![](data:image/svg+xml;charset=utf-8,<svg height="735" width="1024" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
En las últimas semanas la sigla GDPR ha resonado en la prensa y redes sociales. Se trata del Reglamento general de protección de datos de la Unión Europea (o en inglés General Data Protection Regulation) y que consiste en la nueva norma a nivel europeo que regula el tratamiento que hacen las empresas y autoridades u organismos públicos de los datos personales de los ciudadanos y su libre circulación.
Cabe mencionar que se entiende por datos todo lo que tiene que ver con información personal que entregan los usuarios en Internet. Entre los que se pueden mencionar están: nombre, edad, domicilio, número de IP, audios, fotos, documentos, creencias religiosas y afiliación política.
Aristas contempladas por la GDPR
Se supone que desde mayo de 2016 esta normativa está vigencia, pero este viernes 25 de mayo comenzó su obligatoriedad. Por eso y desde ahora, considera las siguientes aristas:
- Transparencia en el consentimiento de uso de datos: Debe existir un respaldo concreto y expreso de que el usuario autorizó el uso o traspaso de datos. En este proceso debe haber transparencia el detalle y objetivos del uso, responsables, etc. Los menores de 16 años (aunque los países pueden determinar rebajar la edad) no pueden dar consentimiento para el tratamiento de sus datos.
- Derecho al olvido: Este tema, que ya lo había tratado en otro artículo, ahora estará de forma explícita en una ley. Los usuarios podrán solicitar la eliminación de sus datos en caso de que no se necesiten o fueran utilizados ilícitamente.
- Derecho a la portabilidad de datos: Las persona pueden exigir a la compañía u organismo al que le haya cedido sus datos personales para transferirlos a otro proveedor.
- Nace el Delegado de Protección de Datos: Se trata de un encargado de velar por el correcto tratamiento de los datos personales. También al ejercicio de los derechos que aparecen en el reglamento. Su existencia será obligatoria en entidades públicas y en empresas que manejan datos gran escala o temas de categorías especiales de datos personales o relativos a condenas e infracciones penales.
- Obligación de notificación de seguridad: Las empresas y organismos públicos tienen la obligación de notificar cuando la seguridad de los datos personales de los usuarios sea violada.
Comité de protección de datos
De acuerdo al texto final de la normativa, se crea el Comité Europeo de Protección de Datos que permitirá que las decisiones que se tomen en los distintos lugares sean coherentes y vinculantes. Cada estado tendrá una autoridad a cargo, hasta donde se pueden acercar los denunciantes.
Para quienes infrinjan la normativa se contemplan sanciones que comienzan con advertencias hasta 10 millones de euros, si se trata de una compañía. Y hasta el 2% del volumen de negocio anual si se trata de una empresa.
¿Y cómo afecta a Chile todo esto?
La GDPR afecta fuera de sus territorios. En concreto, esto también se aplica a todas las empresas extranjeras; incluidas las chilenas, que procesan datos de residentes o personas que transiten por la Unión Europea.
También afecta a compañías que tengan negocios con empresas o personas de la Unión Europea. Esto quiere decir que podrían estar sujetas también al cumplimiento de la GDPR y sus respectivas sanciones.
Chile en esta materia está al debe en cuanto a la privacidad de datos. Esto se refleja en, por ejemplo, estudios como el realizado por la ONG Derechos Digitales, llamado “¿Quién defiende tus datos?”, cuyos resultados ya analizamos en otro artículo.
Y si hablamos de legislación, hay que esperar aún por novedades. En estos momentos el Proyecto de ley que regula la protección y el tratamiento de los datos personales; y crea la Agencia de Protección de Datos Personales; espera de indicaciones en el Senado -plazo ampliado hasta el 7 de junio- en su primer trámite constitucional.