Tick Tock, Tick Tock, la GDPR lleg�.

Por: Sebastián Alfonso Rueda Quesada

Tick Tock, Tick Tock, la GDPR lleg�.

El 24 de Octubre de 1995 se expidió la Directiva 46 por parte del Parlamento Europeo y del Consejo, la cual estableció los parámetros que el tratamiento de datos debía tener en Europa, reglas de circulación de la información, y los deberes atribuibles a los sujetos que participan activamente en el mismo. Veinte (20) años después de su entrada en vigencia será derogada1.

Las razones apuntan al desborde natural que Internet ha causado en la circulación de la información, convirtiéndole en una norma inoperante. Al respecto el Parlamento Europeo se refirió:

Aunque los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la Unión se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las actividades en línea.

Su reemplazo, la Directiva 679/2016 tendrá la difícil tarea de armonizar el marco legal de datos personales en la Unión Europea, regresando el control de los datos a los ciudadanos, y estableciendo una obligación a los responsables frente al deber de realizar evaluaciones de impacto, antes de efectuar cualquier operación que pueda suponer un riesgo para el titular de la información. Sin embargo, dentro de los múltiples e importantes cambios que la General Data Protection Regulation (GDPR) trae de presente, centraremos la atención en aquellos, que invitan a analizar sí el ámbito de aplicación de la norma es sólo Europa, o realmente es una disposición con alcance transcontinental.

El artículo 3 establece el ámbito territorial de la norma en dos sentidos:

  1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
  2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
  3. a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
  4. b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Por lo que solo podría afirmarse que una empresa está exenta de dar cumplimiento a la GDPR si no ofrece bienes o servicios a ciudadanos Europeos, ni tampoco crea o monitorea perfiles de ellos. De lo contrario y sin importar el domicilio principal de la sociedad que efectué alguna de estas dos operaciones, debe someterse al cumplimiento de la GDPR, so pena de incurrir en las sanciones que la misma norma establece.

Otro reto aparece, frente a la posible investigación e imposición de sanciones por parte de las Autoridades a sociedades que aun tratando datos de ciudadanos Europeos no encuentren un establecimiento en algún país de la Unión, ni un representante2 o delegado. La GDPR apela a la cooperación internacional para sobrepasar este desafío (Artículo 50):

En relación con los terceros países y las organizaciones internacionales, la Comisión y las autoridades de control tomarán medidas apropiadas para:

-Crear mecanismos de cooperación internacional que faciliten la aplicación eficaz de la legislación relativa a la protección de datos personales;

-Prestarse mutuamente asistencia a escala internacional en la aplicación de la legislación relativa a la protección de datos personales, en particular mediante la notificación, la remisión de reclamaciones, la asistencia en las investigaciones y el intercambio de información, a reserva de las garantías adecuadas para la protección de los datos personales y otros derechos y libertades fundamentales;

-Promover el intercambio y la documentación de la legislación y las prácticas en materia de protección de datos personales, inclusive en materia de conflictos de jurisdicción con terceros países.

Situaciones que ponen en la mesa de los Estados y Empresas una fecha: El 25 de Mayo de 2018, día en el cual entra en vigencia formal la GDPR.

 

___________________________________________________

  1.  El artículo 94 de la Directiva 679/2016 deroga a la directiva 46 a partir del 25 de Mayo de 2018.
  2.  El artículo 27 de la GDRP expresa que cuando sea de aplicación el artículo 3, apartado 2, el responsable o el encargado del tratamiento designará por escrito un representante en la Unión.

 

Sebastián Alfonso Rueda Quesada

Consultor en Protección de Datos Personales y programas de Transparencia
Sebastian.rueda@legalshield.com.co 

Compartir

Comentarios


Artículo sin comentarios

Escribe un comentario