Las normas de protección de datos de la UE garantizan la protección de los datos personales en todos los casos en que se recojan: por ejemplo, al comprar por internet, presentar una solicitud de empleo o pedir un préstamo bancario. Estas normas se aplican tanto a empresas y organizaciones (públicas y privadas) con sede en la UE como a las que tienen su sede fuera de ella y ofrecen bienes y servicios en la UE, como Facebook o Amazon, siempre que dichas empresas soliciten o reutilicen datos personales de ciudadanos de la Unión Europea.
Da igual el formato en que se recojan los datos (en línea, en un ordenador central o en papel, en un fichero estructurado); siempre que se almacene o se trate información que te identifique directa o indirectamente como individuo, deben respetarse tus derechos en materia de protección de datos.
¿Cuándo está permitido el tratamiento de datos?
Las normas de protección de datos de la UE, también conocidas como Reglamento general de protección de datos (RGPD), describen las diferentes situaciones en que una empresa o una organización está autorizada para recoger o reutilizar tu información personal:
- celebración de un contrato: por ejemplo, un contrato de suministro de bienes o servicios (es decir, al comprar por internet) o un contrato de trabajo
- cumplimiento de una obligación legal: por ejemplo, cuando el tratamiento de tus datos constituye un requisito legal, si el empleador ofrece información sobre tu salario mensual al organismo de seguridad social para que tengas cobertura de la seguridad social
- protección de tus intereses vitales
- realización de una tarea pública, en particular todo lo relacionado con las tareas de las administraciones públicas, como escuelas, hospitales, municipios,
- satisfacción de intereses legítimos: por ejemplo, si tu banco utiliza tus datos personales para comprobar si puedes optar a una cuenta de ahorros con un tipo de interés más elevado.
En todas las demás situaciones, la empresa u organización debe solicitar tu autorización (denominada "consentimiento") antes de poder recoger o reutilizar tus datos personales.
Autorizar el tratamiento de datos: consentimiento
Cuando una empresa o una organización pida tu consentimiento, tienes que indicar claramente tu autorización, por ejemplo mediante la firma de un formulario de consentimiento o la selección inequívoca de una opción "sí/no" en una página web.
No basta simplemente con marcar la casilla de que no deseas recibir correos electrónicos con fines comerciales. Debes aceptar y autorizar que tus datos personales se recojan y/o reutilicen con esa finalidad.
Antes de decidir si aceptas o no, debes recibir también la siguiente información:
- información sobre la empresa/organización que vaya a tratar tus datos personales, en particular sus datos de contacto y los datos de contacto del delegado de protección de datos, en su caso
- la razón por la que la empresa/organización utilizará tus datos personales
- cuánto tiempo se conservarán tus datos personales
- detalles de cualquier otra empresa u organización que recibirá tus datos personales
- información sobre tus derechos en materia de protección de datos (acceso, rectificación, supresión, reclamación y retirada del consentimiento).
Toda esta información debe facilitarse de manera clara y comprensible.
Retirada del consentimiento para la utilización de los datos personales y derecho de oposición
Si ya has dado tu consentimiento a una empresa u organización para que utilice tus datos personales, puedes ponerte en contacto con el responsable del tratamiento (la persona u organismo que gestiona tus datos personales) y retirar tu consentimiento en cualquier momento. Una vez retirado el consentimiento, la empresa u organización ya no puede seguir utilizando tus datos personales.
Puedes ejercer tu derecho de oposición si una organización utiliza el tratamiento de tus datos personales para su propio interés legítimo o como parte de una misión realizada en interés público o para una administración pública. En algunos casos específicos prevalece el interés público y la empresa u organización podría estar autorizada a seguir utilizando tus datos personales. Por ejemplo, en el caso de investigación científica y de estadísticas, tareas realizadas dentro de las funciones oficiales de una administración pública.
Los correos electrónicos de comercialización directa que promocionan marcas o productos concretos requieren el consentimiento previo. No obstante, si eres cliente de una determinada empresa, puede enviarte mensajes de comercialización directa sobre sus propios productos o servicios similares. Tienes derecho a oponerte en cualquier momento a recibir mensajes de comercialización directa y la empresa debe dejar de utilizar tus datos inmediatamente.
