Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Université de Montpellier I Francia.
M. Sc. Institut Agronomique Méditerranéen
cferreyros@hotmail.com
Esta surgiendo un conflicto entre la ley y la tecnología?, cuyo contenido
y enlace incluyo al final - el argumento se plantea como conjunción
de colaboración o no, entre el Reglamento General de Datos Personales, RGPD y la tecnología de Blockchain, cuando en realidad los dos
conceptos y sus significados corresponden a finalidades y alcances distintos, como a
criterios jurídicos de
extraterritorialidad y niveles jerárquicos diferentes. Veamos.
1. Diferentes Finalidades y Alcances:
a. a. RGPD Finalidad.
El
Reglamento de la Unión Europea UE
2016/679 del 27 abril 2016, o RGPD
- GDRP por sus siglas en ingles - es una norma de derecho, que
tiene por finalidad mejorar, profundizar la normatividad
prevista en la Directiva 95/46/CE que deroga, relativa a la protección de los
datos personales. Así mismo, el
RGPD intenta armonizar el fragmentado marco jurídico de protección de datos
personales en el Espacio Económico Europeo (EEE); incrementar la confianza en
la economía digital y garantizar el derecho a la vida privada del consumidor. La finalidad del tratamiento debe ser
determinada en virtud del derecho de la Unión o de los Estados Miembros, según
el Considerando (45) del RGPD.[1]
a.b. RGPD Alcance.
El
RGPD, resulta entonces una norma de derecho de doble fuente, la misma que
regula los derechos de las personas físicas, ciudadanos europeos, en lo
concerniente a su privacidad y/o intimidad, de las amenazas o violaciones de
personas físicas o jurídicas, no solo en el territorio de la Unión sino en cualquier lugar y por cualquier persona que realice
el tratamiento de esos datos[2].
Recordemos
que el derecho objetivo consiste en el conjunto de reglas abstractas que regulan
la conducta de las personas en la sociedad; reglas que sancionan a la
persona física o jurídica en los casos de amenazas o violaciones de los
derechos y libertades de estás.
El
punto de inicio del derecho es ese: las reglas promulgadas, publicadas,
sancionadas y deben obedecerse de manera ineludible, a la vez que las diversas
autoridades deben garantizar su ejecución y sanción.
b.a. Blockchain Finalidad.
El Blockchain no
es una norma de derecho sino una tecnología que tiene por finalidad la mayor eficiencia, transparencia y
seguridad de los procesos, tratamiento,
conservación y transferencia de datos, merced a altos estándares de codificación y de estructuración
de datos. El Blockchain fue
definida por The Economist como : una base de datos distribuida que mantiene un listado
de registros, o bloques.
b.b. Blockchain Alcance.
El alcance de toda tecnología no es la regulación social, sino el
incremento de la producción y/o productividad de los bienes y servicios que
dispensa a nivel global. El alcance de la tecnología del Blockchain es
de porte mundial pero limitada - actualmente - por sus propias características
o por aquellas limitaciones que le imponen algunos sectores de actividades, entre estos el
derecho o la justicia.
2. Extraterritorialidad y Diferentes Niveles
Jerárquicos
EL RGPD plantea un concepto jurídico: la extraterritorialidad de
la jurisdicción y competencia europea, no circunscrita a las fronteras de
la UE; tanto en el tratamiento de los datos, como la transferencia
de los mismos. En consecuencia, la Comisión
Europea puede decidir, con efectos para toda la Unión, si un tercer país, un
territorio o un sector específico de un tercer país, o una organización
internacional o empresa ofrece un nivel de protección de datos adecuado,
aportando de esta forma en toda la Unión seguridad y uniformidad jurídicas en
lo que se refiere al tercer país u organización internacional que se considera
ofrece tal nivel de protección.
Consecuentemente, un tercer país, un territorio o un sector específico
de un tercer país, o una organización internacional o empresa ubicada fuera del territorio de la UE
que reciba propuestas por Internet de portales ubicados en la UE, suministre bienes o servicios a personas u otras empresas localizadas en la UE, tendrá que
implementar las medidas técnicas, organizativas y legales necesarias para el
cumplimiento de lo establecido en el RGPD, entre estas obviamente las referidas al Blockchain.
