Por: Carlos FERREYROS SOTO
Doctor en Derecho
cferreyros@hotmail.com
(Artículo publicado originalmente en marzo 2018 en https://chimpumcallao-calulo.blogspot.fr/2018/03/ambito-de-aplicacion-del-reglamento.html, por actualización de este Blog)
INTRODUCCIÓN
El 5 de mayo de 2016 entró en vigencia el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o “RGPD”).
El RGPD regula el tratamiento y circulación de los datos personales relacionados con personas físicas en y de la Unión Europea (UE) realizados por personas, empresas u organizaciones, estableciendo un régimen de protección aplicable a todos los Estados adscritos a la UE, directamente, sin transposición de ésta norma en y por cada uno de los Estados.
El Reglamento concede un plazo de dos años desde su entrada en vigencia para que se adapten a sus prescripciones quienes traten o hagan circular datos personales de personas físicas y las Comisiones, Agencias o Direcciones de protección de datos, hasta el 25 de mayo de 2018.
Una de las principales novedades del RGPD es la ampliación de su ámbito de aplicabilidad, hasta terceros países, resultando fundamental en la normativa peruana identificar, prever aquellos aspectos a tener en cuenta como las probables implicancias en las diferentes personas, empresas y organizaciones, antes de la fecha límite.
ÁMBITOS
El RGPD consagra dos artículos al ámbito de aplicación: el artículo 2, relativo al ámbito de aplicación material, y el artículo 3, al ámbito territorial.
A. Ámbito de aplicación material.
El artículo 2 del Reglamento confirma lo establecido en la Directiva Europea 95/46/CE que derogó:
1. El mismo que se aplica:
a) al tratamiento automatizado de datos personales (total o parcialmente), así como,
b) al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. El presente Reglamento no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del Tratado de la Unión Europea, TUE 1;
1. TITULO V DISPOSICIONES GENERALES RELATIVAS A LA ACCIÓN
EXTERIOR DE LA UNIÓN Y DISPOSICIONES ESPECÍFICAS RELATIVAS A LA POLÍTICA
EXTERIOR Y DE SEGURIDAD COMÚN. CAPITULO 2 DISPOSICIONES ESPECÍFICAS SOBRE LA
POLÍTICA EXTERIOR Y DE SEGURIDAD COMÚN.
c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención 2.
2. Sobre el particular,
referirse a la: DIRECTIVA (UE) 2016/680 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de
27 de abril de 2016 relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales por parte de las autoridades competentes
para fines de prevención, investigación, detección o enjuiciamiento de
infracciones penales o de ejecución de sanciones penales, y a la libre
circulación de dichos datos y por la que se deroga la Decisión Marco
2008/977/JAI del Consejo
3. El Reglamento (CE) n.o 45/2001 3 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.o 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98 4.
3 REGLAMENTO (CE) No
45/2001 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 18 de
diciembre de 2000 relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales por las instituciones y los
organismos comunitarios y a la libre circulación de estos datos.
4 Artículo 98 Revisión de otros actos jurídicos de
la Unión en materia de protección de datos.
La Comisión presentará, si procede, propuestas legislativas para
modificar otros actos jurídicos de la Unión en materia de protección de datos
personales, a fin de garantizar la protección uniforme y coherente de las
personas físicas en relación con el tratamiento. Se tratará en particular de
las normas relativas a la protección de las personas físicas en lo que respecta
al tratamiento por parte de las instituciones, órganos, y organismos de la
Unión y a la libre circulación de tales datos.
4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE 5, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15 6.
5 Directiva 2000/31/CE del Parlamento Europeo y
del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos
de los servicios de la sociedad de la información, en particular el comercio
electrónico en el mercado interior (Directiva sobre el comercio electrónico)
B. Ámbito de aplicación Territorial.
El artículo 3 del Reglamento establece que éste:
1. Se aplica al tratamiento o circulación de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
2. Se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.
Esto supone que el Reglamento se aplica:
1) a los responsables o encargados de tratamiento o circulación de datos personales con establecimiento en la Unión, en el ámbito territorial de aplicación de la legislación europea;
2) a los responsables o encargados de tratamiento o circulación de datos personales de aquellos terceros países (Perú, por ejemplo) que traten o hagan circular datos de ciudadanos europeos, cuando estas se encuentren relacionadas:
a) a la oferta de bienes o servicios a dichos interesados en la Unión, o
b) al control de su comportamiento, cuando se realicen en el territorio de la Unión.
3) El Reglamento se aplica a un responsable no establecido en la Unión, sino en un lugar en que el derecho de los Estados miembros sea de aplicación en virtud del Derecho Internacional público.
CONCLUSIONES
A. A poco menos de 60 días por vencer el plazo de adaptación de dos años otorgado por el RGPD a las personas, empresas, organizaciones (25 de mayo de 2018), la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos del Perú debiera avocarse - si no lo ha hecho ya - a preparar un Proyecto de Adaptación y un Plan de contingencia sobre el ámbito de su aplicabilidad en el Perú.
B. Todas aquellas personas físicas, jurídicas (empresas, asociaciones, fundaciones,….) cuyos responsables o encargados en el Perú, traten o hagan circular datos personales de ciudadanos europeos miembros de la Unión, resultan ahora responsables, si incumplen las obligaciones y derechos que el RGPD dispone, en concordancia con el Derecho Internacional público y acorde con las normas peruanas.
