viernes, 11 de mayo de 2018

DERECHOS, DEBERES, AREAS CONCERNIDAS Y SANCIONES EN EL REGLAMENTO DE PROTECCIÓN DE DATOS PERSONALES EUROPEO




Carlos A. FERREYROS SOTO
Doctor en Derecho

El veinticinco de mayo próximo, en dos semanas, entrará en vigor el Reglamento Europeo de Protección de Datos Personales, RGPD, y sus disposiciones serán obligatorias y aplicables a cerca de 512  millones de ciudadanos de la Unión Europea. El RGPD puede representar un profundo cambio en el enfoque de la protección de los datos personales en Europa, por varias variadas razones, específicamente, por los nuevos derechos y deberes que constituyen, las áreas que involucra y las sanciones que impone[1]


1. Derechos y deberes
El Reglamento General se caracteriza porque distingue entre derechos y deberes, especialmente, asigna múltiples derechos al individuo y vastos deberes a las empresas, administraciones o instituciones, sujetas a ello.

Derechos. La lista de los derechos  de las personas naturales se amplia. Además de los llamados derechos ARCO en la normativa española y peruana: Derechos de Acceso, Rectificación, Cancelación y Oposición, se suman el derecho al olvido, derecho al borrado, derecho al error, derecho a la transparencia, derecho a saber, derecho a ser comunicado, derecho al desreferenciamiento, derecho a la portabilidad, derecho a la conservación, derecho a la transferencia. Además, el preámbulo del Reglamento precisa que la protección de los datos personales constituye un "derecho fundamental".

Obligaciones. Las empresas, administraciones o instituciones, por otro lado, tiene extensos deberes y obligaciones: deber de no evaluación, obligación de no perfilamiento, deber de trato equitativo y transparente, obligación de adoptar normas internas e implementar medidas que respeten la protección, obligación de designar a un representante responsable del tratamiento, obligación de redactar un contrato u otro acto jurídico, obligación de llevar registros, obligación de llevar a cabo una evaluación de impacto, deber de notificar a la autoridad de control  ​​en el más breve plazo, a más tardar, dentro de las setentidós ( 72) horas siguientes al tratamiento.

2. Áreas concernidas

El RGPD involucra tanto a las áreas de recursos humanos, informática como el área jurídica. La primera deberá intervenir para identificar qué datos personales deben protegerse, la segunda deberá poner en marcha un buen y estandarizado tratamiento de esos datos y la tercera se encargará de asegurar su protección legal. La figura de la designación de un "Oficial de Protección de Datos" (DPO), se revela como una necesidad, cada día más crítica para implementar, administrar y coordinar la aplicación del RGPD.

Los desafíos planteados por el RGPD son considerables, especialmente para las PYMES con más de 250 empleados, umbral a partir del cual se impone la versión "dura" del RGPD a los sujetos pasivos, pero también a las empresas de menos de 250 personas sujetas también a la versión "ligera", especialmente. A diferencia de los grandes grupos, ellas disponen de pocos recursos técnicos y humanos para aplicar los nuevos estándares RGPD.

3. Sanciones

Las sanciones por incumplimiento del RGPD son severas, pueden representar el cuatro por ciento (4%) de los ingresos de la entidad sancionada, o 20 millones de euros. Cantidad equivalente al 4% de una facturación de 500 millones, que representa mucho dinero, pero muy inferior a los ingresos de Google en 2016 (79 mil millones), Amazon (130 mil millones) o Apple (215 mil millones). ¡Una multa del 4% de la facturación de Apple representaría $ 8.6 mil millones![2]

El RGPD es más rigurosa que las famosas leyes de protección de datos personales transpuestas en Europa por la Directiva 95/46/UE - e indirectamente en América Latina - que este Reglamento deroga, cuyo principio trascendente fue el registro de personas físicas, y su excepción, las consecuencias "colaterales" de la actividad informática. El nuevo panorama europeo de libertades, informática y seguridad se verá completamente trastornado a fines de este mes de mayo por el citado Reglamento. Hasta ahora, desconocemos cual será el nivel de aceptación o de rechazo que esta norma tendrá en su adecuación y aplicación.

Finalmente, el nuevo Reglamento a diferencia de la Directiva 95/46/UE será de aplicación directa, en cada país europeo adherente a la Unión, sin que sea necesario ningún trámite previo de transposición, adaptación. Traduciéndose en normativa interna de cada país, desde el momento de su  entrada en vigor.

En los países no adherentes a la Unión Europea, pero cuyo ámbito de aplicación del Reglamento pudiera alcanzarlos, se regirán por los artículos 2 y 3 de éste. Obviamente, ello supone otras adaptaciones de sus normativas internas, vinculadas a la protección de los datos personales, transparencia e información pública.

Una Conferencia y un Taller sobre el "RGPD y sus Implicancias para las instituciones y empresas en el Perú" han sido previstos para el mes de setiembre en Lima.

No hay comentarios:

Publicar un comentario