ECONOMÍA CIUDADANA

Llega la nueva ley de protección de datos: cómo y quienes los van a utilizar

Las modificaciones de este último año llegan en un momento de fuerte polémica en la gestión de esa información 

Llega la nueva ley de protección de datos: cómo y quienes los van a utilizar

El año 2018 está siendo un año de cambios en materia de protección de datos. Estas modificaciones llegan en un momento de fuerte polémica en la gestión de esa información, con casos como el Cambridge Analytic, donde se usaron de forma inadecuada los datos de más de 87 millones de usuarios de la red mundial Facebook, 2,5 millones de origen europeo. La Comisión Europea aprobó esa normativa en 2016 y en su momento dio un plazo de dos años a las compañías y organizaciones, entre ellas las gubernamentales, para que realicen los cambios y cumplan con las nuevas obligaciones. 

Este plazo terminó el 25 de mayo de este año, fecha en la que entró en vigor los nuevos acuerdos legales exigibles a las compañías y organismos públicos. Entre los nuevos cambios, se exige la comunicación a los usuarios de dónde se han obtenido sus datos, para qué los van a usar, durante cuánto tiempo los van a conservar, a quién se los van ceder y qué base jurídica les legitima para tratarlos.

Este cambio legislativo quedará pendiente de la aprobación de la nueva ley de protección de datos en España y que asuma y explique como interpretar la ley nacional.  La actual es del año 1999; eso sí, fue una de las más completas de Europa en su momento, pero que debe adaptarse a la nueva normativa. 

La nueva legislación es exigente a nivel del espacio europeo. Los datos no estarán protegidos en el caso de ser exigidos por agencias tributarias, por juzgados o si se trata de una cesión de información entre administraciones con un fin estadístico o de investigación, entre otras. Entre los cambios previstos, uno de especial interés es la desaparición de la obligación de dar de alta el fichero de protección de datos por la de contar con un registro de actividades. El artículo 30 estipula que cada responsable y, en su caso, su representante, llevarán un registro de actividades de tratamiento efectuadas bajo su responsabilidad. El responsable se encuentra por tanto, nuevamente, ante la necesidad de describir qué datos recoge, con qué fin los trata, a quién o quiénes los comunica, si los transfiere a terceros países, qué medidas técnicas y organizativas aplicará para preservar su seguridad, y cuándo podrá suprimirlos.

Además, de forma general nace la figura del la normativa europea del Delegado de Protección de Datos (DPO, siglas en inglés de Data Protection Officer ). Esta figura es de obligado cumplimiento para las administraciones públicas y en el caso de empresas de gran tamaño. En las empresas de menor tamaño  esta figura no será obligatoria. Las obligaciones de este puesto es la de regir la hoja de ruta del control de los datos.  Esa hoja de ruta debe incluir la recogida de un registro de actividades  del uso de los datos: su acceso, gestión, uso, estado de actualización y futuros usos. Esta información debe estar al alcance de los clientes o poseedores de los datos gestionados. Los cambios permiten al usuario el acceso a conocer qué se hace con sus datos. Y esta apertura de datos permite y exige por ejemplo a las redes sociales que deban informar de qué hacen con la información e incluye, si el usuario lo exige, como funcionan y para qué los algoritmos de gestión de datos de todas las grandes empresas.