i. Introducción
El derecho a la protección de datos en el ámbito de la Unión Europea (UE) tiene su origen en el Convenio 108 y en la Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995.
El imparable avance de la tecnología, en un mundo dirigido inexorablemente hacia la digitalización, llevó a las autoridades del viejo continente a delinear una nueva regulación -unificada y actualizada- en materia de protección de datos personales.
A principios del año 2012 comenzó un largo camino que culminó con la aprobación del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016, conocido como Reglamento General de Protección de Datos (“RGPD”).
El RGPD tendrá aplicación a partir del 25 de mayo de 2018. Está constituido por 173 considerandos y 99 artículos divididos en 11 capítulos.
En líneas generales, el RGPD otorga un mayor grado de control y protección a los ciudadanos europeos respecto a su información personal, e impone un nuevo paradigma para las empresas y organizaciones, que deberán adaptar sus protocolos y estructuras a la nueva regulación.
Resulta esencial entonces que las empresas conozcan cuáles son las nuevas reglas y herramientas que esta normativa pone a disposición para competir en un mercado global cada vez más celoso de la protección de datos personales.
A continuación, intentaremos brindar una breve síntesis sobre los cambios más relevantes que introduce el RGPD.
ii. Visión presente y futura
El RGPD tiene dos objetivos centrales: (1) la protección de las personas físicas en lo que respecta al tratamiento de los datos personales, y (2) las normas relativas a la libre circulación de tales datos.
Sin perjuicio del propósito del RGPD como instrumento para la protección de datos, resulta interesante poner de resalto el tercer apartado del artículo 1° que dice: “La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales”.
Esta disposición supone que para el RGPD la “libre circulación de datos” resulta ser un fin primordial, por lo que la protección de datos personales no podrá ser invocada -a priori- como un impedimento para que los datos no circulen.
Con esta visión, el RGPD reconoce que la libre circulación de datos es un presupuesto básico para los modelos de negocios basados en Internet, y en definitiva, de toda la Economía actual.
iii. Ámbito de aplicación
El RGPD amplió sustancialmente el ámbito de aplicación territorial, pues, a diferencia del régimen anterior, no se circunscribe al espacio europeo, sino que también es obligatorio para todas las empresas responsables de tratamiento de datos que ofrezcan bienes o servicios a ciudadanos de la UE.
Haciendo foco en las compañías que operan en Internet, el RGPD extiende su ámbito de aplicación a las empresas que, hasta ahora, podían estar tratando datos de personas en la UE, y sin embargo, se regían por normativas de otras regiones o países que no ofrecían idéntico nivel de protección.
En pocas palabras, el RGPD tiene un impacto potencial en cualquier empresa del mundo que realice tratamiento de datos de residentes de la UE.
iv. Consentimiento
El RGPD no admite formas de consentimiento tácito o por omisión. El consentimiento del titular del dato debe consistir en un acto afirmativo que refleje una manifestación de voluntad libre, específica e inequívoca de aceptar el tratamiento que le concierne.
Este consentimiento puede ser recabado mediante una declaración por escrito o a través de medios electrónicos. En cualquier caso, el responsable de tratamiento debe poder demostrar que el titular ha prestado su consentimiento válidamente.
v. Nuevos derechos
Además de los ya conocidos derechos ARCO (acceso, rectificación, cancelación y oposición), el RGPD regula los siguientes nuevos derechos: el derecho a la portabilidad, el derecho al olvido, el derecho a la información sobre el tratamiento, el derecho a la limitación del tratamiento y el derecho a recibir información en supuestos de violación de seguridad de datos, entre otros.
A su vez, se actualiza y amplía el concepto de “datos sensibles” extendiéndose a otros supuestos, tales como orientación sexual, datos biométricos, datos genéticos y creencias filosóficas.
Cada uno de estos “nuevos derechos” merece un análisis y debate pormenorizado, el cual omitimos dado el propósito del presente.
vi. Principio de Responsabilidad Proactiva (“accountability”)
El RGPD exige a las empresas una actitud consciente, diligente y proactiva en el tratamiento de datos.
Concretamente, esto se traduce en la obligación de realizar evaluaciones de impacto, y adoptar las medidas técnicas y organizativas necesarias para determinar cuáles son los riesgos que conlleva determinado tratamiento de datos.
Aclaramos que el RGPD condiciona la adopción de tales medidas al riesgo que los tratamientos de datos puedan suponer para los derechos y libertades de sus titulares. Es decir, las medidas de seguridad dependerán -en mayor o menor grado- de las características propias de las empresas u organizaciones. Por ejemplo, por la naturaleza de los datos tratados, por la cantidad y variedad de tratamientos realizados por una misma organización, entre otros supuestos.
vii. Delegado de Protección de Datos
Cuando sus actividades principales consistan en operaciones de tratamiento de datos a gran escala, o cuando estén vinculadas a datos especialmente protegidos, el RGPD impone a las empresas la designación de un Delegado de Protección de Datos (“DPO” por sus siglas en inglés “Data Protection Officer”) .
