DOCTRINA EN DOS PÁGINAS

Reglamento general de protección de datos de la Comunidad Europea (RGPD o GDPR), (EU) 2016/679. Un nuevo estándar en materia de protección de datos personales (Parte II)

Por Eduardo R. Galisteo*

Incorpora el uso del lenguaje claro (Principio de transparencia, art. 39 del GDPR). De esta manera si antes teníamos que leer declaraciones sobre políticas de privacidad que eran interminables y nadie realmente leía y menos aún entendía, en el futuro estas políticas tendrán que ser escritas en un lenguaje claro y directo para el usuario. El principio de transparencia exige que toda información y comunicación relacionada con el tratamiento de esos datos personales sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo. (art. 39 del GDPR)

Consentimiento del usuario (art. 32 del GDPR): Las empresas asumían que el silencio del usuario podía significar su consentimiento para el procesamiento de datos, o se ocultaba este consentimiento en los términos y condiciones de uso que constaban de varias páginas que prácticamente ningún usuario leía. Con la aplicación de las GDPR, el usuario tendrá que dar un consentimiento afirmativo, especifico, libre e informado respecto de la información o datos que brindará antes de que sus datos puedan ser utilizados.  El silencio no podrá ser interpretado como un consentimiento.

Mayor transparencia: El usuario deberá ser informado cuando sus datos sean transferidos a otra empresa como en el caso de Cambridge Analytica. Por su parte las empresas podrán recolectar y procesar datos solo para un propósito definido. Tendrán que informar al usuario sobre nuevos propósitos para el procesamiento de la información recolectada.

Mayores derechos para el usuario: Las empresas tendrán que informar a los usuarios sin demora en caso de que haya habido una violación de datos dañina o data breach (arts. 33 y 34 del GDPR) -recuerdo la primera vez que recibí un mail de este tipo de una plataforma de venta de software online que uso regularmente y me informaba que había sido hackeada y había sido comprometida información sobre usuarios y tarjetas de crédito, les aseguro que no fue nada grato- El art. 4, inc. 12 del GDPR define al data breach como una infracción de la seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada, o acceso a los datos personales transmitidos, almacenados o procesados de otro modo. Por otra parte, el usuario podrá trasladar sus datos (Portabilidad de datos, art. 20 del GDPR), por ejemplo, a otro medio o plataforma social. Además, tendrá derecho a acceder y obtener una copia de sus datos, que la empresa -como ser Facebook-, tiene sobre él.

Asimismo, los usuarios tendrán un “derecho a ser olvidado” claramente definido (derecho a la borradura, art. 17 del GDPR), con garantías claras y sin demoras.

Aplicación más rigurosa de la ley: La Junta Europea de protección de datos –European Data Protection Board– que agrupa a las 28 autoridades de protección de datos, tendrá las atribuciones para proporcionar orientación e interpretación y adoptar decisiones vinculantes en caso de que varios países de la UE se preocupen por el mismo caso. Más aún, las 28 autoridades de protección de datos tendrán poderes armonizados y podrán imponer multas a empresas de hasta 20 millones euros o 4% del volumen de negocios mundial de una empresa (art. 83, inc. 4 y 5 del GDPR).

En conclusión, se abre una nueva etapa de protección de datos donde los usuarios y no usuarios obtendrán más control de su información personal, incluyendo estar legalmente facultados para solicitar que las empresas eliminen todos los datos que tengan sobre ellos. Algo que no estaba sucediendo en la práctica, incluso mediando procesos judiciales de por medio como sucedió con el acuerdo celebrado en 2011 entre la Comisión Federal de Comercio de los EEUU y Facebook (Federal Trade Commission o FTC).^[2]

Pero muchas empresas están utilizando mal el GDPR y están enviando mails a sus usuarios obligándolos a aceptar sus nuevas condiciones de servicio, o de lo contrario sus cuentas dejarán de funcionar (acabo de recibir uno nuevo esta mañana mientras termino de escribir estas líneas). Todo esto avizora un futuro que mejora sin lugar a duda los derechos del usuario sobre sus datos personales y una gran cantidad de juicios que ya se han iniciado y se iniciarán por la violación al GDPR.

Por otra parte, esto implica a nivel nacional una necesidad de actualizar, a la luz de la normativa europea, la Ley 25.326 “Habeas Data”, de Protección de los Datos Personales, a fin de incorporar alguno de los nuevos estándares sobre protección de datos y derechos del usuario y no usuario.

Para finalizar, los datos personales se han convertido en el activo más importante en la sociedad de medios moderna y este cambio de paradigma implica un cambio en la forma en que debemos proteger los estándares de privacidad de los ciudadanos en las democracias. En este sentido, el GDPR ha fijado una meta a alcanzar estableciendo la protección de las personas físicas en relación con el tratamiento de los datos personales como un derecho fundamental.

^[*]Eduardo Rogelio Galisteo: Abogado (Facultad de Derecho-UBA) – Cursa la Maestría en Magistratura (Facultad de Derecho-UBA) – Trabaja desde el año 1997 en el Fuero Federal Civil y Comercial de la Nación. Docente de la Cátedra de Derechos Reales de la Dra. Marina Mariani de Vidal, en la Facultad de Derecho-UBA.

^[1] US Federal Trade Commission, In the Matter of FACEBOOK, INC., a corporation.  AGREEMENT CONTAINING CONSENT ORDER, FILE NO 092 3184, Acuerdo del año 2011.

DESCARGAR ARTÍCULO