPD)

Cuando un proyecto pueda implicar un alto riesgo para los datos personales, los responsables del tratamiento deben analizar el riesgo en su totalidad -cuáles son los riesgos potenciales y cómo minimizarlos- y poner las conclusiones por escrito.

¿Qué significa política de privacidad?

La política de privacidad es un documento público en el que una organización explica cómo procesa los datos personales y cómo aplica los principios de protección de datos, para que sepas qué ocurre con tus datos cuando interactúa con ellos.

¿Qué significa consentimiento en el contexto del RGPD?

El consentimiento del interesado, de acuerdo con el RGPD, es "toda manifestación de voluntad libre, específica, informada e inequívoca" de tu aceptación o acuerdo para que una determinada categoría de tus datos personales pueda ser tratada, para determinados fines, por quienes solicitan tu consentimiento.

¿ Cuáles son los derechos del interesado? ¿Qué derechos nuevos tienen los usuarios de Internet gracias al RGPD?

El RGPD establece 8 derechos básicos de los usuarios de Internet en Europa. Por lo tanto, tienes una serie de derechos y la posibilidad de intervenir si son vulnerados.

El derecho a ser informado

Las personas tienen el derecho a ser informadas sobre quién es el responsable del tratamiento de sus datos y con qué fin. Es importante, porque tienes que saber a quién dirigirte si crees que tus datos se están utilizando de forma indebida. La política de privacidad tiene que estar redactada de forma que se pueda entender fácilmente.

Derecho de acceso del interesado

Si quieres saber qué datos personales tuyos almacena una empresa y cómo se utilizan, puedes simplemente enviar una solicitud para acceder a una copia de los mismos de forma gratuita. Por ejemplo, si quieres saber qué datos tiene archivados tu supermercado local, puedes esperar datos sobre cuándo utilizaste su tarjeta de fidelidad, qué compraste, si te enviaron ofertas especiales y si se vendieron tus datos y a quién.

Derecho de rectificación

Si te das cuenta de que alguien tiene información incorrecta sobre ti, tienes derecho a la rectificación de los datos personales inexactos que te conciernan. Por supuesto, también hay que informar a los terceros a los que se han facilitado tus datos.

Derecho de supresión

Más conocido como "el derecho al olvido". En principio, puedes solicitar que una empresa borre los datos que te conciernan. No siempre es factible respetar tu petición: por ejemplo, es posible que los bancos no puedan borrar todos tus datos inmediatamente porque tengan que conservarlos por ley durante un tiempo determinado. Pero si apareces en un sitio web local como ganador regional del concurso local de comer perritos calientes, y no eres una figura pública (por tanto, el público no tiene interés en saber cómo pasas tu tiempo libre), tu solicitud debe ser atendida. Sin embargo, también hay que mencionar que hoy en día es muy difícil que los datos se borren por completo una vez que están en la red informática mundial. Las informaciones más jugosas suelen propagarse por todo Internet, y cuando tus datos se procesan fuera de la UE, hacer valer tus derechos es casi imposible.

En 2019, el Tribunal de Justicia de la Unión Europea dictaminó que la Unión Europea no puede extender sus leyes más allá de sus fronteras. Así que, aunque puedes obligar a Google a borrar en los resultados de búsqueda europeos esa foto bochornosa que publicaste en MySpace hace 12 años... si alguien en otro continente busca tu nombre en Google, puede seguir riéndose.

Derecho a la limitación del tratamiento

Puede darse una situación en la que quieras que una empresa deje de utilizar tus datos. Lo primero que se te ocurre es pedirles que los borren. Sin embargo, puede que eso no sea posible o no de manera inmediata. En esos casos, puedes solicitar a las empresas que no hagan nada con tus datos más allá de lo que la ley les obliga a hacer, por ejemplo, conservar los datos durante un tiempo determinado.

