Todo lo que necesita saber acerca del futuro Reglamento General Europeo de Protección de Datos y su impacto para las compañías latinoamericanas

entr_hect

Actualmente, la discusión entre las instituciones europeas del nuevo Reglamento General Europeo de Protección de Datos está avanzando; mientras tanto, algunos países en Latinoamérica están adoptando nueva legislación en línea con el modelo regulatorio actual que existe en Europa.

No obstante, el nuevo Reglamento europeo traerá consigo nuevas obligaciones para aquellos países que comparten datos personales con la Unión Europea (UE), y en particular para Latinoamérica.

Héctor Guzmán es un abogado mexicano con residencia en Madrid, España y en la Ciudad de México, especializado en la normativa de privacidad europea y mexicana.

Nymity: ¿Cuál es el objetivo principal de los cambios del Reglamento General Europeo de Protección de Datos?

Guzmán: Debemos recordar que el actual sistema de protección de datos personales de la UE está basado en la Directiva 95/46/EC (es decir, una Directiva aprobada hace 20 años) que sirve como fundamento para las 28 leyes nacionales sobre datos personales, de todos los Estados miembros. Los objetivos principales de la reforma propuesta a las reglas sobre protección de datos serían la actualización y la armonización [de estas reglas].

El régimen actual resulta aplicable a responsables públicos y privados, así como a sistemas de archivo (ficheros) automatizados y no automatizados, pero la forma en que procesamos datos personales a día de hoy (por ejemplo, Big Data, redes sociales ubicuas, Internet de las Cosas) ha cambiado mucho desde 1995, y algunas reglas necesitan actualizar su contenido.

Por ejemplo, existe un “rumor” acerca del alcance de esta reforma, sobre el que algunos medios han publicado que el Reglamento General de Protección de Datos (RGPD) protegerá (finalmente) los datos de las personas que usan internet. Esto no es verdad. Las disposiciones actuales protegen los datos personales en todos los entornos, incluyendo el Internet. Sin embargo, los avances tecnológicos requieren que ciertas reglas sean actualizadas con el objeto de facilitar y hacer más claro la forma en que ciertos responsables deben proteger los datos personales en un escenario interconectado.

Nymity: ¿Cuáles son los principales cambios propuestos al actual sistema europeo de protección de datos como resultado de este Reglamento?

Guzmán: Existen muchos cambios significativos que requerirán de una comprensión profunda de las nuevas reglas, por parte de las empresas.

Uno de mis favoritos es la introducción del Principio de Responsabilidad (Accountability), que en la práctica (y por mencionar un ejemplo) eliminará la obligación actual para los responsables de registrar algunos o todos sus ficheros ante sus registros públicos nacionales. Los responsables y los encargados serán responsables de los datos personales sólo por el hecho de tratarlos, lo que significa que deberán implementar medidas adecuadas, efectivas y confiables para asegurar este tipo de información, de acuerdo a su tipo de actividades y a la sensibilidad de los datos que tratan.

El RGPD propuesto introduce un sistema de “ventanilla única” (one-stop-shop) controvertido, dirigido a simplificar la forma en que las empresas multinacionales deben cumplir con la normativa de protección de datos de la UE, permitiéndoles responder únicamente ante una autoridad de protección de datos (la propuesta de la Comisión indica “la autoridad de control del Estado miembro en que esté situado el establecimiento principal del responsable o del encargado”). El texto de la Comisión (artículo 51.2) has sido eliminado y modificado por el Parlamento Europeo y por el Consejo de la UE (el Consejo) en sus respectivos textos. En este momento, no está claro cuál será el texto final y si el sistema de ventanilla única será aprobado tal y como fue propuesto por la Comisión.