C. Entre las acciones a privilegiar por A. y B. deberán acentuarse aquellas relativas a la identificación, revisión, análisis y adecuación normativa, de un lado; y de capacitación, sensibilización y talleres de simulación, por el otro; acorde con el principio de privacy by design, o privacidad por diseño recogido en el RGPD, mediante el cual las medidas de protección de datos personales se aplican desde el diseño del tratamiento, a fin de garantizar el cumplimiento de la normativa.
Para conocer cómo puede adaptar su empresa al RGPD tome contacto ya con el equipo del Estudio Jurídico FERREYROS&FERREYROS a través de Carlos Ferreyros a : cferreyros@hotmail.com o cferreyros@ferreyros-ferreyros.com
6 Sección 4: Responsabilidad de los
prestadores de servicios intermediarios
Artículo 12 Mera transmisión
1. Los Estados miembros garantizarán que,
en el caso de un servicio de la sociedad de la información que consista en
transmitir en una red de comunicaciones, datos facilitados por el destinatario
del servicio o en facilitar acceso a una red de comunicaciones, no se pueda
considerar al prestador de servicios de este tipo responsable de los datos
transmitidos, a condición de que el prestador de servicios:
a) no haya originado él mismo la
transmisión;
b) no seleccione al destinatario
de la transmisión; y
c) no seleccione ni modifique los
datos transmitidos.
2. Las actividades de transmisión y concesión de
acceso enumeradas en el apartado 1 engloban el almacenamiento automático,
provisional y transitorio de los datos transmitidos siempre que dicho
almacenamiento sirva exclusivamente para ejecutar la transmisión en la red de
comunicaciones y que su duración no supere el tiempo razonablemente necesario
para dicha transmisión.
3. El presente artículo no afectará a la posibilidad
de que un tribunal o una autoridad administrativa, de conformidad con los
sistemas jurídicos de los Estados miembros, exija al prestador de servicios que
ponga fin a una infracción o que la impida.
Artículo 13 Memoria tampón (Caching)
1. Los Estados miembros garantizarán que, cuando se
preste un servicio de la sociedad de la información consistente en transmitir
por una red de comunicaciones datos facilitados por el destinatario del
servicio, el prestador del servicio no pueda ser considerado responsable del
almacenamiento automático, provisional y temporal de esta información,
realizado con la única finalidad de hacer más eficaz la transmisión ulterior de
la información a otros destinatarios del servicio, a petición de éstos, a
condición de que:
a) el prestador de servicios no modifique la
información;
b) el prestador de servicios cumpla las condiciones de
acceso a la información;
c) el prestador de servicios cumpla las normas
relativas a la actualización de la información, especificadas de manera
ampliamente reconocida y utilizada por el sector;
d) el prestador de servicios no interfiera en la
utilización lícita de tecnología ampliamente reconocida y utilizada por el
sector, con el fin de obtener datos sobre la utilización de la información; y
e) el prestador de servicios actúe con prontitud para
retirar la información que haya almacenado, o hacer que el acceso a ella será
imposible, en cuanto tenga conocimiento efectivo del hecho de que la
información ha sido retirada del lugar de la red en que se encontraba
inicialmente, de que se ha imposibilitado el acceso a dicha información o de
que un tribunal o una autoridad administrativa ha ordenado retirarla o impedir
que se acceda a ella.
2. El presente artículo no afectará a la posibilidad
de que un tribunal o una autoridad administrativa, de conformidad con los
sistemas jurídicos de los Estados miembros, exija al prestador de servicios
poner fin a una infracción o impedirla.
Artículo 14 Alojamiento de datos
1. Los Estados miembros garantizarán que, cuando se
preste un servicio de la sociedad de la información consistente en almacenar
datos facilitados por el destinatario del servicio, el prestador de servicios
no pueda ser considerado responsable de los datos almacenados a petición del
destinatario, a condición de que:
a) el prestador de servicios no tenga conocimiento
efectivo de que la actividad a la información es ilícita y, en lo que se
refiere a una acción por daños y perjuicios, no tenga conocimiento de hechos o
circunstancias por los que la actividad o la información revele su carácter
ilícito, o de que,
b) en cuanto tenga conocimiento de estos puntos, el
prestador de servicios actúe con prontitud para retirar los datos o hacer que
el acceso a ellos sea imposible.
2. El apartado 1 no se aplicará cuando el destinatario
del servicio actúe bajo la autoridad o control del prestador de servicios.
3. El presente artículo no afectará la posibilidad de
que un tribunal o una autoridad administrativa, de conformidad con los sistemas
jurídicos de los Estados miembros, exijan al prestador de servicios de poner
fin a una infracción o impedirla, ni a la posibilidad de que los Estados
miembros establezcan procedimientos por los que se rija la retirada de datos o
impida el acceso a ellos.
Artículo 15 Inexistencia de obligación general de
supervisión
1. Los Estados miembros no impondrán a los prestadores
de servicios una obligación general de supervisar los datos que transmitan o
almacenen, ni una obligación general de realizar búsquedas activas de hechos o
circunstancias que indiquen actividades ilícitas, respecto de los servicios
contemplados en los artículos 12, 13 y 14.
2. Los Estados miembros podrán establecer obligaciones
tendentes a que los prestadores de servicios de la sociedad de la información
comuniquen con prontitud a las autoridades públicas competentes los presuntos
datos ilícitos o las actividades ilícitas llevadas a cabo por destinatarios de
su servicio o la obligación de comunicar a las autoridades competentes, a solicitud
de éstas, información que les permita identificar a los destinatarios de su
servicio con los que hayan celebrado acuerdos de almacenamiento.
No hay comentarios:
Publicar un comentario