Ante todo, mucha calma: el temido Reglamento General de Protección de Datos no es algo nuevo, entró en vigor hace nada menos que dos años, el 25 de mayo de 2016. El próximo viernes es que comienza a aplicarse de forma directa en 28 países, España incluida. "Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables", recuerda la Agencia Española de Protección de Datos (AEPD). Y las nuevas reglas de juego no varían tanto de las actuales como parece.

"Una gran parte de lo que se va a empezar a aplicar no es nuevo, muchos derechos y obligaciones ya se recogen en la vigente Ley Orgánica y el reglamento que lo desarrolla", comenta a Público el ingeniero y abogado especializado en tecnología Sergio Carrasco.

"Llevamos ya varias semanas bombardeados a correos que informan de temas relacionados con exigencias de nuevos consentimientos y eso no es así, en el reglamento no se dice nada siempre que ya existiera un consentimiento previo, como sucede por ejemplo en el caso de los bancos o las telecos en los que existe un contrato detrás", afirma dicho experto, que subraya: "Hay una histeria con el tema, hay muchos supuestos expertos en protección de datos que han estado asesorando de manera muy, muy incorrecta a algunas entidades".

Samuel Parra, experto en protección de datos de ePrivacidad, está de acuerdo. “A veces, incluso por miedo, algunas compañías se arriesgan a perder clientes por este spam”, afirma, y recuerda: "Esto no es nuevo, ya lo exigía la actual normativa, de modo que si uno ya había solicitado el consentimiento en su día, y la forma de pedirlo no es incompatible con el Reglamento, no hay que pedir ese consentimiento de nuevo".

"Otra cosa es que se hubiese solicitado de forma tácita", comenta, y añade: "Muchísimas empresas están diciendo que si uno no acepta la nueva política de privacidad borra la cuenta y eso es un disparate, ya que en la mayoría de los casos no hay que hacer nada; y sólo hay que informar y pedir consentimiento si varía la forma en que se van a usar los datos personales".

Así, a grandes rasgos, el RGPD otorga a los ciudadanos una serie de derechos y establece obligaciones a quienes tratan datos personales. El reglamento incluye novedades, pero quizá no tantas como se ha estado informando. Veamos con la ayuda de expertos cuáles son esas novedades, y qué alcance tienen.

1) El ámbito de aplicación, que es extraterritorial. Para Samuel Parra, se trata de una de las novedades más importantes del RGPD. “Hasta ahora, el criterio que se tenía en cuenta era si la empresa u organismo que trata los datos estaba establecida en España o Europa, pero desde el viernes con el reglamento no se tiene en cuenta dónde está la empresa sino dónde se encuentra el ciudadano”, recuerda Parra, que apunta: “Si eres residente en la UE y una empresa maneja tus datos, da igual en dónde esté esa empresa, se aplica el RGPD”. El mismo experto alude a una modificación reciente del Reglamento por el que la cobertura del mismo se extiende no sólo a quien resida en Europa sino a quien “se encuentre” en el Viejo Continente, y esta corrección tendrá consecuencias notables porque refuerza el carácter universal de la norma.

2) El derecho de la portabilidad de los datos personales entre plataformas. Sergio Carrasco destaca este derecho como una de las novedades más destacables, mientras que Samuel Parra recuerda que “ese derecho no existía” como tal. La propia directora de la AEPD, Mar España, también lo destacó como una de las principales novedades en una reciente entrevista en Público. Este derecho, según la nueva normativa, implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable, a otra plataforma.

3) El derecho a la supresión. Parra también lo destaca como uno de los nuevos derechos que consagra el RGPD, que no estaba reconocida en la legislación actual. “Se ha recogido en el texto del Reglamento el ‘derecho al olvido’, es decir, lo que dijo en su día el Tribunal de Justicia de la Unión Europea sobre la petición a buscadores de desindexar contenidos”, apunta Parra, “y se amplía no sólo a buscadores sino a cualquier responsable de cualquier tratamiento de datos”. Es un derecho diferente al de cancelación.