Derecho a la portabilidad de los datos

Supongamos que utilizas una plataforma de streaming [transmisión] de música y quieres cambiar a otra. Pero, tienes dudas porque quieres conservar tus listas de reproducción. El derecho a la portabilidad de los datos pretende garantizar que no te atasques con tu antiguo proveedor simplemente porque no tienes tiempo o ganas de volver a crear esas listas. Dado que eres el propietario de tus datos según el RGPD, puedes pedir tus datos de tu antigua plataforma de streaming en un formato que sea transmisible al nuevo proveedor del servicio.

Derecho de oposición

Si das permiso para que un sitio web guarde y lea los datos de las cookies, la empresa u organización puede tratar tus datos de acuerdo con su política de privacidad. Pero, ¿qué pasa si más tarde cambias de opinión porque te envían anuncios políticos después de investigar un tema en las noticias? Al menos en teoría, tienes derecho a oponerte. El sitio de noticias al que entraste no puede tratar o vender tus datos nunca más. Aunque hay algunas excepciones a este derecho, siempre puedes oponerte al marketing directo. Sin embargo, en la práctica, puede que tengas que encontrar alguna manera alternativa para asegurarte de que no te bombardeen con anuncios políticos, porque en el actual entorno en línea puede que no sea posible saber quién procesa tus datos. Y sí, esto es una violación del RGPD.

Derechos relacionados con las decisiones individuales automatizadas, incluida la elaboración de perfiles

Las decisiones individuales automatizadas son aquellas decisiones basadas únicamente en el tratamiento de datos automatizado por parte de una máquina. La elaboración de perfiles significa que se te incluye en una categoría (por ejemplo, si puedes recibir un préstamo o no) basándose en la información de los datos personales. La decisión individual automatizada pretende ser más imparcial que la toma de decisiones humana, pero como se basa en el aprendizaje de modelos y en datos (a veces incorrectos) aportados por seres humanos, la objetividad plena está todavía muy lejos de ser posible.

Debido a la posibilidad de una toma de decisiones sesgada, la decisión individual automatizada y la elaboración de perfiles suponen una amenaza para los derechos y libertades del interesado y la democracia. Debemos tener la posibilidad de saber por qué se toma una decisión, y tener la opción de impugnarla si lo deseamos.

La UE reconoce este problema, y por ello otorga el derecho a no ser sometido a una decisión basada únicamente en medios automatizados si la decisión produce efectos jurídicos en el interesado o afecta significativamente a la vida de una persona.

¿Cuáles son las sanciones por infringir el RGPD?

Dependiendo de cómo se infrinja exactamente el RGPD, hay dos niveles diferentes de multas.

En el caso de las infracciones menos graves, las empresas pueden tener que pagar 10 millones de euros como máximo, o el 2% como máximo del volumen de negocio total anual de la empresa en todo el mundo, optándose por la mayor cuantía.

Para las infracciones más graves, las multas pueden ascender a 20 millones de euros como máximo, o el 4% como máximo del volumen de negocio total anual de la empresa en todo el mundo.

¿Qué conclusiones sacamos del RGPD?

Si has llegado hasta aquí, oficialmente ya no eres un principiante en lo que respecta al RGPD. ¿Qué hemos aprendido?

Hemos aprendido qué somos (un interesado), que nuestro comportamiento en línea está siendo rastreado (los datos personales son valiosos), y que muchas personas y empresas están interesadas en tener nuestros datos. También hemos aprendido que la falta de protección de la privacidad puede dañar a las democracias.

Por supuesto, el RGPD no ofrece una protección infalible contra todo tipo de violaciones de la seguridad de la privacidad, sobre todo porque las autoridades tienen problemas para hacerlo cumplir. Aunque el RGPD es un instrumento jurídico positivo que nos permite protegernos, sólo es útil en la medida en que se haga cumplir. En adelante, la UE debe centrar su atención en garantizar el cumplimiento del RGPD.

Photocredits:

Naomi Tamar /Unsplash
Jurica Koletić/Unsplash
Omid Armin/Unsplash
Ludvig Wiese/Unsplash
Taylor Hernandez/Unsplash
Alexander Andrews/Unsplash
Derek Story/Unsplash