El DPO deberá supervisar, informar y asesorar sobre el cumplimiento del nuevo marco normativo. También actuará como punto de contacto para los titulares en todo lo que tenga relación con el tratamiento de sus datos.
En cuanto a las aptitudes del DPO, el RGPD únicamente señala que éste deberá estar suficientemente calificado, por lo que se delega en las empresas la identificación de la persona adecuada. Podrá ser tercerizado.
viii. Protección de datos por diseño y por defecto (“Privacy by desing / by default”)
El RGPD exige a las empresas pensar en términos de protección de datos desde el mismo momento en que se diseña un producto o servicio, y por lo tanto, un tratamiento de datos.
Por este motivo, es muy importante que las disposiciones del RGPD sean tenidas en cuenta antes de desarrollar una herramienta informática, aplicando las medidas técnicas y organizativas que correspondan.
ix. Obligaciones ante violaciones o brechas de seguridad
El RGPD define a las violaciones o brechas de seguridad de los datos, incluyendo todo incidente que ocasione la “destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación a acceso no autorizado a dichos datos”.
Las empresas tienen la obligación de notificar a la Autoridad de Protección de Datos del país respectivo cualquier violación o brecha de seguridad, en un máximo de 72 horas desde que hubiera acontecido. También deberán comunicarla a los titulares de los datos afectados, con específicas recomendaciones para que éstos mitiguen los potenciales efectos negativos.
x. Reducción de costos
El RGPD pretende reducir la burocracia actualmente existente en esta materia, lo que se traduce en disminución de costos para las empresas.
En particular, el RGPD establece: (i) la supresión de la obligación de inscribir ficheros; y (ii) la creación de una “ventanilla única” a través de la Autoridad de Control de cada país, ante la cual las empresas podrán efectuar trámites con efectos en toda la UE.
xi. Posibilidad de establecer un canon
El RGPD habilita a las empresas a fijar -razonablemente- un canon en función de los costos administrativos vinculados a la respuesta del ejercicio de los derechos de los titulares del dato.
xii. Incremento de las sanciones
El RGPD incrementa notoriamente las multas previstas en el régimen anterior.
Abandonando la clasificación de “leves”, “graves” o “muy graves”, el RGPD dispone las siguientes sanciones según la infracción cometida: (i) multas administrativas de hasta 10.000.000€ o hasta el 2% del volumen de negocios mundial del ejercicio financiero anterior; o (b) multas administrativas de hasta 20.000.000€ o hasta el 4% del volumen de negocios mundiales del ejercicio financiero anterior.
xiii. Conclusiones
El RGPD pretende dotar a la UE de una regulación actualizada en materia de protección de datos personales, acorde con la economía del siglo XXI.
Para las empresas implica afrontar un nuevo paradigma, que impone numerosas obligaciones que a su vez requerirán esfuerzos de carácter organizativo, técnico y económico, con el normal y esperable afán de evitar restricciones y sanciones hasta ahora insignificantes e incluso desconocidas.
Sin embargo, es innegable que una exitosa adaptación a la nueva normativa se traducirá en una mejora competitiva en el mercado global.
Los recursos y esfuerzos que cada empresa despliegue para garantizar un adecuado tratamiento de datos personales, aumentará el “capital confianza” de la organización, y aportará un valor incalculable en la fidelización de aquellos clientes que se sientan atraídos por los productos o servicios prestados.-
Citas
1) Abogado. Especialista en Derecho y Nuevas Tecnologías. Miembro del equipo de Derecho y Tecnología del Estudio Pérez Alati, Grondona, Benites & Arntsen.
2) El artículo 99 del RGPD en sus apartados dispone que: “(1) El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea. (2) Será aplicable a partir del 25 de mayo de 2018”. Para que no queden dudas, el RGPD entró en vigencia el 25/05/2016 (publicado en el Diario Oficial el 04/05/2016) pero su aplicación directa se difirió para el 25/05/2018. La razón de que el RGPD esté en vigencia pero carezca de aplicación directa, es que se ha otorgado a los Estados, a las instituciones europeas y a las organizaciones, el tiempo necesario para llevar a cabo todas las actuaciones necesarias para adaptarse al nuevo marco normativo.
3) http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679.
4) Ver artículo 4°, apartado 11 y considerando 32° del RGPD.
5) Ver artículo 20 del RGPD.
6) Ver artículo 17 del RGPD.
7) Ver artículo 12 y 13 del RGPD.
8) Ver artículo 18 del RGPD.
9) Ver artículo 34 del RGPD.
10) Ver artículo 5, apartado 2 del RGPD
11) Ver artículo 37 del RGPD.
12) Ver artículos 9 y 10 del RGPD.
13) Ver artículo 25 del RGPD.
14) Ver artículo 32, apartado 2 del RGPD.
15) Ver artículo 12, apartado 5 (a) del RGPD.
16) Ver artículo 83, apartado 4 y 5 del RGPD.
Opinión
Barreiro
opinión
ver todosPASBBA
NORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law