Muchos se enteraron porque desde hace días llegan correos electrónicos de distintos proveedores, o por ventanas emergentes en sitios y aplicaciones de servicios que visitan regularmente. El hecho es que el 25 de mayo entró en vigencia en la Unión Europea (UE) un nuevo Reglamento General de Protección de Datos (GDPR, por su sigla en inglés) que regula el tratamiento que realizan personas, empresas u organizaciones de los datos personales. Aunque sus normas no se aplican a los datos que maneje una persona por motivos exclusivamente personales o en su actividad doméstica (en tanto no guarden relación con actividades profesionales o comerciales), sí afectan a grandes compañías que recogen, almacenan o procesan ese tipo de información; estas nuevas disposiciones les exigen mayor apertura acerca de los datos que poseen y respecto de con quién los comparten, con la idea de transformar la protección de la privacidad en el nuevo estándar de manejo de información personal.
Por supuesto, todo el mundo piensa en Facebook, cuya política de protección de datos ha estado en la mira continuamente, y estalló cuando el escándalo de Cambridge Analytica. De hecho, en los días previos a la aplicación de la nueva ley europea, Mark Zuckerberg, cabeza de esa red social, se reunió con autoridades de la UE en Bruselas, tras haber visitado en abril el Congreso estadounidense. “En general, creo que el GDPR va a ser un paso positivo para internet”, había dicho entonces Zuckerberg.
No obstante, la norma afecta a un universo más amplio que el de las redes sociales o Google, que ya han cambiado sus políticas de seguridad. Empresas de ramos tan distintos como la salud, las finanzas o los seguros tienen en común el manejo de datos personales clave, y pasaron a ser reguladas por la nueva ley. Entre otras cosas, las compañías tienen un plazo de 72 horas para notificar a sus usuarios acerca de ataques exitosos a sus bases de datos.
La ley, además, les confiere derechos a los ciudadanos de la UE, que ahora pueden especificar la forma en que las empresas usan sus datos, y prohibirles algunos usos en particular. Estos derechos ampliados de los ciudadanos europeos, además, tienen alcance global, es decir que toda compañía que trabaja con europeos está comprendida por la nueva regulación.
Por tanto, el GDPR afecta a las empresas uruguayas que manejan datos de residentes de Europa, lo que implica costos, cambios de términos y condiciones, así como nuevas obligaciones y responsabilidades.
El 7 de mayo, una delegación del Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales se reunió con la Comisión de Ciencia y Tecnología de la Cámara de Diputados. Allí, Felipe Rotondo comentó que la ley uruguaya de 2008 en algunos aspectos ya tenía en cuenta modificaciones de la normativa europea actual. También adelantó que se estudia reformar la norma uruguaya, aunque dudó sobre la necesidad de crear otra ley: “¿Hacemos una nueva ley de protección de datos en la que repitamos una serie de cosas o ajustamos aquello necesario, que salga más fácil?”, preguntó.
“Nuestra idea, similar al modelo europeo y que tomó los estándares iberoamericanos, es agregar, por ejemplo, si las actividades de tratamiento están relacionadas con la oferta de bienes o servicios dirigidos a los habitantes de la república o con el análisis de su comportamiento”, expresó Rotondo, al tiempo que manifestó que se estudiaba qué ocurriría si el reglamento europeo se aplicara directamente en nuestro país, y ejemplificó: “Si una persona europea quiere arrendar una vivienda o alquilar una habitación de hotel en Uruguay, estrictamente se le aplica esto. Se estaría aplicando el reglamento europeo a alguien que tiene actividades acá pero, de acuerdo a nuestra normativa, eso no sucedería a la inversa”.
A su vez, se manifestó acerca de la “responsabilidad proactiva”: “Cuando se crea una empresa, sus bases de datos deberían tener la privacidad por diseño. Hay gente que piensa que eso sale más caro, pero al final lo puede hacer previendo las mejores políticas de privacidad, etcétera. Esa es la privacidad por diseño”.