El Reglamento General de Protección de Datos (GDPR en sus siglas en inglés, General Data Protection Regulation) entra en vigor este viernes 25 de mayo, y exige que el consentimiento para el uso de datos de los usuarios sea informado, específico e inequívoco.

En concreto, la normativa indica que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. De este modo, para poder considerar que el consentimiento es inequívoco, se requiere que haya una declaración de los interesados o una acción positiva que señale el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Además, las empresas tendrán que proporcionar información a los usuarios sobre el tipo de datos que recogen y los fines para los que lo hacen, cesiones a terceros, duración en la conservación de los datos, entre otros aspectos.

El Reglamento de obligado cumplimiento se aplica a responsables o encargados de tratamiento de datos establecidos en la Unión Europea (UE), pero también se amplía a aquellos de fuera de la UE, siempre que lleven a cabo tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

De esta forma, para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades.

Asimismo, la normativa europea establece que los datos de contacto de ese representante de la organización en la Unión Europea deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

"Un cambio muy importante"

En una reciente entrevista con Europa Press la directora de la Agencia Española de Protección de Datos (AEPD), Mar España, destacaba que esta normativa supone "un cambio muy importante" en el modelo que se estaba aplicando hasta ahora debido a que, a partir de este 25 de mayo, se va a aplicar un modelo preventivo.

"Desde el minuto uno, en que una administración publica o una empresa vaya a tratar los datos de los ciudadanos, clientes o empleados tiene que aplicar los principios de 'privacidad por defecto' y 'privacidad desde el diseño'", apuntaba.

Entre las novedades que incorpora el reglamento se amplían los derechos de los ciudadanos en materia de protección de datos. Así, los anteriores derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos se amplían.

En el caso del derecho de supresión, conocido como 'derecho al olvido', es más completo que el anterior de cancelación, y permitirá a los usuarios en determinadas circunstancias exigir a las empresas suprimir sus datos personales, incluyendo el 'olvido digital' o eliminación por el responsable del tratamiento de cualquier enlace a esos datos personales o copia que haya hecho públicos.

También se reconoce el derecho a la portabilidad de los datos, que permitirá a voluntad del ciudadano recibir en formato electrónico los datos personales que de él tengan, así como pedir que se trasladen de una empresa a otra. En el nuevo Reglamento también se amplían el derecho a la transparencia en la información y el derecho a limitar el tratamiento de los datos personales.

Las autoridades nacionales de protección de datos podrán imponer multas a las empresas que incumplan sus obligaciones en materia de protección de datos, que para las infracciones más graves pueden llegar a los 20 millones de euros o el 4% del volumen de negocio, según establece la normativa europea.