4) Información clara en las políticas de privacidad. “para que el consentimiento sea conforme a normativa tiene que ser informado”, comenta Carrasco, “lo que implica que se simplifiquen los términos y condiciones para hacerlos más comprensibles”. Esto conduce, por otro lado, a una paradoja: por un lado, han de ser comprensibles y simples de entender, pero por otro serán más exhaustivas. El jurista experto Jorge Morell alertaba recientemente de que existirá un sistema de “dos capas” para aceptar los términos: una primera, en la que el usuario verá resumidas las condiciones de forma muy sencilla, con un lenguaje más claro, con iconos explicativos… y otra más compleja y larga que hasta ahora, porque el reglamento obliga a las compañías a poner más información que hasta la fecha —“a especificar con más detalle”— con qué proveedores trabaja, a quién cede o con quién se comparten los datos (o no), etc.

5) Los importes de las sanciones. Supone una novedad en tanto que se disparan los importes de las sanciones para los casos más graves de vulneración de la normativa de tratamiento de datos: se pasa en España de multas máximas de 600.000 euros a 20 millones o el 4% de la facturación global anual de las compañías que resulten sancionadas. Pero tal y como comentaba Mar España a este diario, existe una escala de medidas en función de la gravedad del supuesto, y el procedimiento puede desembocar en consecuencias que van desde una advertencia y un apercibimiento hasta ya iniciar el procedimiento económico puro y duro.

6) El consentimiento de los menores. No supone una novedad, dado que en España la actual LOPD establece que un menor puede prestar su consentimiento a partir de los 14 años. El RGPD habla de menores a partir de 16 años, pero establece que los Estados podrán determinar la edad siempre que no sea inferior a 13 años.

7) La proactividad. Uno de los preceptos más celebrados por las agencias estatales de protección de datos y por los expertos es que el RGPD consagra la privacidad por diseño y por defecto, de forma que compañías y administraciones públicas han de diseñar la aplicación desde el principio teniendo en cuenta la protección de los datos personales que van a tratar. “Es el gran olvidado, porque en el diseño de estos productos siempre se ha buscado la facilidad de uso y acceso a los datos, pero no tanto su protección”, apunta Carrasco, que se refiere a una reciente acción de un grupo de hackers que expusieron en público el acceso a servidores de Acciona con contraseñas de usuarios accesibles.

8) La transnacionalidad. Al ser un Reglamento de aplicación directa para los 28 países de la UE, la aplicación del mismo puede llegar a ser una pesadilla para las 28 agencias nacionales de protección de datos. ¿Quién se hace cargo de las denuncias si el afectado es de un país pero la empresa u organismo denunciado está en otro país? Según Sergio Carrasco, “la ventanilla única, tener un único interlocutor, va facilitar mucho la actividad de las organizaciones en materia de protección de datos, simplifica bastante el trabajo, y eso sin perjuicio de que los ciudadanos afectados puedan acudir a la autoridad de protección de datos nacional que les corresponda”. Mar España, sin embargo, teme que la carga de trabajo de la AEPD se dispare por los procedimientos transnacionales.

9) La eliminación de la inscripción de los ficheros. Se trata de quitar una carga burocrática que era obligatoria en España. No obstante, “aparece el registro de actividades, que es algo muy parecido”, comenta Parra.

10) Cambios en el nivel de seguridad de los datos. En España, según el nivel de protección de los datos —básico, medio y alto—, la normativa de 2007 indicaba qué medidas de seguridad había que implementar para su custodia. Así, las empresas tenían que tener un registro de accesos para los datos de nivel alto (como los de salud), o una auditoría cada dos años si manejaban datos de nivel medio. “Ahora eso desaparece, ya no hay listado de medidas de seguridad”, comenta Parra, que recuerda que lo que hay es un mandato para que las empresas tomen las medidas de seguridad oportunas para evitar filtraciones de información, la que estime conveniente.

11) El delegado de protección de datos. Se trata de una figura similar al responsable de seguridad. “Tiene más obligaciones y hay que comunicar a la AEPD quién es nuevo delegado, además de mencionarlo en tu aviso legal”, recuerda Parra. Eso sí, si bien el responsable de seguridad tiene un ámbito muy específico de actuación, mientras que el delegado tiene como responsabilidad, según la AEPD, “informar y asesorar, así como supervisar el cumplimiento del RGPD por parte del responsable o encargado”.

RECTIFICACIÓN: Por error de este redactor, en el texto original se informaba que el RGPD es de aplicación efectiva a partir de este jueves, pero en realidad es a partir de este viernes. Ruego disculpen este fallo.