El 27 de abril de 2016, en Bruselas, el Parlamento Europeo y el Consejo de la Unión Europea anunciaron la creación y aplicación del Reglamento General de Protección de Datos Personales (en adelante RGPD), como medida para unificar el tratamiento de dichos datos y buscar la equivalencia en los Estados Miembros. El artículo 99 de este ordenamiento, ordenó que la entrada en vigor del RGPD sería a partir del 25 de mayo de 2018 y según se desprende de su lectura, las nuevas obligaciones trascienden el territorio de la Unión Europea, lo que obliga a cualquiera que trate datos personales, a estudiar el Reglamento y conocer, si le resulta aplicable.
1 Aplicación Territorial del RGPD
Con independencia del estudio estricto que implica para las empresas de origen -constitución- europeo, el ámbito territorial a que refiere el artículo 3° del RGPD, confirma el «temor» de los expertos en la materia.
El RGPD se aplica a responsables fuera de la Unión Europea en caso de que:
- La empresa o entidad trate datos personales como parte de las actividades de una de sus sucursales establecidas en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos, o
- La empresa esté establecida fuera de la UE y ofrezca productos o servicios (de pago o gratuitos) u observe el comportamiento de las personas en la UE.
En tenor de lo anterior, implica que este reglamento no sólo resultaría aplicable para los grandes titanes tecnológicos como Facebook, Google o Microsoft, sino que el ámbito de aplicación de la norma alcanza a las PyME’s de otras nacionalidades, incluida la mexicana que pudieren entrar en las dos hipótesis anteriores.
Así las cosas, el primer filtro para conocer si el RGPD resulta aplicable para la empresa en cuestión, aunque ésta se encuentre fuera del territorio de la Unión Europea es atender al tratamiento directo o indirecto, de interesados que formen parte de alguno de los Estados Miembro. Adicionalmente, se deberá atender al riesgo que implica la posesión de estos datos, conforme al siguiente esquema:
Tabla que permite analizar en 3 sencillos pasos, si resulta completamente aplicable el nuevo RGPD
De tal suerte que, si usted responde «NINGUNO DE LOS ANTERIORES» en al menos dos ocasiones, por lo que refiere al tratamiento de datos de ciudadanos europeos, muy probablemente no tendrá que cumplir con todas las obligaciones del RGPD.
2 Ciberseguridad y Data Protection Officer
La normativa de la Unión Europea exige que los responsables cuenten con las herramientas tecnológicas suficientes que brinden una correcta práctica de ciberseguridad en el archivo de los datos personales, adicionalmente, extiende esta obligación a los encargados de las bases de datos.
El protocolo de ciberseguridad incluye la seudonimización y cifrado de datos personales, capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas, capacidad de restaurar la disponibilidad y acceso a los datos personales, así como un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas de seguridad del tratamiento.
En ese tenor, el artículo 37 del RGPD obliga a los responsables y encargados a designar un delegado de protección de datos, en el caso de que las operaciones exijan una observación habitual y sistemática de interesados a gran escala. Éste se considerará el contacto (representante) ante las autoridades de control y en su caso, tendrá a su cargo la revisión de los protocolos de ciberseguridad del responsable, encargado o grupos empresariales que vigile.
El RGPD obligará a revisar los protocolos de seguridad de proveedores de servicio
El anterior párrafo se traduce como una amplia obligación de observancia, no sólo de los mecanismos de seguridad en la empresa, además en mantener constante vigilancia de los protocolos de ciberseguridad de terceros (proveedores), como lo podrían ser:
- Servicios Cloud
- Servicio hosting del portal web y, en su caso,
- Paquetería operativa y servicios de internet.
3 Brechas de seguridad
En términos de los numerales 85 y 86 del RGPD, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, deberá notificar a la autoridad de control en un término que no exceda de 72 horas, asimismo, es obligación notificar al titular de forma inmediata en caso de que se acredite la violación de la seguridad (artículos 33 y 34 RGPD).
Conforme lo dictan los artículos 31 y 32 del ordenamiento en estudio, el responsable y encargado del tratamiento deberá contar con un registro claro que identifique la naturaleza de los datos personales en su poder.
Como excepción a esta obligación, las empresas que empleen menos de 250 personas se verán exentas de realizar dicho control, siempre que, el tratamiento que realice no implique un riesgo para los derechos y libertades de los interesados, sea ocasional o incluya categorías especiales.
4 Certificaciones RGPD
A nivel digital, la Unión Europea ha «sobreregulado» la protección de datos personales, en atención al vasto entendimiento que posee sobre el nivel de protección que merece esta esfera de privacidad. Verbigracia, el protocolo de certificación Privacy Shield Framework, creado en 2017 y que pretende regular la transferencia trasatlántica de datos personales; calificación con reconocimiento actual de la Unión Europea. Adicionalmente al RGDP contiene posibilidades de certificación voluntaria, cuyo fin será la generación de una base de datos europea que cuenten con estas validaciones internacionales y que, en su caso, podrían implicar atenuantes ante la probable aplicación de multas por parte del Parlamento Europeo.
5 Derecho al Olvido en el RGPD
Esta facultad se recoge de los derechos de Cancelación y Oposición (ARCO), sin embargo, el numeral 65 de la exposición de motivos defiende la necesidad del Derecho al Olvido en el RGPD, como un mecanismo para enfrentar el consentimiento de tratamiento no informado o aquél que se emitió en la niñez sin comprender el alcance.
