El pasado 25 de mayo entraba en vigor el nuevo Reglamento General de Protección de Datos, conocido como GDPR por sus siglas en inglés. En este periodo, mucho han cambiado las cosas dentro de la Unión Europea para las empresas y los ciudadanos en lo referente al uso y tratamiento que se hace de los datos personales.

Establecer una nueva forma de recabar, almacenar, gestionar y compartir los datos de los usuarios ha sido la primera consecuencia de la entrada en vigor del GDPR para las empresas, quienes ahora, independientemente de su actividad o país de procedencia, tienen que velar por la protección de los datos de sus usuarios.

Otro de los grandes cambios introducidos con la nueva normativa son las sanciones a las que se enfrentan las compañías. Desde finales de mayo, las firmas pueden ser multadas, en caso de infracción grave, con hasta el 4% de su facturación global anual o 20 millones de euros.

También ha aparecido una nueva figura dentro de las empresas: el Delegado de Protección de Datos (DPO). Antes de la entrada en vigor del GDPR, las compañías no estaban obligadas a tener un Delegado de Protección de Datos, pero ahora deben contar con uno si el tratamiento de datos es una parte fundamental de su negocio principal.

Nivel de adaptación de las empresas

Esta nueva norma supone para las firmas que ofrecen sus bienes y servicios a los ciudadanos que residen en la Unión Europea un giro radical en el tratamiento de los datos personales, y no todas han conseguido adaptarse a ella todavía.

El informe elaborado por Capgemini, Seizing the GDPR Advantage: From mandate to high-value opportunity, destaca que el 85% de las empresas europeas y estadounidenses no cumplen con las exigencias del GDPR. Desvela, además, que una de cada cuatro firmas no habrá terminado de adaptarse al nuevo reglamento este año.

Primeras consecuencias para las empresas

Compañías multinacionales como Facebook, Google o Whatsapp han recibido ya varias denuncias por la utilización que hacen de los datos personales de sus usuarios. La red social dirigida por Mark Zuckerberg ha tenido incluso que reconocer que comparte información de sus usuarios con terceros para cumplir con los requerimientos del GDPR.

Por otro lado, algunas empresas extranjeras, principalmente estadounidenses, ante las exigencias del nuevo reglamento, han optado por bloquear el acceso a sus páginas web a los internautas que se conectan desde Europa. Otras, en cambio, han decido crear subdominios exclusivos para los usuarios de la región. También hay webs que, para garantizar que los datos de sus visitantes no son rastreados, ofrecen suscripciones premium más caras a sus servicios a los ciudadanos residentes en la UE.

La protección de datos de los usuarios

Con la entrada en vigor del nuevo reglamento, la forma en la que los ciudadanos europeos deben dar su consentimiento para el tratamiento de sus datos personales (nombre, foto, dirección IP del ordenador, etc) ha cambiado. Ahora el consentimiento tiene que ser inequívoco, informado, específico y explícito.

Para que el consentimiento cumpla con las exigencias del GDPR, las empresas han tenido que estrenar unos nuevos términos y condiciones. Ahora estos tienen que estar escritos con un lenguaje claro y sencillo. Además, tienen que explicar de forma detallada el uso que se hará de los datos personales (la necesidad del tratamiento de datos, el fin por el que se solicitan o el tiempo durante el cual van a ser tratados). En caso de que los datos vayan a tener distintos usos, el ciudadano tendrá que dar el consentimiento por separado.

En cumplimiento con el GDPR, han desaparecido de los formularios las casillas premarcadas para la recepción de comunicaciones comerciales o para la cesión de datos a terceros.

Los derechos de los ciudadanos

El nuevo reglamento reconoce y recoge el derecho de los usuarios a solicitar a la empresa poseedora de sus datos información relativa a los mismos (cómo están siendo gestionados, dónde y con qué fin), pudiendo exigir incluso que le entregue una copia en la que se recoja todo lo que la firma conoce sobre su persona.

Por otro lado, la normativa reconoce el derecho al olvido. Los ciudadanos europeos pueden solicitar a las empresas que borren o dejen de utilizar su información personal.

Como novedad, los usuarios tienen ya derecho a la portabilidad de sus datos personales. Esto significa que pueden elegir cederlos a otras empresas para ser dados de alta en sus servicios.

La percepción de los usuarios

El último barómetro del Centro de Investigaciones Sociológicas (CIS) refleja que solo el 26,1% de los españoles ha pedido a una empresa o a un organismo que elimine o suspenda sus datos personales.

Más de la mitad de los usuarios en nuestro país (51,7%) considera probable que sus datos puedan ser utilizados sin su consentimiento, mientras que un 33,7% opina que es muy probable que esto ocurra.

En esta línea, un 41% de los consumidores ve bastante probable que la información que manejan las empresas sea utilizada por terceros para hacerles llegar comunicaciones comerciales y otro

tipo de acciones de marketing. De hecho, casi el 70% de los encuestados reconocen seguir recibiendo correos no deseados o llamadas de empresas a las que aseguran que no han facilitado sus datos de contacto.

En cuanto a las políticas de privacidad, tan solo el 15% de los internautas españoles se las lee. Y el 26,1% de los ciudadanos reconoce haber pedido ser dado de baja de un fichero de datos.

A pesar de estas cifras, la protección de datos personales preocupa “mucho” o “bastante” a un 76,1% de los encuestados y las empresas deben velar por la protección de los datos de sus usuarios.