Los diferentes niveles jerárquicos se
traducen por el hecho que la tecnología del Blockchain debe
someterse al RGPD. En efecto, entre las medidas técnicas para el cumplimiento
del RGPD se encuentra el de recurrir a la tecnología de Blcokchain,
siempre y cuando esta pueda ser adaptable o evolucione de tal manera que cumpla
con los principios y finalidades expresados en el RGPD, particularmente, en lo
relativo al marco jurídico general de protección de datos personales en el
Espacio Económico Europeo (EEE); incremento de la confianza en la economía
digital y garantía del derecho a la vida privada del consumidor. La otra
alternativa improbable es que puedan variar los principios y derechos que rigen el RGPD y pueda recurrirse entonces a la tecnología Blockchain, sin modificar sus caracteristicas.
Una segunda interrogante para las empresas que utilizan
o pretenden utilizar el Blockchain y se encuentren trabajando
o planeando hacer negocios en Europa o utilizando los datos personales de
ciudadanos europeos, es sí la tecnología del Blockchain respeta el principio de ‘Privacy by Design', u obligación de las personas y
empresas de satisfacer los aspectos técnicos, organizativos y legales de seguridad
de los datos personales, en el tratamiento, conservación, transferencia de
datos personales, acordes con las normas de privacidad e intimidad en el
diseño de sus aplicativos, programas informáticos o bases de datos. El
artículo 25 del RGPD "Protección de datos desde el diseño y por
defecto", establece ese principio. el mismo que entraña la protección de
datos desde el diseño de los proyectos relacionados con el tratamiento de
datos, a fin de minimizar el riesgo de incumplimiento del RGPD, vigente desde
el 25 de mayo de 2018. Complementariamente, el mismo principio, permite de
implementar medidas preventivas para limitar los riesgos de sanciones, por la
colecta de datos personales sin propósito legítimo, o supresión de datos
personales de archivos si no hay razones para conservarlos.[3]
Entre algunas de las medidas de protección del RGPD:
seudonimización, garantía de derecho al olvido o certificación de cumplimiento
de derechos, el Blockchain deberá probar - como afirma el
autor del artículo - que constituye una tecnología capaz de adaptarse o
evolucionar a fin de contribuir al respeto de las normas de protección de
datos personales y a su seguridad.
Una última reflexión: explícitamente el artículo al
que nos hemos referido plantea la paradoja de si estamos ante el surgimiento
de un supuesto conflicto entre la ley y la tecnología? Obviamente que sí.
pero ello pudiera ser motivo de análisis en otro aparte, en el que puedan exponerse otras complejas y
transversales argumentaciones. Para el alcance de este apartado, basta con enunciar
solo una premisa como ejemplo: los tiempos de la acción de la ciencia jurídica en relación
a la tecnología NO son los mismos. Dependen fundamentalmente de los modelos
sociales a los cuales se aplican.
En el modelo social liberal predominante, las tecnologías, y particularmente, las tecnologías NBIC actuales[4] - entre ellas las tecnologías de la Información y las Ciencias Cognitivas y las innovaciones vinculadas a éstas, representan su mayor sustento en la llamada Sociedad de la Información y del Conocimiento - en la que el derecho puede resultar un freno en la búsqueda de mayor productividad o rentabilidad económica, o de lentitud en las tasas de retorno sobre inversión. Y la tentación existe, de forzar la orientación normativa - un ejemplo claro es la tendencia a la patentabilidad de los programas informáticos en lugar de continuar su regulación por el derecho de autor, regulado en menores tiempos de protección y liberados del derechos moral de sus titulares - o adaptar o hacer evolucionar las tecnologías para ajustarlas al derecho, y de preferencia a aquel de menor protección. En cualquier de los casos, la interrogante mayor es si una u otra tendencia, sirve mejor al Modelo de Sociedad que tiene por fin supremo la defensa de la persona humana y el respeto de su dignidad, como reza el Artículo 1 de la Constitución peruana vigente? Hacer involucionar los derechos de protección la persona humana para adaptarlos a las tecnologías, adaptar o hacer evolucionar la tecnología para adaptarse al Derecho, tal es el dilema? Visto de otra manera: estamos frente, por la tecnología y el Modelo Social, a la mercantilización de los atributos humanos o de la personalidad a futuro? Asistimos a una forma de transhumanismo? Cuáles son los límites?
