Antes de la aparición del Reglamento General de Protección de Datos (GDPR) los usuarios no sabían a ciencia cierta si las empresas recolectaban datos y si lo hacían, no sabían qué tipo de datos ni cómo los almacenaban. Por eso, el GDPR es tomado como un hito en la materia debido al cambio de pensamiento de la comunidad de la Unión Europea en referencia al tratamiento de los datos personales.
La llegada de GDPR ha significado un gran cambio en diferentes aspectos, hasta una bisagra en la materia, y una de las características primordiales refiere a que esta normativa es aplicable a todas las empresas que ofrecen sus bienes o servicios en la UE o que procesan los datos de ciudadanos de la UE, al tiempo que los datos de los ciudadanos de la UE solo pueden exportarse y ser utilizados por países con normas de privacidad similares a GDPR.
El reglamento en cuestión hace referencia a diversos tipos de datos, entre los cuales se encuentran: nombre, dirección y número de identificación, creencias religiosas, afiliación política, origen racial o étnico, orientación sexual, datos de salud, vacunas, geolocalización, historial web, entre otros.
En función de ello, RGPD obliga a las empresas a respetar los ocho derechos de los ciudadanos:
- El derecho a ser informado de que sus datos están siendo recopilados y utilizados, durante cuánto tiempo y cómo se compartirán.
- El derecho a poder acceder a todos los datos recopilados por una empresa y la razón por la cual se recopilan.
- El derecho de rectificación en caso de que se quieran modificar o actualizar la información.
- El derecho al olvido puede ser solicitado en caso de que se retire el consentimiento.
- Derecho a restringir o limitar el tratamiento si se quiere restringir el uso de los datos.
- El derecho a oponerse al procesamiento de más datos.
- El derecho a la portabilidad de los datos.
- Derecho a no ser objeto de elaboración de perfiles en base a un conjunto de datos.
Asimismo, otra de las cuestiones de importancia introducidas por el reglamento es que se estipula un tiempo máximo para el reporte de una filtración de datos. Las empresas tienen hasta tres días para informar un incidente desde que lo advierten. En caso de que alguno de los puntos mencionados u otras cuestiones presentes en el RGPD no se cumplan, las empresas serán sancionadas.
Hoy, cuatro años después de aquel 25 de mayo de 2018, los usuarios y consumidores pertenecientes a la UE o cuyos datos sean tratados y almacenados en la UE han adoptado como parte de las buenas prácticas y como una conducta esperable el hecho de que las empresas cumplan con el RGDP solicitando la aceptación de los términos y condiciones del tratamiento de sus datos.