Fuente de ayuda Q&A

  El Reglamento de Protección (GDPR) de la Unión Europea entrará en vigencia en mayo de 2018. Mi organización no está haciendo ningún negocio en Europa actualmente, pero tenemos planes de expandirnos. ¿Cómo nos afectará GDPR? ¿Nos afectará si no tenemos una oficina en Europa?

  El GDPR (Reglamento [UE] 2016/679) es un reglamento por el cual el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea se proponen fortalecer y unificar la protección de datos para todas las personas dentro de la Unión Europea. También aborda la exportación de datos personales fuera de la Unión Europea para su procesamiento. El objetivo principal del GDPR es garantizar a los ciudadanos de la UE que sus datos personales se procesan en un entorno seguro y cuentan con la protección legal adecuada. El reglamento fue adoptado el 27 de abril de 2016. Será ejecutable a partir del 25 de mayo de 2018 después de un período de transición de dos años. A diferencia de una directiva, no requiere ninguna legislación habilitante aprobada por los gobiernos nacionales; por lo tanto, es directamente vinculante y aplicable.

Un aspecto importante de GDPR es que se aplica a organizaciones que no son parte de la Unión Europea pero que recopilan y/o procesan datos personales de residentes de la UE fuera de los límites geográficos de la UE. Aunque el reglamento no se aplica al procesamiento de datos personales para actividades de seguridad nacional o aplicación de la ley, tiene una Directiva de protección de datos separada para el sector policial y de justicia penal que proporciona normas sobre intercambios de datos personales a nivel nacional, europeo e internacional.

El término “datos personales” se refiere a cualquier información relacionada con la vida privada, profesional o pública de un individuo. Incluye el nombre de la persona, domicilio, foto, dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica o dirección IP de un dispositivo personal.¹

El nuevo régimen de protección de datos de la UE amplía el alcance de la ley de protección de datos de la UE a todas las organizaciones extranjeras que procesan los datos de los residentes de la UE. Proporciona una armonización de las normas de protección de datos en toda la Unión Europea, lo que facilita a las empresas no europeas el cumplimiento de estas normas. Sin embargo, esto implica el costo de un estricto régimen de cumplimiento de protección de datos con sanciones severas de hasta el 4 por ciento de la facturación mundial o un límite superior de £ 20 millones, el que sea mayor.²

Algunos datos sobre GDPR incluyen:³

• Si una empresa no se encuentra en la Unión Europea, aún debe cumplir con la regulación si procesa los datos personales de ciudadanos de la UE fuera de los límites geográficos de la UE.
• La definición de “datos personales” es más amplia, trayendo más datos al perímetro regulado.
• El consentimiento será necesario para procesar los datos de los niños.
• Las reglas para obtener un consentimiento válido han sido cambiadas.
• El nombramiento de un oficial de protección de datos (DPO) será obligatorio para ciertas organizaciones.
• Se han introducido evaluaciones de impacto de protección de datos obligatorias (evaluaciones técnicas y de privacidad).
• Hay nuevos requisitos para las notificaciones de violación de datos.
• Los datos de los sujetos tienen los siguientes derechos:
  • Derecho a ser olvidado/borrado
  • Derecho de acceso
  • Derecho a la rectificación
  • Derecho a oponerse
• Hay nuevas restricciones en las transferencias internacionales de datos.
• Los procesadores de datos comparten la responsabilidad de proteger los datos personales, junto con el controlador de datos.
• Hay nuevos requisitos para la portabilidad de datos.
• Los procesos deben construirse sobre el principio de privacidad por diseño.
• El GDPR es una tienda de ventanilla única.

Por lo tanto, si una organización necesita procesar datos personales de ciudadanos de la UE mientras ofrece bienes o servicios a esos ciudadanos (sujetos de datos), la organización es un controlador de datos y está sujeta a la regulación GDPR, independientemente de si la organización se basa dentro o fuera del Unión Europea. Si una organización hace negocios con personas de datos en la Unión Europea, la organización debe cumplir con la regulación de la UE, incluso si los servicios o bienes provistos no implican conectarse a un sistema de pago.

Según algunos expertos, la frase “sujetos de datos que están en la Unión Europea” indica que el GDPR cubre los datos de los ciudadanos de la UE, así como de los residentes temporales e incluso de vacaciones.⁴ También se puede interpretar que los ciudadanos de la UE que viajan fuera del La Unión Europea cuyos datos se recopilan y procesan fuera de la Unión Europea puede no estar sujeta a la reglamentación GDPR.⁵

La cláusula de “alcance territorial” no significa que cada negocio basado en la web que sea accesible desde dentro de la Unión Europea esté en el alcance del GDPR. El hecho de que alguien en la Unión Europea pueda visitar el sitio web de una organización no lo lleva automáticamente a un “alcance territorial”. El sitio web tiene que estar haciendo algo para llegar activamente a alguien de la Unión Europea.⁶

Una organización puede estar exenta de cumplir GDPR en las siguientes situaciones:⁷

• Si el tratamiento de datos personales de personas con datos de la UE es ocasional o no a gran escala
• Si los datos personales que se procesarán no incluyen categorías especiales de datos personales o se relacionan con condenas penales y delitos
• Si la naturaleza, el contexto, el alcance y los fines del procesamiento no son susceptibles de generar un riesgo para los derechos y libertades del interesado

En todos los demás casos en que el “ámbito territorial” se extienda a organizaciones no comunitarias que procesan datos de personas de la Unión Europea (controladores de datos), las organizaciones deberán designar un representante de la UE dentro de la Unión Europea.⁸ Algunas condiciones a ese representante incluyen:

• El representante de la UE es el primer punto de contacto para las autoridades de supervisión de protección de datos y los interesados. La información de contacto del representante de la UE de una organización y su información de contacto debe aparecer en el sitio web de la organización junto con los términos de servicio entre la organización y el representante de la UE.
• El representante de la UE debe estar ubicado en un estado miembro en el que se basan los interesados de la UE de la organización. Si la organización apunta a toda la Unión Europea, entonces el representante de la UE puede tener su sede en cualquier país miembro.
• El representante de la UE debe operar bajo la dirección de la organización y las instrucciones deben ser por escrito. La legislación no establece específicamente “por contrato”, pero es bastante seguro suponer que puede estar en el contrato.
• El representante de la UE será designado “sin perjuicio” de las acciones legales que se puedan tomar contra el controlador de datos o el procesador de datos. Una organización no puede subcontratar la responsabilidad con los sujetos de los datos a su representante de la UE.

Nota del autor

Las opiniones expresadas aquí son del autor. Para una comprensión más detallada, consulte a un experto legal.

Notas finales

¹ For this definition and definitions of other pertinent terms, such as “processing,” “restriction of processing,” “profiling” and “pseudonymization” (some experts refer to it as “tokenization”), see https://gdpr-info.eu/art-4-gdpr/.
² IT Governance, Data Protection Act (DPA) and EU GDPR Penalties
³ IT Governance, The EU General Data Protection Regulation
⁴ Murphy, M.; “Rules of Establishment for European Data Controllers and Data Processors,” Safe Data Matters, 3 August 2016, http://safedatamatters.com/gdpr-datacontrollerspart2-establishment/
⁵ Ibid.
⁶ Ibid.
⁷ Ibid.
⁸ Ibid.