El nuevo RGPD introduciría la protección de datos desde el diseño y por defecto. La privacidad por defecto requeriría a los responsables que garanticen, por defecto, que solamente serán tratados aquellos datos necesarios para cada finalidad específica y que los datos no serán accesibles para un número indeterminado de personas. La propuesta también prevé que ciertos sectores, productos y servicios puedan implementar (bajo ciertos criterios de la Comisión) requisitos de protección de datos desde el diseño.

El RGPD propuesto introduciría nuevas obligaciones relacionadas con las violaciones o vulneraciones de datos personales (personal data breaches). Esto significaría que los responsables deberán notificar este tipo de violaciones a la autoridad supervisora, proporcionando “sin demora injustificada” cierta información sobre la naturaleza y alcance de la violación de datos. Un encargado deberá alertar e informar inmediatamente al responsable después de haber determinado la existencia de una violación de datos. En ciertos casos, el responsable también estaría obligado a comunicar la violación a los interesados.

Otra novedad controvertida que introduce la reforma propuesta es el Delegado de Protección de Datos (Data Privacy Officer – “DPO”). Existen pocas dudas sobre la necesidad y conveniencia de un DPO dentro de ciertas organizaciones públicas y privadas. Los criterios para determinar qué organizaciones deben incorporar un DPO siguen bajo discusión.

Finalmente, me gustaría subrayar que en este momento existen un conjunto de decisiones y opiniones que proporcionan directrices y modelos para regular las transferencias de datos desde la UE hacia un país tercero, donde “país tercero” significa un Estado o territorio que no garantiza un nivel adecuado de protección (a menos que la Comisión Europea haya determinado lo contrario a través de una Decisión).

El texto propuesto de la Comisión está encaminado a unificar y simplificar las reglas y requisitos que los responsables y encargados deben cumplir para poder transferir datos personales fuera del territorio de la UE, sin necesidad de una autorización previa o específica; el texto propuesto les llama “transferencias mediante garantías apropiadas”. Cuando no existan garantías apropiadas, el responsable o el encargado deberán obtener una autorización previa por parte de una autoridad supervisora.

Nymity: ¿Cuáles son las principales ventajas y desventajas de estos cambios y reformas?

Guzmán: Contar con un solo reglamento en lugar de 28 leyes nacionales claramente reducirá los costos de cumplimiento y brindará seguridad jurídica a todos.

Si los cambios propuestos son aceptados, la obligación actual de notificar tratamientos de datos (ficheros) a las autoridades nacionales desaparecería. La Comisión Europea ha calculado que esta formalidad cuesta a los negocios cerca de 130 millones de euros al año, por lo que esto es una clara ventaja.

Estoy convencido que el RGPD propuesto significará un cambio positivo para el sistema de protección de datos personales en la UE y, eventualmente, para aquellas empresas que hacen negocios con responsables europeos. En última instancia, esto significará una mejor protección para los ciudadanos en Europa y en otros lugares.

El hecho es que los principios europeos de protección de datos han tenido una gran influencia en la legislación de Latinoamérica, donde países como Argentina o Uruguay están por delante de otros debido a la temprana adopción de éstos. México, por otro lado, a pesar de ser un país con nueva legislación sobre la materia, no sólo ha incorporado muchos de los principios y de la experiencia europea en su legislación de protección de datos, sino que también ha incorporado un “principio de responsabilidad” que Europa aún discute.

Las desventajas contra el RGPD están centradas principalmente en los costos de cumplimiento. Tanto grandes, medianas y pequeñas empresas han argumentado que el nuevo Reglamento acarrearía costos significativos para sus operaciones diarias que les haría menos competitivas contras otras compañías con menores esfuerzos y normativa de cumplimiento en otros países o regiones.

Sin embargo, yo creo que esto no significará una desventaja en el medio plazo. En primer lugar, el nuevo RGPD contiene reglas flexibles para cumplir con sus disposiciones. Los esfuerzos para cumplir estarán directamente relacionados con las actividades, tamaño de la compañía y con la sensibilidad de los datos que sean tratados por cada entidad. Por ejemplo, no existe razón para argumentar que una compañía pequeña dedicada a las ventas al por menor gastará los mismos recursos para cumplir que una compañía grande dedicada al negocio farmacéutico.

