A estas alturas ya debes haber recibido una cantidad significativa de emails en tu bandeja de entrada sobre cambios en la política de privacidad de todos los servicios online que usas, y probablemente has ignorado la mayoría a pesar de que son bastante importantes.
La razón de esta avalancha de correos que estás recibiendo es que todas las empresas que traten datos de ciudadanos europeos, sin importar si son de Estados Unidos, tienen hasta este 25 de mayo para cumplir con la nueva ley de protección de datos: GPDR. Y, pues, se nota que la mayoría dejó las cosas para último momento.
En caso de que no hayas leído ninguno de esos emails
Si te preguntas qué sentido tiene este reglamento si parece que lo único que cambia para ti son un montón de emails avisándote que aceptes los cambios en la política de privacidad para continuar usando el servicio, emails que quizás no leíste, te lo vamos a explicar.
La GDPR no entra en vigencia este 25 de mayo como tal, ya lo hizo el 24 de mayo de 2016, solo que su cumplimiento ahora será obligatorio, y las empresas que no lo cumplan podrían enfrentarse a grandes multas. Lo más importante del reglamento tiene que ver con la forma en la que se te informa sobre los datos que estás cediendo y para qué los están usando.
En Genbeta hemos conversado con el abogado Abel Loeches Márquez de Akela Asesores, especialista en derecho y negocio digitales, para que nos ayude a resolver algunas dudas básicas sobre el Reglamento General de Protección de Datos y esto es lo que nos ha explicado:
¿Sirve de algo la nueva ley de protección de datos cuando lo único que parece que pasa es que recibo 30 emails en mi correo sobre cambios en la política de privacidad?
Las reglas del juego han cambiado en materia de privacidad. Ahora, organizaciones de la UE y extranjeras siempre que se dirijan a usuarios que se encuentren en la UE deben cumplir con la nueva normativa de protección de datos (RGPD o GDPR).
Esta norma supone un cambio de paradigma porque exige una responsabilidad proactiva a empresas y organizaciones públicas y a un tratamiento de datos basado en los principios de, entre otros, licitud, lealtad y transparencia.
Por ello, empresas de todo el mundo tienen la obligación de ponerse en contacto con sus clientes, empleados, contactos… para: 1) Informar sobre los tratamientos de datos que realizan de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, e indicando toda la información requerida por el RGPD; y/o 2) Renovar el consentimiento otorgado previamente por los interesados según la antigua norma LOPD para realizar determinados tratamientos de sus datos conforme a la nueva.
Evidentemente, teniendo en cuenta que han pasado dos años desde la publicación del RGPD, las empresas y/o los profesionales de la protección de datos no hemos hecho los deberes a tiempo y la mayoría de emails a interesados se están acumulando en estas últimas semanas/días.
Si nos abstraemos del volumen de los mismos, en cada una de estas comunicaciones se nos da información muy interesante para los usuarios, puesto que nos explican de una manera muy directa quién trata nuestros datos, qué va a hacer esa empresa con ellos, por qué los trata, cuánto tiempo los va a conservar, a quién los va a comunicar, cuáles son nuestros derechos…
Y, si nunca miro esos correos o ni siquiera incluyen enlaces, pero sigo usando sus servicios ¿pueden asumir que ya di mi consentimiento?
No, el consentimiento tiene que ser libre, inequívoco, expreso y explícito. No cabe el consentimiento tácito y las organizaciones no pueden asumir que el usuario, por el mero hecho de recibir un correo electrónico, ha dado su consentimiento.
Si no otorgamos nuestro consentimiento expreso a finalidades accesorias, las empresas no podrán, entre otras, enviarnos publicidad, emplear nuestros datos para hacer venta cruzada o enviarlos a una tercera empresa para una finalidad diferente.
Lo que ocurre es que, en muchas ocasiones, el consentimiento ya se ha otorgado previamente (cuando nos damos de alta en un servicio, por ejemplo) y si esa obtención del consentimiento cumplía con los principios de la nueva normativa no es necesario regularizarlo.
Ahora bien, lo que deben hacer en todo caso es informar de los cambios en las políticas de privacidad y ahí ya es decisión de cada uno de de nosotros leer el correo o ignorarlo.
¿Cuál es la diferencia principal entre aceptar condiciones antes y después de la GDPR?
Según la base legal del tratamiento, en muchos casos se debe solicitar el consentimiento del interesado para el tratamiento de sus datos personales para uno o varios fines específicos.
Con la anterior normativa (la LOPD) era válido el consentimiento tácito, por lo que si el usuario no indicaba nada se podrían usar sus datos (cláusulas del tipo “Si no nos indica lo contrario, utilizaremos sus datos para fines comerciales y entendemos que consiente el tratamiento descrito».
Ahora, con el RGPD, se requiere que si el consentimiento del interesado se da en el contexto de varios asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.
Esto quiere decir que cuando damos nuestros datos para determinados tratamientos ya no veremos una sola casilla de “Acepto las condiciones”, sino que habrá tantas casillas como actividades que requieran nuestra aceptación explícita.
En Genbeta | Tengo una web y no sé si cumplo con la GDPR, ¿cómo puedo hacerlo y qué pasa si no lo hago?
También te recomendamos
¿Puede competir el TV del salón con las gradas de los estadios deportivos?
Tengo una web y no sé si cumplo con la GDPR, ¿cómo puedo hacerlo y qué pasa si no lo hago?
–
La noticia
¿Sirve para algo la GDPR cuando recibes 30 avisos de que aceptes los cambios en la política de privacidad?
fue publicada originalmente en
Genbeta
por
Gabriela González
.