los cambios en la normativa sobre protección de datos afectan a la ciudadanía y las empresas

El día 25 de mayo entra en vigor el Reglamento Europeo de Protección de Datos (conocido por las siglas RGPD) en el que se amplían los derechos de la ciudadanía en materia de protección de datos personales. El nuevo reglamento busca garantizar la libertad y el derecho al honor y a la intimidad de las personas, así como ofrecer una mayor protección en el tratamiento de sus datos.
Fecha: 24 de Mayo de 2018

En el día a día, los consumidores facilitamos una gran cantidad de información personal a distintas empresas privadas y organismos públicos. Actividades tan cotidianas como comprar por Internet, contratar un servicio, apuntarse a alguna actividad o rellenar un formulario para solicitar un catálogo, requieren facilitar datos personales como nuestro nombre, DNI, correo electrónico o teléfono y algunos casos números de tarjetas de crédito o cuentas bancarias, por lo que debemos tener la seguridad de que se encuentran en buenas manos.

Como consumidores es muy importante conocer cuál es el tratamiento que las empresas privadas y las instituciones públicas hacen de esos datos, así como saber cuáles son los derechos que nos amparan en el caso de querer eliminar, modificar o restaurar esa información.

Este nuevo reglamento incluye cambios importantes, como por ejemplo, el derecho de los consumidores a suprimir sus datos personales o el deber de las empresas de describir cuál es la finalidad para la que se utilizan. 

Los principales cambios que introduce el nuevo reglamento son los siguientes:

El consentimiento en el tratamiento

El consentimiento en el tratamiento es una de las principales novedades que introduce el reglamento europeo. Desde el 25 de mayo, se exige que la aceptación que como consumidor debe dar al tratamiento de sus datos sea expreso, una "clara acción afirmativa" y no un mero consentimiento tácito como se hace hasta ahora.

Protección de datos y menores de edad

Respecto a los menores de edad, la anterior legislación no hacía mención a ellos, mientras que en esta nueva se incluye que estos podrán consentir a partir de los 16 años, sin perjuicio de que esta edad pueda rebajarse hasta los 13 cuando los países miembros lo establezcan en sus normativas.

Deber de información y transparencia

En este sentido se amplía el deber de información de las empresas cuando recogen los datos de sus usuarios o consumidores, estableciéndose así varios niveles de información, una más básica y otra más detallada. En concreto, el nuevo reglamento determina que se debe informar, entre otros, acerca de la persona responsable del tratamiento de los datos, incluyendo su identidad y sus referencias de contacto; la finalidad del tratamiento con una descripción detallada del uso de los datos; la legitimación, con información sobre la base jurídica del tratamiento, en los casos de obligación legal o interés público, y la obligación o no de facilitar esos datos así como las consecuencias de no hacerlo; los derechos de las personas interesadas, incluyendo una referencia al ejercicio de los mismos en el acceso, rectificación, supresión, portabilidad, u oposición al tratamiento de sus datos.

El derecho a la supresión y a la portabilidad de los datos

En este apartado se incluye el conocido como derecho al olvido, con el que se pretende dar respuesta, en especial, a la creciente preocupación de la ciudadanía por la utilización y cesión de sus datos en Internet. Con el derecho de supresión reconocido por el nuevo reglamento europeo, se puede solicitar la eliminación de sus datos personales en varios supuestos, que incluyen los que se utilicen de manera ilícita o bien aquellos en los que haya desaparecido la finalidad que motivó su tratamiento o recogida. En esos casos, la persona afecta tiene derecho de solicitar que se borren definitivamente del sistema.

El derecho de portabilidad hace referencia a la posibilidad que tiene cada individuo de trasladar sus datos de una empresa a otra cuando cambie de suministradora de servicios, de tal manera que la entidad anterior, deberá borrarlos de su base de datos, una vez se haya tramitado la baja de este servicio.

Derecho a recibir información acerca de los fallos de seguridad

Las empresas tendrán la obligación de informar al consumidor de que se ha producido un fallo en la seguridad de sus datos personales en las 72 horas posteriores al mismo. 

Estos cambios que se incluyen en el reglamento europeo complementan los ya existentes en la anterior legislación.

Principios generales y obligaciones de las empresas 

Entre los principios y obligaciones que las empresas y los responsables de los ficheros de datos tienen que cumplir con los consumidores cuando recogen y tratan la información y los derechos que amparan a la ciudadanía en el caso de querer eliminar o modificar dicha información destacan los que afectan a la información, a la calidad de la misma, a la legitimación del tratamiento, a la seguridad y a la cesión de los datos.

Así, existe la obligatoriedad de informar al usuario sobre la existencia de un fichero de datos personales, sobre los destinatarios de los mismos, la manera de ejercitar los derechos de acceso, rectificación, oposición o cancelación, así como la finalidad sobre la que se recaban los datos.

Los  datos únicamente podrán usarse para una finalidad determinada, nunca para otro propósito, y su recogida debe ser proporcional a ella.

El tratamiento de los datos personales solo puede hacerse si el consumidor da el consentimiento para ello. Existen excepciones para este principio, como por ejemplo cuando la información se recoja para las Administraciones Públicas para el ejercicio de su competencia, los datos solo pueden ser tratados, recogidos o cedidos a terceros cuando así se acepte de forma expresa.

Las empresas deben garantizar la seguridad y confidencialidad de los datos que recoge y gestiona.

Por lo que respecta a la cesión de datos a terceros y al igual que en el tratamiento de los mismos, solo puede efectuarse si previamente se cuenta con el consentimiento de la persona afectada.

Los consumidores pueden ejercer el derecho de acceder, rectificar o eliminar sus datos de un fichero en el que ya no quieran seguir figurando.

Cualquier persona puede consultar gratuitamente el Registro General de Protección de Datos de la Agencia Española de Protección de Datos, donde las empresas tienen inscritos sus ficheros, donde podrá comprobar la información que tienen habilitada para dirigirse a ella en el caso de que, como consumidor, necesite ejercer su derecho de acceso, rectificación, cancelación y oposición:

Derecho de acceso. Permite al ciudadano solicitar y obtener información gratuita sobre los datos personales sometidos a tratamiento y el origen de esos datos. La solicitud tiene que ir dirigida al responsable del fichero que tendrá de plazo un mes para contestarla y darle acceso a ellos.

Derechos de la ciudadanía

El derecho de rectificación y cancelación se puede ejercer cuando los datos personales son inexactos, incompletos o se han tratado de forma ilegal. En este caso se puede pedir que el responsable que los está tratando los rectifique o los cancele. Deben contestar en un plazo máximo de 10 días hábiles.

El derecho de oposición es aquel al que pueden apelar los ciudadanos que se nieguen a aparecer en un determinado fichero o a que sus datos sean comunicados a terceros con fines de publicidad y de prospección comercial, salvo que una ley disponga lo contrario.

Para ejercer estos derechos, deberá enviar una comunicación dirigida al responsable del fichero con su nombre y su DNI, manifestando su oposición a aparecer en un determinado fichero o la rectificación de sus datos. Es responsabilidad de la empresa encargada de esos datos, darle contestación a su petición. .

Si ha visto vulnerado sus derechos, puede poner una denuncia en la Agencia Española de Protección de Datos.