El nuevo reglamento General Data Protection Regulation – en lo sucesivo (“GDPR”) o (el “Reglamento”) fue aprobado en la Unión Europea en abril de 2016 y su aplicación entró en vigor el pasado 25 de mayo de 2018. Una de las más significativas diferencias con las reglas anteriores radica en que al ser un reglamento y no una directiva, su aplicación no depende de modificaciones a la legislación de cada país, sino que su realización será de manera obligatoria.
Este Reglamento establece nuevos lineamientos para las personas físicas o morales, nacionales o extranjeras que tratan datos personales de ciudadanos europeos, así como los derechos con que cuentan los titulares de los datos personales. Dicha regulación tendrá un impacto global para quienes tienen vínculos con Europa, algunas de las cuales cuentan con un gran número de sucursales dentro y fuera de la Unión Europea, por ello, poseen clientes, proveedores o empleados de dicha nacionalidad, y tratan sus datos, como: nombre, domicilio, teléfono, correo, mismos que permiten identificar a su titular. Por lo cual, es estrictamente obligatorio el cumplir con las disposiciones del Reglamento, al recaer en esta situación.
El Reglamento surge con la finalidad de actualizar sus anteriores regulaciones de acuerdo a las tendencias y situaciones que acontecen en la actualidad, como el hackeo de cuentas, o el uso indebido de la información personal recabada, así como concientizar acerca del correcto tratamiento de estos datos y la seguridad que se debe garantizar. Como ejemplo, podemos mencionar el caso de una empresa de análisis de datos con sede en Londres, la cual se vio envuelta en una polémica por el mal manejo de los datos personales de usuarios de una red social, y en otro caso acerca del hackeo de la aplicación móvil de una de las mayores empresas de transporte privado.
El responsable o encargado del tratamiento de los datos personales debe designar un representante, a menos que el tratamiento se realice de forma ocasional, no incluya el tratamiento a gran escala de categorías especiales de datos personales o de datos personales relativos a condenas e infracciones penales, y sea improbable que entrañe un riesgo para los derechos y libertades de la persona física, la naturaleza, el contexto, el ámbito y los fines del tratamiento, o si el responsable del tratamiento es una autoridad u organismo público. El representante debe ser designado expresamente por mandato escrito del responsable o del encargado para que actúe en su nombre con respecto a las obligaciones del Reglamento. El tratamiento por un encargado debe regirse por un contrato u acto jurídico en el que se fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales, las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los derechos y libertades del interesado.
El responsable o encargado del tratamiento debe mantener registros correctos y apropiados de las actividades de tratamiento bajo su responsabilidad. A partir de la entrada en vigor, todos los responsables y encargados estarán obligados a cooperar con la autoridad de control. Además, deberán poner a su disposición los registros, previa solicitud, de modo que puedan servir para supervisar las operaciones de tratamiento.
Las sanciones por incumplimiento del GDPR pueden ascender hasta un 4% de los ingresos anuales de la compañía o multas de hasta 20 millones de euros, de conformidad al artículo 83 del Reglamento, en el cual se establecen las condiciones generales para la imposición de multas administrativas en caso de incumplimiento de sus disposiciones.
¿Por qué GDPR es importante para México? Porque con él, se obliga a quién recaba datos personales de ciudadanos europeos (clientes, proveedores, empleados), independientemente del territorio en el que se ubique, a tomar ciertas medidas en la protección de datos personales y datos personales sensibles. Entre los cuales se encuentra el recabar su consentimiento, contar con el conocimiento de que el titular de los datos personales puede oponerse a su tratamiento, dar a conocer la finalidad con la que se solicitan los datos y que la obtención de estos datos específicos, explícitos y legítimos es necesaria para el fin requerido, y por lo cual no serán procesados de una manera que sea incompatible con los propósitos plasmados. Con lo anterior se busca transmitir a estos individuos la confianza de que sus datos serán tratados de la manera más apropiada y segura.
Es relevante mencionar que el acatar el Reglamento es adicional al cumplimiento de las obligaciones señaladas en la Ley Federal de Protección de Datos Personales en Posesión de Particulares.
Un aspecto adicional respecto al presente tema, son las evaluaciones de impacto en la protección de datos. Estas evaluaciones, son requeridas por el GDPR, a fin de mejorar el cumplimiento del Reglamento en los casos en que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas. Corresponde al responsable del tratamiento realizar la evaluación de impacto relativa a la protección de datos, que evalúe, el origen, naturaleza, particularidad y gravedad de dicho riesgo, entre otros. La evaluación debe incluir, las medidas, garantías y mecanismos previstos para mitigar el riesgo y con ello garantizar la protección de los datos personales conforme al Reglamento. En esta evaluación el encargado del tratamiento debe asistir a quien se designe como responsable, a fin de asegurar que se cumplan las obligaciones.
La evaluación deberá incluir como mínimo:
- a) Una descripción sistemática de las operaciones de tratamiento previstas y sus fines, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
- b) Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
- c) Evaluación de los riesgos para los derechos y libertades de los interesados; y
- d) Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, conforme al Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados.
El GDPR requiere que se realicen este tipo de evaluaciones para el procesamiento de datos de alto riesgo, como se mencionó anteriormente, y de ser necesario, enviarla a la autoridad de protección de datos correspondiente.
Si eres una persona física o moral que recaba datos personales de ciudadanos europeos y tienes duda si el Reglamento en comento te es aplicable, debes de tomar en consideración lo siguiente:
Cualquiera que sea tu ubicación territorial, sin importar que no residas en Europa, si tratas datos personales o datos personales sensibles de ciudadanos europeos tan simples como su nombre, teléfono, domicilio, por mencionar algunos, es obligatorio darle el debido cumplimiento al Reglamento de la Unión Europea, ya que el incumplimiento de estas disposiciones trae como consecuencia cuantiosas sanciones.
Gloria Ponce de León & Hernández
Alejandra Hernández
Alan Petz