Seguramente el número de mensajes en la bandeja de entrada de tu correo electrónico ha mostrado un crecimiento inusual en los últimos días, semanas quizá. Cuando accedes a correos que provienen de servicios como Google Analytics o Spotify, estos mencionan la actualización de sus políticas de tratamiento de datos personales y te piden tu consentimiento para seguir utilizando tu información dentro de su plataforma. Tal vez incluso se mencionan las siglas GDPR (General Data Protection Regulation) y la entrada en vigor de este nuevo reglamento, el próximo viernes 25 de mayo, es justamente la razón por la que tu correo ha sido inundado con estas notificaciones.

El Reglamento General de Protección de Datos (GDPR, por su sigla en inglés) de la Unión Europea (UE) es una norma jurídica cuya función es proteger a “las personas físicas en lo que respecta al tratamiento de sus datos personales y la libre circulación de dichos datos”, de acuerdo con la UE, la cual añade que esta regulación representa “un paso esencial para fortalecer los derechos fundamentales de los ciudadanos en la era digital y facilitar los negocios mediante la simplificación de las normas para las empresas en el mercado único digital”.

De acuerdo con la doctora Isabel Davara Fernández de Marcos, jefa del despacho especializado en protección de datos personales y Tecnologías de la Información Davara Abogados, todas las empresas —grandes, medianas y pequeñas— que ofrezcan productos y servicios a ciudadanos de la Unión Europea son susceptibles de que esta regulación se aplique a sus procesos de tratamiento de datos personales.  

“Puedes ser una empresa muy pequeña, pero tu única actividad es el tratamiento de datos personales. Al mismo tiempo hay empresas muy grandes que tratan muy pocos de estos datos. Hay empresas tecnológicas, por ejemplo, las fintech, cuyo tamaño muchas veces corresponde con la definición de pymes, pero que pueden hacer un tratamiento intensivo de los datos de sus usuarios”, dijo la abogada.

En opinión de Davara, la extraterritorialidad de la aplicación del GDPR, es decir el que una regulación sea aplicable en países que no forman parte de la Unión Europea, como México, Estados Unidos o Brasil, refleja el alcance que tienen las propias empresas, las cuales, gracias a las tecnologías de la información, pueden realizar negocios de forma extraterritorial de manera sencilla, por lo que la preocupación de las autoridades europeas es proteger a los ciudadanos de esta comunidad y no regular el tratamiento de datos en países ajenos a la UE.

En este sentido, la oferta de un producto o servicio a ciudadanos europeos es la clave para que la regulación sea aplicable a una empresa en particular, por lo que no basta con que un ciudadano francés, español o alemán adquiera un producto o contrate un servicio en un negocio en México, es necesario que estos sean ofrecidos de forma explícita a clientes europeos. Esto también aplica a aquellas empresas que dan servicio a otras, las cuales dan tratamiento a datos personales de ciudadanos de la Unión Europea.      

“Esta regulación empodera a los usuarios, porque les otorga el control de su información personal”, dijo Ulises Cabrera, director de Windows y Seguridad Digital de Microsoft México, quien añadió que la compañía ha recibido miles de requisiciones para brindar información sobre el GDPR. 

¿A qué obliga el GDPR?

  1. Consentimiento. El consentimiento tácito, es decir aquel en el que el titular de los datos personales acepta su tratamiento por parte de una empresa con el hecho de no oponerse a las condiciones de uso contenidas en su aviso de privacidad, deja de ser válido, por lo que ahora se requiere que la persona afirme de forma expresa dicho consentimiento. Esta es la razón principal por la que las empresas han enviado formatos para que sus usuarios expresen su consentimiento a través del correo electrónico.  
  2. Enfoque de riesgos. La implementación de medidas de seguridad para proteger los datos personales de los usuarios debe estar basada en un análisis de riesgos, el cual analiza la naturaleza de los datos, es decir si son datos de identificación, laborales, ideológicos o sensibles y el volumen de la información, entre otros criterios. 
  3. Derecho al olvido y a la portabilidad. El derecho al olvido es una consecuencia del derecho a la cancelación de los datos personales de un usuario, lo que supone que el titular de los datos tiene el derecho de pedirle a una organización que da tratamiento a sus datos personales que los elimine o que se los entregue sin ninguna condición de por medio.
  4. Privacidad por diseño. En el caso de una empresa que ofrece sus servicios a otra que a su vez atiende a ciudadanos de la Unión Europea, la llamada privacidad por diseño o por defecto, contenida en el GDPR, obliga a que ambas traten los datos necesarios e indispensables para ofrecer su producto o servicio de forma eficiente y que soliciten el consentimiento expreso del usuario para acceder a más información.
  5. Oficial de protección de datos. Aquellas empresas con más de 250 empleados deben contar un oficial de protección de datos, que será la persona responsable sobre el tratamiento de los datos y a quien se le atribuye la responsabilidad por el mal uso de estos. Si bien el GDPR no cuenta aún con criterios específicos sobre el perfil con que debe contar dicho oficial, existen algunas certificaciones y controles de conducta que pueden definir dicho perfil. 

Sanciones

El GDPR establece varios mecanismos para atender los casos de mal uso de datos personales de un ciudadano de la Unión Europea. Cualquier autoridad puede investigar de oficio un mal tratamiento de los datos personales y también cualquier ciudadano de la Unión Europea puede denunciarlo. 

De acuerdo con la doctora Isabel Davara, las multas están atemorizando a los interesados, sobre todo por su cuantía -20 millones de euros o 4% de la facturación anual de la empresa en caso de una vulneración grave de la información o 10 millones de euros o 2% de la facturación anual, en caso de un evento menor- y porque los mecanismos de control son mucho más estrictos que en otras regulaciones, por lo que es más sencillo imponer dichas sanciones. 

“Todo el mundo está pidiendo prórroga, porque no están preparadas ni las empresas ni las autoridades locales, pero no estarán preparadas hasta que lo apliquen”, dijo.

rodrigo.riquelme@eleconomista.mx