Las nuevas reglas de datos y privacidad de Europa entran en vigencia una semana a partir del viernes, lo que aclara los derechos individuales a los datos personales recopilados por empresas de todo el mundo para publicidad dirigida y otros fines.

Años en desarrollo, las reglas están incitando a las compañías a reescribir sus políticas de privacidad y, en algunos casos, a aplicar los estándares más estrictos de la Unión Europea, incluso en los EE. UU. Y otras regiones donde las leyes de privacidad son débiles. Aunque surten efecto cuando Facebook enfrenta una enorme crisis de privacidad , ese momento es en gran parte una coincidencia.

No mucho cambiará para ti, al menos de inmediato; las empresas seguirán recopilando y analizando datos personales desde su teléfono, las aplicaciones que usa y los sitios que visita. La gran diferencia es que ahora las compañías tendrán que justificar por qué están recopilando y usando esa información.

Entonces, las empresas están inundando a sus usuarios con avisos que apuntan a explicar mejor sus prácticas y las opciones de privacidad que ofrecen. Los reguladores de la Unión Europea tienen nuevos poderes para perseguir a las compañías que se vuelven demasiado groseras o que no le dicen claramente qué están haciendo con sus datos.

Aquí hay un vistazo a lo que dicen las reglas y lo que significan para los consumidores en la UE y en otros lugares.

___

Es entonces cuando entra en vigencia el Reglamento General de Protección de Datos de la UE. En lugar de reglas separadas en naciones separadas en toda Europa, ahora existe un conjunto único para toda la UE.

Las nuevas reglas se aplican a todos los usuarios en la UE de 28 naciones, independientemente de dónde se encuentren las empresas que recopilan, analizan y utilizan sus datos. Por lo tanto, las reglas afectarán a gigantes como Facebook y Google, y pequeñas empresas de EE. UU. Con solo un cliente europeo por igual.

___

Las empresas deben usar un lenguaje sencillo para explicar cómo recopilan y usan los datos. Si bien las empresas en general no están cambiando lo que están haciendo, están revisando las políticas de privacidad para eliminar la jerga legal. Google está incorporando video (desde su servicio de YouTube, por supuesto) para explicar mejor los conceptos.

GDPR detalla seis formas específicas en que las empresas pueden justificar el "procesamiento" o uso de los datos personales. Algunos son obvios, como para cumplir obligaciones contractuales, por ejemplo, cuando una aseguradora paga un reclamo. Para otros usos, como la orientación de anuncios, las empresas pueden solicitar su consentimiento. Aquellos que no están seguros de obtener el consentimiento de manera adecuada ahora están volviendo a los usuarios.

También hay una categoría un tanto vaga llamada "intereses legítimos". Es una justificación general que las empresas pueden recurrir para seguir utilizando los datos, aunque la compañía debe demostrar que sus necesidades superan el impacto potencial en la privacidad de los usuarios, dijo David Martin, senior oficial jurídico del grupo de consumidores europeo BEUC.

Las empresas también están obligadas a otorgar a los usuarios de la UE la capacidad de acceder y eliminar datos y oponerse al uso de datos en virtud de uno de los motivos alegados. Las empresas tienen que aclarar cuánto tiempo retienen los datos.

Y las reglas obligan a las empresas que sufren infracciones de datos a revelarlas en 72 horas. Por el contrario, Yahoo tardó más de dos años en revelar una brecha que finalmente involucró a tres mil millones de usuarios .

___

Facebook, Google y su tipo pueden tener su sede en Silicon Valley, pero tienen millones de usuarios en Europa, por lo que deben cumplir con las nuevas reglas. Los infractores enfrentan multas de hasta 20 millones de euros ($ 24 millones) o el 4 por ciento de los ingresos globales anuales, lo que sea mayor. Eso es un incentivo para que las compañías tomen estas reglas en serio.

___

Las empresas con sede en la UE tienen que ofrecer estas protecciones de privacidad a todos sus usuarios, no solo a los residentes de la UE. Más allá de eso, las reglas de la UE simplemente dicen que se aplican a "sujetos de datos que están en la Unión".

Pero es una pregunta abierta cómo las reglas afectarán a los visitantes de Europa. Ailidh Callander, del grupo Privacy International, con sede en Londres, dice que se pondrán a prueba muchas preguntas en los tribunales y en la reglamentación adicional.

Lo que está claro es que las empresas no tendrán que ser tan agresivas para obtener el consentimiento para la recopilación de datos fuera de Europa. (En ausencia de regulación, las empresas suelen suponer el consentimiento a menos que el usuario diga lo contrario). Pueden esperar la obtención del consentimiento afirmativo hasta que visite la UE, momento en el que puede confrontar un aviso emergente.

___

Algunas empresas están extendiendo al menos algunas protecciones al estilo de la UE para todos los usuarios. Pero no enfrentarán repercusiones legales o multas si no logran cumplir con los usuarios fuera de la UE.

Por lo tanto, a menos que los EE. UU. Y otros países adopten reglas de privacidad similares a las de la UE, algo que probablemente no ocurra pronto, es probable que muchas empresas mantengan un doble estándar de privacidad.

El CEO de Facebook, Mark Zuckerberg, por ejemplo, prometió "ajustes y controles globales" para los usuarios durante su testimonio ante el Congreso de los EE. UU. En abril, pero por lo demás era impreciso sobre el tema. Cuando se les preguntó si los usuarios estadounidenses tendrían los mismos derechos que los europeos tienen para oponerse al uso de datos, Zuckerberg dijo: "No estoy seguro de cómo vamos a implementar eso todavía".

Pero segmentar a los clientes de la UE del resto del mundo no es fácil, especialmente para las empresas más pequeñas sin la destreza técnica de Facebook o Google. "Puede parecer una jugada inteligente, pero en algunos casos, es más trabajo", dijo Larry Ponemon, fundador de la firma de investigación privada Ponemon Institute.