En particular, el artículo 17 del RGPD rescata el derecho de supresión («el derecho al olvido») y obliga al responsable a actuar, sin dilación, en hipótesis particulares. Es decir, también se prevé la posibilidad de denegar la eliminación inmediata si es que no se violentan derechos humanos irreparables.
Aquello que destaca del derecho al olvido que consagrada el RGPD sobre otros elevados a derecho positivo, es que éste obliga al responsable del tratamiento para lograr la supresión de los datos personales no sólo en su base de datos, sino en cualquier enlace, copias o réplicas; ello implica responsabilidad directa sobre los datos personales que se «traten» y que ahora se encuentren disponibles en buscadores, sin necesidad de acudir al buscador, per se.
6 Consentimiento Explícito
Esta obligación implica que desaparece la figura del Scroll Wrap Agreement (Consentimiento tácito por navegación), por lo que ahora el portal web deberá recabar el consentimiento del usuario de forma inequívoca (manifestación del interesado o acción afirmativa) y expreso (en caso de tratamiento de datos personales sensibles no bastará la navegación como acto de consentimiento.
Debe existir una casilla en el sitio web que permita el consentimiento afirmativo claro, que refleja manifestación de voluntad libre, específica, informada, e inequívoca del interesado.
7 Datos Personales en Big Data
Según lo dispone la exposición de motivos 160 a 164 del RGPD, los datos personales que se obtengan con fines estadísticos, científicos, de investigación o de archivo, incluido en aquellos casos que se obtengan con fines oficiales, no exime al responsable de solicitar la autorización del titular de los datos, sobre todo, en aquéllos casos que la base de datos se divulgue. Por otro lado, el artículo 2° del RGPD confirma que se debe controlar el tratamiento total o parcialmente automatizado de datos personales.
8 Datos Web del Responsable
Conforme lo dicta el artículo 13 del Reglamento en cita, el principio de equidad rige en la relación entre responsable y titular de los datos personales. En ese tenor, obliga al primero a informar: 1) Su identidad y los datos de contacto, 2) los datos de contacto del delgado de protección de datos, 3) los fines del tratamiento y la base jurídica del tratamiento, 4) Los intereses legítimos, 5) Los destinatarios o categorías de los destinatarios, además, 6) Si existe, la intención de transferir datos personales a un tercero país o organización internacional.
Adicional a los requisitos anteriores, el aviso de privacidad deberá ser preciso por lo que refiere al plazo de conservación de los datos, la existencia y modalidades del ejercicio de sus Derechos ARCO.
9 Derecho de portabilidad (Art. 20 RGPD)
Toda información sobre una persona física identificada o identificable (datos personales del interesado) deberá ser de libre acceso del titular. Sin embargo, el RGPD acude más allá de lo prescrito en normas tradicionales, ya que el artículo 20 dicta la obligación del responsable a brindar acceso a la base de datos que incluye sus datos personales -sin acceso a datos de terceros- y, en su caso, faculta al interesado a solicitar una copia digital para su «portabilidad». Ello implica la posibilidad de trasladar la carga jurídica de su resguardo a un tercero o bien, posibilitar un manejo más ágil de los datos a nivel digital.
10 Indemnizaciones y multas
A diferencia de lo que se prescribe en diversas regulaciones lationamericanas sobre la protección de datos personales, en cuyos casos se enfocan en las infracciones y multas que deben pagarse a favor del erario público, en el caso del RGPD (artículo 82) reconoce el derecho de las personas a obtener el pago de una indemnización por los daños y perjuicios sufridos, con independencia de la multa. Éste derecho de reclamo se podría replicar contra todos aquellos que tuvieron en sus manos de forma directa o indirecta, los datos personales del interesado y que no actuaron conforme derecho para su resguardo.
Por lo que refiere a las multas administrativas, éstas serán individualizadas y aplicables por las autoridades de control del Estado miembro dónde se pudiere presentar la solicitud de protección de datos personales del interesado, en violación del RGPD. Se tomará en consideración: i) La gravedad de la infracción, ii) la intencionalidad, iii) Si optó por medidas para evitar el daño, iv) Reincidencia, v) Grado de cooperación con la autoridad, vi) La forma en que se hizo publica la violación, vii) La categoría del dato personal afectado y, viii) La adhesión a códigos de conducta o certificaciones.
Las multas que refiere el RGPD van desde la mínima topada al 2% del valor del volumen de la empresa o 10,000,000 euros y la máxima, topada al 4% del volumen del negocio total de la empresa o 20,000,000 euros.
Según estudios de Leet Security, sólo el 12% de las empresas -a nivel global- están listas para el nuevo RGPD
Es prudente señalar, que el RGDP no resulta aplicable en caso:
- Personas morales legalmente constituidas o irregulares
- Personas fallecidas (limitando el ejercicio del derecho al olvido, por herencia)
Además de tomar en cuenta los 10 breves puntos que se han citado en el presente texto, se recomienda a las empresas considerar en sus equipos a expertos en Ciberseguridad que cuenten con conocimiento de los protocolos y estándares internacionales de blindaje cibernético, asimismo, contratar los servicios de un despacho jurídico que realicé las funciones del Data Protection Officer, que cuente con conocimiento de normativa nacional e internacional -incluye el RGPD- en materia de protección de datos personales, sobre todo en el ámbito digital.
SITIO SUGERIDO: Instituto de Ciberseguridad (España)
