Carlos A. FERREYROS SOTO
Doctor en Derecho
El veinticinco de mayo próximo, en
dos semanas, entrará en vigor el Reglamento Europeo de Protección de Datos Personales,
RGPD, y sus disposiciones serán obligatorias y aplicables a cerca de 512 millones de ciudadanos de la Unión Europea. El
RGPD puede representar un profundo cambio en el enfoque de la protección de los
datos personales en Europa, por varias variadas razones, específicamente, por
los nuevos derechos y deberes que constituyen,
las áreas que involucra y las sanciones que impone[1]
1. Derechos y deberes
El Reglamento General se
caracteriza porque distingue entre derechos y deberes, especialmente, asigna múltiples
derechos al individuo y vastos deberes a las empresas, administraciones o instituciones,
sujetas a ello.
Derechos. La lista de los derechos de
las personas naturales se amplia. Además de los llamados derechos ARCO en la normativa española y peruana: Derechos
de Acceso, Rectificación, Cancelación
y Oposición, se suman el derecho al
olvido, derecho al borrado, derecho al error, derecho a la transparencia,
derecho a saber, derecho a ser comunicado, derecho al desreferenciamiento,
derecho a la portabilidad, derecho a la conservación, derecho a la
transferencia. Además, el preámbulo del Reglamento precisa que la protección de
los datos personales constituye un "derecho fundamental".
Obligaciones. Las empresas, administraciones o instituciones, por otro lado, tiene
extensos deberes y obligaciones: deber de no evaluación, obligación de no perfilamiento,
deber de trato equitativo y transparente, obligación de adoptar normas internas
e implementar medidas que respeten la protección, obligación de designar a un
representante responsable del tratamiento, obligación de redactar un contrato u
otro acto jurídico, obligación de llevar registros, obligación de llevar a cabo
una evaluación de impacto, deber de notificar a la autoridad de control en el más breve plazo, a más tardar, dentro
de las setentidós ( 72) horas siguientes al tratamiento.
2. Áreas concernidas
El RGPD involucra tanto a las áreas
de recursos humanos, informática como el área jurídica. La primera deberá
intervenir para identificar qué datos personales deben protegerse, la segunda
deberá poner en marcha un buen y estandarizado tratamiento de esos datos y la
tercera se encargará de asegurar su protección legal. La figura de la designación
de un "Oficial de Protección de Datos" (DPO), se revela como una
necesidad, cada día más crítica para implementar, administrar y coordinar la aplicación
del RGPD.
Los desafíos planteados por el
RGPD son considerables, especialmente para las PYMES con más de 250 empleados,
umbral a partir del cual se impone la versión "dura" del RGPD a los
sujetos pasivos, pero también a las empresas de menos de 250 personas sujetas también
a la versión "ligera", especialmente. A diferencia de los grandes grupos,
ellas disponen de pocos recursos técnicos y humanos para aplicar los nuevos
estándares RGPD.
3. Sanciones
Las sanciones por incumplimiento
del RGPD son severas, pueden representar el cuatro por ciento (4%) de los
ingresos de la entidad sancionada, o 20 millones de euros. Cantidad equivalente
al 4% de una facturación de 500 millones, que representa mucho dinero, pero muy
inferior a los ingresos de Google en 2016 (79 mil millones), Amazon (130 mil
millones) o Apple (215 mil millones). ¡Una multa del 4% de la facturación de
Apple representaría $ 8.6 mil millones![2]
El RGPD es más rigurosa que las famosas leyes de protección de datos personales transpuestas en Europa por la Directiva 95/46/UE - e indirectamente en América Latina - que este Reglamento deroga, cuyo principio trascendente fue el registro de personas físicas, y su excepción, las consecuencias "colaterales" de la actividad informática. El nuevo panorama europeo de libertades, informática y seguridad se verá completamente trastornado a fines de este mes de mayo por el citado Reglamento. Hasta ahora, desconocemos cual será el nivel de aceptación o de rechazo que esta norma tendrá en su adecuación y aplicación.
El RGPD es más rigurosa que las famosas leyes de protección de datos personales transpuestas en Europa por la Directiva 95/46/UE - e indirectamente en América Latina - que este Reglamento deroga, cuyo principio trascendente fue el registro de personas físicas, y su excepción, las consecuencias "colaterales" de la actividad informática. El nuevo panorama europeo de libertades, informática y seguridad se verá completamente trastornado a fines de este mes de mayo por el citado Reglamento. Hasta ahora, desconocemos cual será el nivel de aceptación o de rechazo que esta norma tendrá en su adecuación y aplicación.
Finalmente, el nuevo Reglamento a diferencia de
la Directiva 95/46/UE será de aplicación directa, en cada país
europeo adherente a la Unión, sin que sea necesario ningún trámite previo de transposición,
adaptación. Traduciéndose en normativa interna de cada país, desde el
momento de su entrada en vigor.
En los países no adherentes a la Unión
Europea, pero cuyo ámbito de aplicación del Reglamento pudiera alcanzarlos, se regirán
por los artículos 2 y 3 de éste. Obviamente, ello supone otras adaptaciones
de sus normativas internas, vinculadas a la protección de los datos personales,
transparencia e información pública.
Una Conferencia
y un Taller sobre el "RGPD y sus Implicancias para las instituciones y empresas
en el Perú" han sido previstos para el mes de setiembre en Lima.
[1] Este artículo es una ampliación de uno anterior, denominado: "Ámbito de Aplicación del RGPD", de abril 2018, ubicable en http://derecho-ntic.blogspot.fr/2018/04/ambito-de-aplicacion-del-reglamento.html.
No hay comentarios:
Publicar un comentario