Es muy probable que en su cuenta de correo electrónico personal o profesional haya recibido en los últimos días una comunicación instándole a que actualice la información de una base de datos. El motivo es que este viernes entra en vigor el nuevo Reglamento General de Protección de Datos, la incorporación de la normativa europea. Estos son algunas de las cosas que usted debe conocer.

1. ¿Qué es la RGPD? El Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas en inglés) es la nueva normativa a nivel europeo sobre la protección de los datos personales. Es la primera vez que existe este marco a nivel europeo y con él se unifican los criterios sobre qué se considera dato personal y cómo debe protegerse. La normativa se aprobó el 25 de mayo de 2016, pero se dieron dos años de plazo para que las empresas pudieran adaptarse a este nuevo marco legal.

2. Afectados. Todas aquellas empresas que guarden, traten, trabajen y tengan datos de carácter personal de cualquier ciudadano de la Unión Europea, independientemente del país donde operen.

3. Sanciones. De no cumplir con esta ley, las empresas se enfrentan a multas y sanciones. Existen varios rangos, pero es uno de los puntos más polémicos del texto. Las mayores multas pueden llegar a ser de 20 millones de euros o el 4% de la facturación mundial de la empresa (la cantidad que sea mayor).

4. Ciudadanos. Con el nuevo reglamento, los ciudadanos tienen más derechos. Pueden pedir que los datos personales incorrectos, inexactos o incompletos sean corregidos o que sean borrados cuando ya no sean necesarios o si el tratamiento es ilícito (derecho al olvido); oponerse al tratamiento de los datos personales con fines de marketing o por motivos relacionados con nuestra situación particular o solicitar la limitación del tratamiento de nuestros datos personales en determinados casos. Además, desde el viernes, pueden solicitar que las decisiones basadas en un tratamiento automatizado sean tomadas por personas físicas y no solamente por ordenadores.

5. Más claridad. La nueva normativa también obliga a las empresas a informar de una manera más clara y sencilla sobre el uso y tratamiento que van a hacer de nuestros datos, especialmente cuando se dirigen a menores.

6. Consentimiento explícito. El consentimiento debe ser libre, informado, específico e inequívoco para que las empresas tengan autorización para tener y tratar los datos. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. Cuando pidan autorización para tratar esta información, se debe especificar qué uso se hará de los datos personales e incluir la información de contacto de la empresa que los trata. El consentimiento debe darse libremente y ser una manifestación específica, informada e inequívoca. Asimismo, este consentimiento informado debe incluir, como mínimo: la identidad de la organización que trata los datos, sus fines, el tipo de datos y la posibilidad de retirar el consentimiento (por ejemplo, enviando un correo electrónico).

7. Dato personal. Uno de los puntos más importantes de la normativa es su definición de dato personal. Es cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de un individuo, también constituyen datos de carácter personal.

Además, la Comisión Europea deja claro lo qué considera es un dato personal y qué partes lo componen: nombre y apellidos, domicilio, dirección de correo electrónico (tipo nombre.apellido@empresa.com, no info@empresa.com), número de documento nacional de identidad, datos de localización (como la función de los datos de localización de un teléfono móvil), dirección de protocolo de internet (IP), el identificador de una 'cookie', el identificador de la publicidad del teléfono o los datos en poder de un hospital o médico, que podrían ser un símbolo que identificara a una persona.

8. Informar de un incidente. Las empresas, además, están obligadas a informar si han sufrido un ataque o una brecha de seguridad que haya expuesto los datos personales que guarden de los ciudadanos de la Unión Europea. El RGPD exige a los responsables del tratamiento de los datos de las empresas que, si han sufrido un incidente que implique, por ejemplo, robo de identidad o violación de la seguridad de los datos personales, se debe avisar a la Agencia de Protección de Datos en un plazo de 72 horas. Si se ha superado el plazo, se deben explicar los motivos de esta demora.