En todos los casos, la primera vez que la empresa u organización se dirija a ti deberá facilitarte siempre información sobre el derecho de oposición a la utilización de tus datos personales.
Ejemplo
Puedes oponerte a que tus datos se utilicen para fines comerciales directos
Anatolios sacó dos entradas por internet para ver un concierto de su grupo favorito. Desde el momento en que compró las entradas, empezó a recibir correos electrónicos de anuncios de conciertos y espectáculos en los que no estaba interesado. Se puso en contacto con la empresa de venta electrónica de entradas y les pidió que dejaran de enviarle esos mensajes de anuncios. La empresa le retiró inmediatamente de sus listas de comercialización directa. Anatolios consiguió por fin no recibir ningún tipo de correos electrónicos publicitarios.
Normas específicas para niños
Por lo general, los niños necesitan la autorización de los padres o tutores legales para utilizar servicios online, como conectarse a redes sociales, descargarse música o juegos, ya que esos servicios utilizan sus datos personales. Al alcanzar los 16 años de edad, ya no necesitan la autorización parental (en algunos países de la UE la edad límite puede llegar a ser hasta de 13 años). Los controles para comprobar que los padres han dado su autorización deben ser eficaces, por ejemplo mediante un mensaje enviado a una dirección de correo electrónico del padre o de la madre.
Consultar tus datos personales
Puedes solicitar el acceso a los datos personales que una empresa u organización tiene sobre ti y tienes derecho a obtener una copia de esos datos, gratuitamente, en un formato accesible. Deben responderte en un plazo de un mes y deben darte una copia de tus datos personales y de toda la información pertinente sobre cómo han utilizado o están utilizando tus datos.
Ejemplo
Tienes derecho a saber qué datos tuyos se almacenan y cómo se usan
Maciej, un ciudadano polaco, se suscribió recientemente al programa de fidelidad de un supermercado local. Poco tiempo después de su adhesión, empezó a recibir mejores bonos de descuento para la compra. Al suponer que eso estaba relacionado con el programa de fidelidad, pidió al responsable de la protección de datos del supermercado que le dijera qué tipo de información sobre él se había almacenado y cómo se estaba utilizando. Maciej descubrió que el supermercado conservaba datos sobre los productos que compraba todas las semanas y por eso podía darle descuentos para los productos específicos que solía comprar.
Rectificar tus datos personales.
Si una empresa u organización almacena datos personales sobre ti que no son correctos o son incompletos, puedes pedirles que los corrijan o los actualicen.
Ejemplo
Tienes derecho a que se rectifiquen los datos incorrectos
Alison quería comprar una casa nueva en Irlanda y solicitó a su banco un préstamo hipotecario. Al cumplimentar el formulario de inscripción, cometió un error al introducir su fecha de nacimiento y el banco registró en su sistema la edad incorrecta.
Alison se dio cuenta del error cuando recibió las ofertas para la nueva hipoteca y el seguro de vida correspondiente, al ver que la prima del seguro era mucho más elevada que la actual. Se puso en contacto con el banco y les pidió que corrigieran sus datos personales en su sistema. A continuación recibió una nueva versión de la oferta del seguro en la que se indicaba correctamente su fecha de nacimiento.
Transferir tus datos personales (derecho a la portabilidad de los datos)
En determinadas circunstancias, puedes pedir a una empresa u organización la devolución de tus datos o la transferencia directa a otra empresa, si es técnicamente posible. Es lo que se conoce como "portabilidad de los datos". Puedes utilizar este derecho, por ejemplo, si decides cambiar de un servicio a otro servicio similar —como pasar de una red social a otra— y quisieras que tus datos personales se transfirieran rápida y fácilmente al nuevo servicio.
Suprimir tus datos personales (derecho al olvido)
Si tus datos personales ya no son necesarios o se utilizan de forma ilegal, puedes solicitar su eliminación. Es lo que se conoce como "derecho al olvido".
