Este viernes 20 de diciembre se conmemoran los 35 años de la invasión de Estados Unidos a Panamá. Hasta la fecha se ignora el número exacto de víctimas,...
- 25/05/2018 02:02
Extraterritorialidad del Reglamento General de Protección de Datos de la UE
El 25 de mayo de 2016, entró en vigor el Reglamento General de Protección de Datos (RGPD) en la Unión Europea (UE) que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este Reglamento busca armonizar el marco jurídico fragmentado de la protección de datos en el Espacio Económico Europeo (EEE), pero también ganar la confianza y garantizar que el derecho a la vida privada del consumidor sea respetado por las empresas en la economía digital mundial. Esta es la razón por la cual la jurisdicción del RGPD no tiene la intención de detenerse en las fronteras de la UE, lo que plantea la cuestión de la extraterritorialidad.
El campo de aplicación cubrirá no solo a entidades que traten datos de carácter personal que se encuentren dentro del territorio europeo, sino también a empresas o entidades del mundo entero que traten datos personales como parte de las actividades de una de sus sucursales establecidas en la UE, independientemente del lugar donde sean tratados los datos; o empresas establecidas fuera de la UE que ofrecen productos o servicios (de pago o gratuitos), u observan el comportamiento de los ciudadanos o residentes de la UE.
Las pautas de RGPD definen la situación arriba citada cuando ‘las personas son seguidas en Internet'. Esto incluye el uso potencial de técnicas de elaboración de perfiles para tomar decisiones sobre las personas involucradas o para analizar o predecir las preferencias de compras, comportamientos o actitudes de estas. Un ejemplo sería el caso de una agencia de viajes u operador hotelero en Panamá que crea perfiles de sus clientes españoles, italianos, alemanes y polacos para ofrecerles ofertas para otros viajes o estancias.
Asimismo, todos los organismos públicos y los prestatarios económicos, tales como bancos y abogados, deberán adecuarse a las obligaciones del RGPD, entre las que se destaca la designación de un delegado de Protección de Datos (DPO, Data Protection Officer en inglés), quien deberá contar con conocimientos jurídicos y experiencia en la materia de protección de datos.
El sector de marketing de las empresas se verá fuertemente impactado con esta normativa, al tener que recabar el consentimiento ‘libre e inequívoco, prestado a través de una clara acción afirmativa', para cualquier acción que quiera llevar a cabo con los datos de sus clientes europeos (no más envío de ‘mails' ‘BtoC' en masa). El consentimiento, además, no podrá ser tácito ni se podrá proporcionar a través de casillas premarcadas. Los datos de carácter personal incluyen las ‘cookies' y las direcciones IP.
Las empresas tendrán también la obligación de informar a sus clientes en un plazo máximo de 72 horas si se produce alguna brecha de seguridad que haya puesto en peligro la privacidad de sus datos. El RGPD establece igualmente el principio de responsabilidad activa, mejor conocido como ‘accountability', a través de la cual se pretende que las empresas se responsabilicen de adoptar las medidas pertinentes que minimicen el posible impacto negativo de sus actuaciones y puedan demostrarlo.
Por otra parte, el RGPD otorga a los clientes o consumidores europeos el ‘Derecho al Olvido', que permite a cualquier persona reclamar la supresión de sus datos de los motores de la búsqueda de Internet, o el ‘derecho a la portabilidad', que faculta al interesado recuperar una copia de sus datos personales para transmitirla a otra empresa.
La violación al RGPD contempla un régimen sancionador para la empresa con multas que varían según su propio incumplimiento y que pueden alcanzar cuantías de hasta 20 millones de euros o el cuatro por ciento del volumen de negocio total anual global del ejercicio financiero anterior, además de las graves consecuencias en la confianza de sus clientes y conllevar efectos negativos para su reputación.
El principio de ‘Privacy by Design' es otra novedad para referirse a la obligación para las empresas de abordar los aspectos técnicos y jurídicos, a fin de tomar en cuenta las leyes de privacidad en el momento del diseño de la APP o software , no después.
En lo que respecta a la transferencia de datos personales a Estados miembros no pertenecientes a la UE, el RGPD confirma el principio de que el responsable del tratamiento solo puede transferir datos personales a un tercer Estado si este proporciona un nivel de protección adecuado, derechos y libertades de las personas afectadas. La regulación también enfatiza la ‘decisión de adecuación' que puede hacer la Comisión Europea a través de la cual cualquier transferencia transnacional puede hacerse sin autorización específica. A este respecto, en la región latinoamericana, la Comisión Europea solo reconoce a Argentina y Uruguay como países que garantizan un nivel de protección adecuado y confiable para hacer negocios. A falta de una decisión de adecuación, la transferencia puede hacerse mediante el establecimiento de garantías adecuadas y a condición de que las personas cuenten con derechos exigibles y acciones legales efectivas.
En conclusión, toda entidad o empresa ubicada fuera del territorio de la UE que reciba tráfico web de portales ubicados en la UE, proporcione servicios a personas u otras empresas localizadas en la UE, tendrá que implementar las medidas técnicas y organizativas necesarias para el cumplimiento de lo establecido en el RGPD. En consecuencia, la primera pregunta que deben formularse las empresas que se basan fuera de UE es si actualmente están trabajando o planeando hacer negocios en Europa en un futuro cercano. Luego, será necesario analizar sus modelos de negocios para determinar si están administrando datos de ciudadanos europeos y, de ser así, qué tipo de datos. En esta era, en que todo está conectado, muchas empresas procesan datos de ciudadanos europeos de una manera u otra.
ABOGADA, GINEBRA, SUIZA.