En los últimos meses, el escándalo sobre los datos de terceros provistos por Facebook a Cambridge Analytica y su uso abusivo ha sido prueba fehaciente del riesgo que el manejo de datos implica. En este contexto, en mayo entró en vigor en la Unión Europea el nuevo Reglamento Europeo de Protección de Datos Personales, denominado GDPR; que tiene como finalidad reforzar y unificar el sistema de protección de datos para todos los individuos con residencia en la Unión Europea.

El objetivo principal es aumentar los controles sobre el uso de los datos personales de terceros, que pueden hacer las empresas prestadoras de servicios y proveedoras de bienes; considerando especialmente el campo fértil que, para un posible uso abusivo de estos datos, puede darse en el marco de una contratación electrónica, en el uso de una app o la utilización de una red social.

Las siguientes son las principales innovaciones del GDPR:  

Derecho de supresión (o derecho al olvido): este derecho permite al titular de los datos solicitar su supresión, siempre que no existan motivos legítimos para que dichos datos continúen a  disposición de la empresa a quién habían sido brindados (ya sea porque no son necesarios para el propósito para el que fueron recogidos, porque se ha retirado el consentimiento, o por haber sido procesados de forma ilícita). Este derecho, además, obliga a los responsables de los datos, que hubieran difundido los mismos a otros terceros, a comunicarles la obligación de eliminarlos, así como a eliminar cualquier copia o réplica de ellos. Su objetivo es conseguir eliminar de la red y de los buscadores, cualquier rastro que haya de los datos personales de la persona que ha hecho ejercicio de su derecho de “supresión”.

Derecho a la Portabilidad de los Datos: este derecho le permite al usuario, titular de los datos, solicitar a la empresa proveedora “traspasar” sus datos a su nuevo proveedor (es decir que los datos se traspasan de un prestador de servicios a otro) en forma automática, siempre que esto sea posible tecnológicamente.

Responsabilidad proactiva de la empresa: las empresas estarán obligadas a implementar sistemas de monitoreo y a documentar los procedimientos de obtención, almacenamiento y uso de datos personales (de clientes, empleados y proveedores), así como a reportar a los organismos responsables de protección de datos cualquier brecha de seguridad o ataque que sufran, dentro de las 72 horas de ocurrido el hecho. Las empresas que manejen grandes cantidades de información sensible deberán contratar a un responsable de protección de datos.

“Privacy by design”: cuando un usuario adquiera un nuevo producto o servicio, la privacidad que vendrá por defecto será la más estricta, y no la más laxa, como era la regla hasta ahora.

Mayores sanciones: las multas por infracción de la normativa, podrán llegar hasta los 20 millones de Euros o al 4% de la facturación global de la compañía.

¿Cómo impacta esta nueva normativa en Uruguay?

El GDPR tiene alcance extraterritorial, por lo que se aplicará a las empresas uruguayas, pero siempre y cuando las actividades de tratamiento de datos personales que éstas realicen se encuentren relacionadas con: 

• Una oferta de bienes o servicios que se realiza a individuos en la Unión Europea, independientemente de si a estos se les requiere un pago o no (ejemplo, una app o un sitio web que ofrezca bienes o servicios a individuos en la Unión Europea).

• El control de su comportamiento, en la medida de que este tenga lugar en la Unión Europea (por ejemplo, si la empresa ofrece una aplicación electrónica que tenga potencialidad para controlar el comportamiento del cliente en el extranjero, por ejemplo a través de “cookies”).

De estar en alguna de estas situaciones, la empresa no solamente deberá cumplir con el GDPR, sino que también deberá designar un representante responsable por la protección de los datos que maneja, con domicilio en la Unión Europea (a fin de garantizar y poder demostrar ante la entidad reguladora de la Unión Europea que el tratamiento de los datos es conforme con el GDPR).

Finalmente, es importante destacar que el GDPR no alcanza a los productos o servicios contratados por residentes de la Unión Europea en el exterior. Por consiguiente, si la oferta de bienes o servicios se materializa en territorio uruguayo, el GDPR no será aplicable, aún cuando el co-contratante sea residente de la Unión Europea. En estos casos, continuará rigiendo la ley uruguaya de protección de datos personales.