(CNNMoney) – Una revolución sobre cómo las compañías manejan tu información está en marcha.
La Regulación General de Protección de Información (GDPR por sus siglas en inglés) entra en efecto en toda la Unión Europea el 25 de mayo, con reglas mucho más fuertes sobre privacidad de la información.
Esto es lo que necesitas saber:
¿Qué es?
La Regulación General de Protección de Información es la nueva ley de seguridad de información de la Unión Europea.
Esta le da a las personas más control sobre sus datos personales y obliga a las empresas a asegurarse de que la forma en que recopilan, procesan y almacenan información es segura.
La Unión Europea espera alcanzar un cambio fundamental en la manera como las compañías piensan en la información: su idea central es “privacidad por defecto”.
¿Quiénes son los afectados con esta ley?
Cualquier organización que retenga o use información de personas dentro de la Unión Europea es sujeto de las nuevas reglas, independientemente de dónde esté ubicada.
Las compañías pueden no tener relación directa con Europa y aún así ser sujetas de las nuevas reglas: por ejemplo, si respaldan negocios que tengan clientes dentro de la Unión Europea.
Una empresa de servicio telefónico de atención al cliente para compañías que vendan productos en Europa o un sitio web que rastree los historiales de navegación serán implantados con la nueva legislación.
El costo de cumplir con la legislación es grande. La Asociación Internacional de Profesionales de la Privacidad estima que las compañías que hacen parte del Fortune Global 500 gastaron casi 7.800 millones de dólares para prepararse para las nuevas reglas.
¿Qué tengo que hacer?
Lidiar con esos emails que inundan tu bandeja de entrada. Muchas compañías tendrán hasta este viernes para contactar a los clientes y pedirles un consentimiento para mantener tus datos personales.
Muchas firmas, incluyendo a Google, Facebook y Twitter, también han cambiado sus configuraciones de privacidad en las últimas semanas para prepararse para las nuevas reglas. WhatsApp ha cambiado su edad mínima de uso en Europa de 16 a 13 años.
Necesitarás aceptar las nuevas políticas y confirmar tu edad para continuar usando muchos servicios. Los niños menores de 16 años necesitarán un consentimiento parental en la gran mayoría de países europeos.
¿Pueden las compañías aún recolectar tu información?
Sí, pero solo si pueden probar que tienen “bases legales” para hacerlo.
Esto podría ser porque tienen un contrato u obligación legal que les permita hacer eso.
También pueden obtener simplemente un consentimiento individual con el fin de almacenar y procesar información personal. Dichas solicitudes deben ser claras y estar redactadas en lenguaje sencillo: no más consentimientos ocultos en los términos y condiciones generales.
Las empresas podrían también seguir procesando información para realizar tareas que son de interés público, como por ejemplo que la policía recolecte información sobre criminales sospechosos.
O que necesiten recolectar información personal para proteger la vida de alguien. Por ejemplo, un hospital podrá acceder a datos personales de un paciente inconsciente con lesiones potencialmente mortales sin tener que pedir su consentimiento.
¿Qué tienen que hacer las compañías?
Los negocios tendrán que poner mucha más atención a la seguridad de los datos personales y no se les permitirá mantener esos datos por más tiempo de lo necesario.
Cualquier persona puede pedir que su información personal sea borrada de los servidores de la compañía. Solo hay algunas excepciones, como por ejemplo, que la información sea almacenada con fines policiales o si el servicio que desea el cliente no puede proporcionarse sin los datos.
Los negocios también tendrán que informarles a las autoridades sobre cualquier violación de la seguridad de datos en las próximas 72 horas posterior al descubrimiento, una regla que debe eliminar las grandes brechas entre el descubrimiento por parte de los negocios y la información que les llega a los clientes.
También tendrán que demostrar que están usando los datos correctamente. Esto puede significar un aumento del monitoreo y la documentación. Algunos tendrán que contratar funcionarios de protección de información.
¿Por qué está ocurriendo esto?
La GDPR busca expandir y actualizar las reglas que fueron establecidas en 1995, y unificar un mosaico de diferentes leyes en una sola legislación.
La Unión Europea dice que las nuevas reglas son necesarias para proteger a los consumidores en una era de grandes ciberataques y filtración de información.
¿Qué pasa si las compañías no cumplen?
Se enfrentarán a grandes sanciones financieras.
Los reguladores europeos pueden multar a las empresas con hasta el 4% de sus ventas globales anuales, que para las grandes compañías de tecnología podría representar miles de millones de dólares. Las sanciones para las compañías más pequeñas pueden llegar hasta los 20 millones de euros (unos 23,5 millones de dólares).