bruselas - Alguien se ha decidido a poner el cascabel al gato. Tiene los días contados. La frase de Quien calla otorga quedará sin valor dentro de unos meses -el 25 de mayo, concretamente- cuando una nueva legislación europea ponga a la persona usuaria de Internet en el centro de ese novedoso marco normativo que regulará, precisamente, el tratamiento que instituciones y compañías (sean del tamaño que sean) hacen de los datos privados. De este modo se trataría de evitar casos tan flagrantes como el ocurrido con la plataforma Uber que durante cerca de un año no informó a unos 60 millones de usuarios y conductores de una brecha de seguridad por la que se fugaron informaciones privadas de todas esas personas.
Y como ese ejemplo, otros más que han saltado a la luz pública pero también otros que, desgraciadamente, jamás serán conocidos. Aquel de Uber (ocurrió en 2016 y fue reconocido en noviembre del año pasado) se saldó con el despido del responsable de Seguridad de esa empresa y el pago de unos 100.000 dólares a unos hackers para que no colgaran en las redes sociales ese ciberataque.
Con el nuevo reglamento -de obligado cumplimiento no solo para países de la UE sino también para cualquier firma que quiera operar en el espacio europeo [aplicación del principio de neutralidad]- ocultar esa información les hubiera salido algo más caro: las compañías que incumplan podrán enfrentarse a multas de 10 millones de euros o de 20 en los episodios más graves. El comisario europeo del Mercado Único Digital, Androus Ansip, enfatizaba ayer que “nuestro futuro digital tiene que estar construido sobre la confianza y la protección de la privacidad de cada uno de nosotros”.
Aunque el reglamento fue aprobado hace ya dos años, en abril de 2016, la Comisión Europea recordó ayer los principales puntos de este nuevo marco normativo [el anterior data de hace dos décadas] con la intención de asegurarse que gobiernos, ciudadanos y compañías estén preparados para su aplicación en mayo. En la CAV, la Agencia Vasca de Protección de Datos lleva ya un tiempo informando a ese conjunto de actores las obligaciones y derechos contenidas en el Reglamento General de Protección de Datos (RGPD). A finales del curso pasado, por ejemplo, una delegación de la misma lo hacía ante un centenar de representantes municipales y de mancomunidades de Bizkaia.
En todo caso, el foco de esta nueva normativa reside en que las organizaciones que tratan datos privados “deben adoptar las medidas necesarias para garantizar y estar en condiciones de demostrar que cumplen con lo establecido” en el RGPD. Esas empresas, entidades o instituciones deben realizar un análisis de riesgo de sus tratamientos para determinar qué medidas han de aplicar y cómo hacerlo.
Consentimiento Además deberán considerar otras medidas como la notificación de violaciones de seguridad de los datos; “la protección de datos desde el diseño o por defecto; o la adopción de las medidas técnicas y organizativas oportunas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados”. Asimismo, la nueva normativa reconoce el derecho a la limitación en el tratamiento de los datos personales, o que cuando se solicita el consentimiento para su tratamiento haya que darlo de forma expresa y no tácita como en la actualidad.
Otros aspectos básicos de la nueva normativa tienen que ver más directamente con la persona usuaria de Internet. Por ejemplo, se introducen nuevas pautas como el derecho a la portabilidad; es decir, que aquella persona que haya proporcionado sus datos a un responsable que los esté tratando de modo “automatizado” [por ejemplo, una red social como Facebook, Twitter o Instagram] podrá solicitar la recuperación y traslado de esos datos a otra plataforma. Desde la Comisión Europea expresaban que este reglamento supondrá que exista una sola ley, no 28 distintas; y lo que es más relevante: que las empresas tendrán que tratar con una única entidad supervisora, una especie de ventanilla única, “lo que hará más simple y barato hacer negocios en la Unión”.
Asimismo, la nueva regulación garantizará que se mantenga el principio de neutralidad en la red ya que cualquier compañía que quiera operar en suelo UE lo tenga que hacer bajo ese paraguas, asumiendo los principios, criterios y condiciones fijadas. Tal y como expresaba ayer Vera Jourová (comisaria europea de Justicia), “en el mundo actual, la forma en que gestionamos los datos determinará en gran medida nuestro futuro económico y nuestra seguridad personal”.
La ley obliga a implantar soluciones tecnológicas en la recopilación y almacenamiento de Información Personal Identificable (IPI). El objetivo es asegurar que esa IPI se almacena con permiso del usuario, que se utiliza para el propósito especificado y durante un tiempo.
Afecta a cualquier dato relacionado con la vida privada, profesional o pública de cualquier persona usuaria residente en la UE (dirección IP, información bancaria, direcciones de correo electrónico, redes sociales, etc.).
