A estas alturas tu bandeja de entrada debe tener decenas de correos electrónicos con las siglas GDPR. Estas responden (en inglés) a la Regulación General sobre Protección de Datos de la UE que a partir de este viernes 25 de mayo es de obligatorio cumplimiento en todos los países miembros del bloque.
Pero, ¿qué significa todo esto, para los usuarios, organismos públicos y empresas?
1. Tienes que dar tu consentimiento para que los servicios online sigan usando tus datos. La nueva ley exige que el usuario exprese un consentimiento para el uso que los servicios online hacen de sus datos. Es decir, todas las empresas e instituciones que usaban tu correo u otros datos para dirigirse a ti tienen que pedir tu permiso. Esto en España ya era obligatorio cumplirlo según la Ley Oficial de Protección de Datos de 1999 (que será sustituida por la GDPR, como el resto de regulaciones nacionales sobre este tema), por lo que, quienes no te habían pedido permiso para comunicarse contigo estaban infringiendo la ley. Si no contestas a estos correos, las empresas estarán obligadas a eliminar tus datos y a no comunicarse contigo. En este punto, la legislación exige un proceso claro y directo para borrar la información. Esto sin embargo, no alcanza a plataformas de servicios como Facebook en las que el usuario tiene una cuenta abierta. Por ejemplo, si no has aceptado las nuevas condiciones de la red social, tu cuenta no será eliminada aunque no la podrás usar hasta que no aceptes los nuevos términos.
2. En qué consisten los nuevos términos. El asunto más central de toda la GDPR es en qué cambia el tratamiento de los datos. La regulación simplemente impone más control, de forma que las empresas no puedan hacer lo que quieran con tus datos a no ser que tú lo consientas, hecho que se da por supuesto si quieres seguir usando servicios tan cotidianos como las redes sociales, páginas de viajes o el correo electrónico. Una vez consentido el tratamiento de tus datos, las empresas seguirán haciendo lo que hacían hasta ahora, con la lupa de los reguladores encima, eso sí. Es decir, si tus datos se utilizan para un uso no consentido (cualquier uso ilegal como sucedió con Cambridge Analytica no puede ser consentido), la empresa o institución puede ser sancionada con multas de hasta 20 millones de euros. Si una compañía no se ha adaptado a la nueva regulación (por ejemplo, enviarte un email sin que tú no hayas dado tu expreso consentimiento) también será multada. La GDPR no contempla que las compañías recopilen menos información, solo que lo hagan dentro de la nueva legislación.
3. Qué consecuencias inmediatas tendrá la GDPR. En cuanto a los usuarios, si consienten, las cosas seguirán como antes. Si no, simplemente recibirán menos información. Por parte de las empresas, el tema se complica algo más. La GDPR entró en vigor hace dos años, el 25 de mayo de 2016. Sin embargo, la mayoría de empresas e instituciones no han hecho nada para adaptarse al nuevo reglamento hasta pocas semanas de que su cumplimiento sea obligatorio. Esto solo puede derivar en una situación en la que la mayoría de empresas no hayan adaptado sus procedimientos de tratamiento de datos a la nueva normativa, de tal manera que sigan usando los datos como hacían hasta ahora, hecho que acarreará fuertes sanciones. Además, las empresas y todos los organismos públicos que gestionen datos a gran escala, y aquellos que traten datos que "revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas, el tratamiento de datos genéticos y biométricos, datos relativos a la salud y datos relativos a la vida sexual o las orientación sexuales de una persona física” estarán obligadas a incorporar a un Delegado de Protección de Datos que tendrá que responder ante los reguladores por el uso de estos datos. Se intuye que serán estas empresas las que estarán más controladas.
La regulación impone más control, de forma que las empresas no puedan hacer lo que quieran con tus datos a no ser que tú lo consientas, hecho que se da por supuesto si quieres seguir usando servicios tan cotidianos como las redes sociales, páginas de viajes o el correo electrónico
4. No solo internet. Una de las grandes novedades de la GDPR será el consentimiento para el tratamiento de datos personales obtenidos a través de llamadas telefónicas. Las típicos avisos del tipo "esta llamada está siendo grabada por motivos de seguridad" ya no serán suficientes para obtener el consentimiento asumido para grabar llamadas. Además, cuando la grabación haya comenzado, si la persona que es grabada retira su consentimiento, entonces el agente que recibe la llamada debe ser capaz de detener una grabación previamente iniciada y asegurarse de que la grabación no se guarde.
5. Las grandes tecnológicas tendrán ventaja. Otra consecuencia inevitable de la GDPR es que las grandes empresas como Google y Facebook, a quienes se puso en el punto de mira de la nueva regulación sean quienes más beneficio obtengan. Sus recursos legales para adaptarse a la nueva normativa les pone en una fuerte ventaja competitiva respecto, por ejemplo, de la mayoría de startups, que tendrán que plegarse a sus servicios para cumplir con la nueva ley.
En resumen, la GDPR da más control al usuario sobre el uso de sus datos par parte de organizaciones y empresas, pero en la práctica las cosas seguirán como siempre, con más poder para las grandes gestoras de datos y fuertes multas para las que no lleguen a su cumplimiento.