Adicionalmente, es importante tener en cuenta que diversos estudios e informes demuestran que la privacidad se ha convertido en un factor diferenciador para los consumidores. Aquellas entidades que no inviertan para ser más confiables al tratar datos personales no conseguirán nuevos clientes ni conservarán los que ya tienen. Por lo tanto, tendrás que “gastar en privacidad” para poder mantener tu negocio.

Nymity: ¿El Reglamento incluye cambios al sistema de transferencias internacionales de datos? De ser así, ¿cuáles son esos cambios y cómo impactan a las organizaciones que transfieren datos hacia países latinoamericanos?

Guzmán: Sí, la propuesta también incluye cambios a este sistema.

El cambio principal consiste en la desaparición del sistema actual de “autorización previa”, que en estos momentos requiere que los responsables o encargados que exportan datos fuera del Espacio Económico Europeo deban obtener una autorización de su autoridad nacional, antes de enviar dichos datos al extranjero, y sin perjuicio de las salvaguardas adoptadas.

El texto propuesto elimina la necesidad de la autorización previa cuando el exportador de los datos (un responsable o un encargado) y el importador de los datos pertenecen a un grupo de empresas legalmente vinculadas por unas Reglas Corporativas Vinculantes autorizadas (Binding Corporate Rules o BCRs), cuando ambas partes utilicen cláusulas contractuales tipo sobre protección de datos adoptadas por la Comisión, o cuando ambas partes usen cláusulas contractuales tipo adoptadas por una autoridad supervisora.

El actual sistema de transferencias hacia países terceros o territorios que la Comisión ha decidido garantizan un nivel adecuado de protección se mantendrá más o menos igual, pero el texto propuesto prevé que las decisiones de la Comisión también puedan referirse a sectores de tratamiento o a organizaciones internacionales.

Si el exportador y el importador de datos no utilizan los medios anteriores, deberán obtener una autorización previa por parte de una autoridad supervisora, si desean realizar una transferencia internacional apegada a la normativa.

Para las organizaciones de la UE que necesiten transferir datos hacia países latinoamericanos, el escenario previsible ofrece mejoras. Si estas organizaciones no desean adoptar BCRs (aunque se trate de un nivel deseable), podrán firmar con sus contrapartes latinoamericanas cláusulas contractuales tipo sobre protección de datos e iniciar de inmediato sus transferencias, sin la necesidad de un periodo de espera (y cierta incertidumbre) para obtener una autorización por parte de una autoridad supervisora.

Nymity: ¿Cuáles son los efectos de este Reglamento para los países latinoamericanos?

Guzmán: Deberán subir de nivel, mejorar la forma en que conciben el tratamiento de datos personales si desean mantener relaciones sólidas y fluidas con sus socios europeos o si desean competir en Europa.

Incluso si responsables o encargados latinoamericanos no tienen relación con responsables o encargados europeos, cuando la reforma propuesta sea aprobada es posible que veamos algunos efectos colaterales.

Considero que los nuevos estándares de cumplimiento que el nuevo RGPD introducirá podrían tener efectos en Latinoamérica, donde algunos países quizá sientan la necesidad de modificar sus propias leyes con el fin de mantener el ritmo europeo.

Nymity: En tu opinión, ¿cuáles son los riesgos para las empresas latinoamericanas en caso de no cumplir con las nuevas disposiciones del Reglamento en Europa, cuando transfieran datos personales hacia esa jurisdicción y viceversa?

Guzmán: El riesgo es quedar fuera del juego.

El actual modelo europeo de protección de datos ya requiere que las compañías extranjeras cumplan con los estándares europeos. El RGPD consolidaría estos requisitos de forma tal que las compañías extranjeras deberán repensar sus modelos de seguridad de la información y de datos personales. Lo que está en juego es la oportunidad de continuar o iniciar negocios con Europa; de otra forma, las empresas latinoamericanas deberán mirar hacia otra parte.