Estas normas también se aplican a los motores de búsqueda, como Google, ya que también se consideran responsables del tratamiento. Puedes pedir que se supriman de los resultados de motores de búsqueda los enlaces a páginas web que incluyan tu nombre cuando la información sea inexacta, inadecuada, irrelevante o excesiva.
Si una empresa ha puesto a disposición en internet tus datos personales y pides que se eliminen, la empresa tiene que comunicar también a todos los sitios web donde los haya compartido que has solicitado que se supriman tus datos y los enlaces correspondientes.
Para proteger otros derechos, como la libertad de expresión, es posible que algunos datos no se borren automáticamente. Por ejemplo, podrían no suprimirse declaraciones controvertidas realizadas en público si fuera mejor para el interés general mantenerlas online.
Ejemplo
Puedes pedir que se borren tus datos personales y se supriman de otros sitios web
Alfredo decidió que ya no quería utilizar más ninguna red social, de modo que eliminó su perfil de las redes sociales que tenía. No obstante, unas semanas más tarde descubrió que sus antiguas fotos de perfil de sus cuentas en redes sociales eran todavía visibles si buscaba su nombre en un motor de búsqueda en internet. Alfredo se puso en contacto con las empresas de las redes sociales y les pidió que se aseguraran de suprimir esas fotos. Al volver a buscar un mes más tarde, las fotos habían sido eliminadas efectivamente y ya no aparecían en los resultados de los motores de búsqueda.
Acceso no autorizado a tus datos (violación de datos personales)
En caso de robo, pérdida o acceso ilegal a tu información personal, lo que se conoce como "violación de datos personales", el responsable del tratamiento (la persona u organismo que gestiona tus datos personales) debe comunicarlo a la autoridad nacional de protección de datos. El responsable del tratamiento también debe informarte directamente si, a consecuencia de la violación de datos, tus datos personales o tu privacidad están expuestos a graves riesgos.
Presentar una reclamación
Si crees que no se han respetado tus derechos en materia de protección de datos, puedes presentar una reclamación directamente ante la autoridad nacional de protección de datos, que investigará la reclamación y te dará una respuesta en un plazo de tres meses.
También puedes presentar el caso directamente ante un tribunal contra la empresa u organización de que se trate, en lugar de dirigirte antes a la autoridad nacional de protección de datos.
Es posible que tengas derecho a una indemnización si sufres daños materiales, como pérdidas financieras, o daños morales, como trastornos psicológicos, a causa de una empresa u organización que no ha respetado las normas de protección de datos de la UE.
¿Y qué ocurre con las cookies?
Las cookies son pequeños archivos de texto que un sitio web pide a tu navegador que almacene en tu ordenador o dispositivo móvil. El uso de las cookies está muy extendido: al guardar tus preferencias, hacen que los sitios web funcionen con más eficiencia. También se utilizan para rastrear tu uso de internet mientras navegas, hacer perfiles de usuarios y mostrarte publicidad online basada en tus preferencias.
Cualquier sitio web que quiera utilizar cookies tiene que obtener antes tu consentimiento para instalar una cookie en tu ordenador o dispositivo móvil. No está permitido que un sitio web te informe simplemente acerca de las cookies o te explique cómo se pueden desactivar.
Los sitios web deben explicar cómo se utilizará la información almacenada por las cookies. También debes tener la posibilidad de retirar tu consentimiento. Si optas por ello, el sitio web tiene que ofrecerte algún tipo de servicio mínimo que te permita, por ejemplo, acceder a una parte del sitio.
No todas las cookies requieren el consentimiento del usuario. Las cookies que se utilizan exclusivamente para efectuar la transmisión de una comunicación no requieren consentimiento. Aquí se incluyen, por ejemplo, las cookies que se utilizan para "repartir la carga" (permitiendo que las solicitudes de un servidor web se repartan entre un conjunto de máquinas en lugar de dirigirse a una sola). Las cookies que son estrictamente necesarias para proporcionar un servicio online que tú has solicitado expresamente no requieren tu consentimiento. Aquí se incluyen, por ejemplo, las cookies utilizadas al rellenar un formulario online o al usar una cesta de la compra cuando compras por internet.