El Reglament General de Protecció de Dades (GDPR en les seves sigles en anglès, General Data Protection Regulation) entra en vigor aquest divendres 25 de maig, i exigeix que el consentiment per a l'ús de dades dels usuaris sigui informat, específic i inequívoc.

En concret, la normativa indica que el consentiment, amb caràcter general, sigui lliure, informat, específic i inequívoc. D'aquesta manera, per poder considerar que el consentiment és inequívoc, es requereix que hi hagi una declaració dels interessats o una acció positiva que assenyali l'acord de l'interessat. El consentiment no pot deduir-se del silenci o de la inacció dels ciutadans.

A més, les empreses hauran de proporcionar informació als usuaris sobre el tipus de dades que recullen i les finalitats per les quals ho fan, cessions a tercers, durada en la conservació de les dades, entre altres aspectes.

El Reglament d'obligat compliment s'aplica a responsables o encarregats de tractament de dades establertes en la Unió Europea (UE), però també s'amplia a aquells de fora de la UE, sempre que duguin a terme tractaments derivats d'una oferta de béns o serveis destinats a ciutadans de la Unió o com a conseqüència d'un monitoratge i seguiment del seu comportament.

D'aquesta forma, perquè aquesta ampliació de l'àmbit d'aplicació pugui fer-se efectiva, aquestes organitzacions hauran de nomenar un representant en la Unió Europea, que actuarà com a punt de contacte de les Autoritats de supervisió i dels ciutadans i que, en cas necessari, podrà ser destinatari de les accions de supervisió que desenvolupin aquestes autoritats.

Així mateix, la normativa europea estableix que les dades de contacte d'aquest representant de l'organització en la Unió Europea hauran de proporcionar-se als interessats entre la informació relativa als tractaments de les seves dades personals.

"Un canvi molt important"

En una entrevista recent, la directora de l'Agència Espanyola de Protecció de Dades (AEPD), Mar España, destacava que aquesta normativa suposa "un canvi molt important" en el model que s'estava aplicant fins ara a causa que, a partir d'aquest 25 de maig, s'aplicarà un model preventiu.

"Des del minut u, en què una administració publica o una empresa tracti les dades dels ciutadans, clients o empleats ha d'aplicar els principis de 'privadesa per defecte' i 'privadesa des del disseny'", apuntava.

Entre les novetats que incorpora el reglament s'amplien els drets dels ciutadans en matèria de protecció de dades. Així, els anteriors drets d'accés, rectificació, cancel·lació i oposició al tractament de dades s'amplien.

En el cas del dret de supressió, conegut com a 'dret a l'oblit', és més complet que l'anterior de cancel·lació, i permetrà als usuaris en determinades circumstàncies exigir a les empreses suprimir les seves dades personals, incloent l'oblit digital o eliminació pel responsable del tractament de qualsevol enllaç a aquestes dades personals o còpia que hagi fet públics.

També es reconeix el dret a la portabilitat de les dades, que permetrà a voluntat del ciutadà rebre en format electrònic les dades personals que d'ell tinguin, així com demanar que es traslladin d'una empresa a una altra. En el nou Reglament també s'amplien el dret a la transparència en la informació i el dret a limitar el tractament de les dades personals.

Les autoritats nacionals de protecció de dades podran imposar multes a les empreses que incompleixin les seves obligacions en matèria de protecció de dades, que per a les infraccions més greus poden arribar als 20 milions d'euros o el 4% del volum de negoci, segons estableix la normativa europea.