Nymity: ¿Las empresas necesitan hacer algo para que el país sea considerado como “adecuado” o el país debe hacer algo?

Guzmán: Las empresas no pueden hacer nada “por el país”. Cuando un país no es considerado por una Decisión de la Comisión como “adecuado”, el nivel de protección adecuado deben ser garantizado por la empresa del “país tercero” hacia la empresa o empresas europeas.

Los países juegan un papel importante desde el punto de vista diplomático, pero principalmente desde el punto de vista legal y estructural. El RGPD propuesto establece los elementos que la Comisión tomará en consideración al evaluar la adecuación del nivel de protección, tales como: el Estado de Derecho, la legislación pertinente en vigor, los derechos efectivos y exigibles, incluido el derecho de recurso administrativo y judicial efectivo de los interesados, la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes, encargadas de garantizar el cumplimiento de las normas en materia de protección de datos, entre otros.

Nymity: ¿Existen nuevos controles, procedimientos o documentos que deban ser implementados dentro de las organizaciones para garantizar el cumplimiento de este nuevo Reglamento?

Guzmán: Incluso si ciertos procedimientos burocráticos son eliminados, está claro que el nuevo RGPD significará un cambio importante en muchas organizaciones. Resumiría este cambio en cuatro palabras: responsabilidad sobre los datos.

Las organizaciones privadas y públicas ya no tendrán que seguir recetas o listas de control para evaluar si cumplen con los principios de protección de datos personales y los requisitos de medidas de seguridad. Tendrán que asumir por completo que son responsables y que por lo tanto deberán desarrollar acciones concretas e implementar medidas individuales para proteger los datos y la privacidad de las personas.

Adicionalmente, debemos recordar que aún y cuando las instituciones europeas siguen discutiendo la naturaleza y extensión de las operaciones de tratamiento de datos consideradas como “riesgosas”, el texto propuesto por la Comisión (artículo 33) prevé que ciertos tratamientos deban sujetarse a una evaluación de impacto relativa a la protección de datos. Esto significa que Europa ha alcanzado un nivel de experiencia que le permite decir: existen ciertas operaciones que presentan riesgos específicos para los derechos y libertades de los interesados, por lo que si eres un responsable (o encargado) que desarrolla este tipo de operaciones de tratamiento, deberás llevar a cabo una evaluación de impacto para hacer frente a los riesgos, y las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de los datos personales. Este es un nuevo procedimiento a tomar en cuenta.

Nymity: Para concluir, ¿cuáles son las cinco recomendaciones que darías a una compañía para cumplir con los cambios introducidos por el nuevo Reglamento General Europeo de Protección de Datos?

Guzmán:

  1. Esté atento: la versión final del RGPD aún no ha sido aprobada. La versión final será diferente de la que fue propuesta por la Comisión.
  2. (No obstante) espere importantes cambios: el actual sistema europeo de protección de datos cambiará inminentemente.
  3. Revise sus objetivos: si su empresa ya tiene relaciones con entidades europeas o si planea iniciar negocios con Europa, no olvide que la protección de datos es un tema importante en esta parte del mundo.
  4. Revise su nivel de cumplimiento: asegure que su empresa cumple con su normativa local de protección de datos personales Y considere si desea (o necesita) mejorar sus medidas de cumplimiento con el objeto de alcanzar el nivel de protección europeo.
  5. Obtenga asesoría especializada.

Traducción al español de la entrevista efectuada por NYMITY® a Héctor Guzmán en agosto de 2015.

Copyrights Reserved© 2015. Nymity Inc. 366 Bay Street, Suite 1200, Toronto, Ontario, Canada. M5H 4B2.

Imagen: By Own work (Own work) [Public domain], via Wikimedia Commons.