El Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas en inglés), regula desde 2018 el tratamiento de los datos personales de los ciudadanos europeos. Concretamente es un reglamento europeo "relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos". Entró en vigor el 24 de mayo de 2016, pero no fue hasta el 25 de mayo de 2018 cuando comenzó a aplicarse, un periodo de transición de dos años durante el cual las empresas, organizaciones e instituciones que procesan datos de ciudadanos europeos debieron prepararse para cumplir con la nueva legislación y evitar así ser sancionadas.
¿Quieres recibir contenidos como este en tu correo?
Apúntate a nuestro boletín semanal
La Comisión Europea, el Consejo Europeo y el Parlamento Europeo adoptaron el RGPD, la ley más ambiciosa del mundo en este campo, con dos objetivos principales. Por un lado, querían dar más control a las personas sobre cómo se utilizan sus datos personales. Desde su entrada en vigor, los ciudadanos tienen que dar su consentimiento explícito para que las empresas puedan utilizar sus datos, las cuales tienen que detallar qué información están recopilando, cómo la están utilizando, para qué y quién era la persona responsable de su tratamiento.
Por otro, la Unión Europea también buscaba armonizar las normas de protección de datos de los Estados miembros, dando lugar a un entorno jurídico más simple y claro. De hecho, el Reglamento vino a sustituir la Directiva de Protección de Datos de 1995, aprobada antes de que internet y la tecnología de la nube revolucionaran la forma de explotar los datos personales y que por tanto había quedado desfasada.
La diferencia entre directiva y reglamento también es importante. Mientras que la primera solo establece objetivos que los Estados miembros deben cumplir ―la forma de hacerlo, entendida como las leyes necesarias para alcanzarlos, puede ser decidida por cada país―, el segundo es un acto legislativo vinculante, es decir, debe aplicarse de forma íntegra y obligatoria en toda la UE.
Devolver el control de sus datos a los europeos
Así, el Reglamento General de Protección de Datos blindó la privacidad de los usuarios europeos gracias a un reconocimiento más amplio de sus derechos en la red y a la introducción de herramientas que les permitieran ser conscientes de qué información se estaba recabando sobre ellos.
Tres de esas nuevas facultades destacan por encima del resto: el derecho al olvido, que establece que los ciudadanos pueden solicitar la eliminación de sus datos. El derecho al acceso, el cual permite solicitar una confirmación a una determinada empresa sobre si los datos personales del usuario están siendo procesados, dónde y con qué propósito. Y el derecho a la portabilidad, según el cual, si los datos están siendo tratados de un modo automatizado, los ciudadanos pueden recuperarlos en un formato estructurado ―como un archivo Excel― para cederlos a otro responsable.
La UE, a la vanguardia de la protección de los datos personales
¿Y qué ocurre si alguna empresa, organismo o institución incumple el Reglamento? En ese caso, los europeos pueden acudir a las agencias nacionales de supervisión, las cuales estudiarán la denuncia y, en caso de constatar una violación del RGPD, multarán al infractor.
Este, precisamente, fue uno de los puntos más polémicos de la norma. Y es que si los supervisores constatan alguna irregularidad, pueden imponer sanciones de hasta diez millones de euros o la cantidad equivalente al 2% de facturación anual de la empresa multada, la más alta de las dos. Eso en el caso de infracciones leves, como pedir un pago al interesado para poder acceder a su información. En el de las graves ―como no contar con el consentimiento del usuario para procesar sus datos―, la multa puede ascender hasta los veinte millones de euros o el 4% de la facturación.
La adopción del RGPD convirtió a la UE en el líder de la regulación de la economía digital y la protección de los derechos de los usuarios. No en vano, el reglamento ha influido enormemente en regulaciones posteriores de otros países, como las de Chile, Corea del Sur, Brasil, Japón o Kenia. La comunidad internacional también celebró su aprobación, como António Gutierres, secretario general de las Naciones Unidas, quien señaló que "ha establecido un ejemplo [...] inspirador" e instó "a la UE y a sus Estados miembros a que sigan liderando la configuración de la era digital y estén a la vanguardia de la innovación y la regulación tecnológicas".