En el modelo social liberal predominante, las tecnologías, y particularmente, las tecnologías NBIC actuales[4] - entre ellas las tecnologías de la Información y las Ciencias Cognitivas y las innovaciones vinculadas a éstas, representan su mayor sustento en la llamada Sociedad de la Información y del Conocimiento - en la que el derecho puede resultar un freno en la búsqueda de mayor productividad o rentabilidad económica, o de lentitud en las tasas de retorno sobre inversión. Y la tentación existe, de forzar la orientación normativa - un ejemplo claro es la tendencia a la patentabilidad de los programas informáticos en lugar de continuar su regulación por el derecho de autor, regulado en menores tiempos de protección y liberados del derechos moral de sus titulares - o adaptar o hacer evolucionar las tecnologías para ajustarlas al derecho, y de preferencia a aquel de menor protección. En cualquier de los casos, la interrogante mayor es si una u otra tendencia, sirve mejor al Modelo de Sociedad que tiene por fin supremo la defensa de la persona humana y el respeto de su dignidad, como reza el Artículo 1 de la Constitución peruana vigente? Hacer involucionar los derechos de protección la persona humana para adaptarlos a las tecnologías, adaptar o hacer evolucionar la tecnología para adaptarse al Derecho, tal es el dilema? Visto de otra manera: estamos frente, por la tecnología y el Modelo Social, a la mercantilización de los atributos humanos o de la personalidad a futuro? Asistimos a una forma de transhumanismo? Cuáles son los límites?
Francia, Invierno 2019
Carlos FERREYROS
Estudio Jurídico Ferreyros&Ferreyros
Calle Cuarenta 190 – San Isidro
Teléfono: 226 0325
cferreyros@ferreyros-ferreyros.com
ANEXO 1
Paradoja Blockchain
RGPD: ¿Está surgiendo un conflicto entre la ley y la tecnología?
https://101blockchains.com/es/blockchain-rgpd/
Desde que el
Reglamento General de Protección de Datos (RGPD) se convirtió en ley el 25 de
mayo de 2018, hay un creciente debate entre los expertos en tecnología sobre
cómo afectará a Blockchain, que actualmente es una de las tecnologías de
desarrollo más rápida del mundo. De hecho, el debate es más sobre cómo
encontrar una forma en la que blockchain gire alrededor del RGPD, o cómo
hacerlo compatible con RGPD.
RGPD o es una
nueva ley que protege la seguridad de los datos y promueve un mayor control
sobre la información y los datos individuales de las persona en plataformas
digitales. Blockchain, por otro lado, es una tecnología que desarrolla un
registro de transacciones inmutables.
El punto aquí
es, ¿por qué hay un debate al respecto? ¿Cuál es la conexión entre Blockchain y
RGPD? El problema aquí es que, si lees sobre RGPD, podrás ver que este
contradice a blockchain.
Por ejemplo,
RGPD otorga a cada individuo el derecho a decidir sobre su información personal
y sus datos personales, si desean editarlos o eliminarlos. Por otro lado,
blockchain es un registro inmutable, que garantiza que los datos disponibles
sean visibles para todos y no se puedan eliminar.
Paradoja BLOCKCHAIN
RGPD Explicada – Infografía
¿Que es RGPD?
RGPD es un
Reglamento general de protección de datos que fue recientemente adoptado por la
Unión Europea (UE) como ley. El principal objetivo de esta ley es atender la
necesidad de privacidad de datos personales de las personas (ciudadanos de la
UE).
Esta ley otorga
ciertos derechos a los usuarios, que incluyen:
§
El derecho a ser
olvidado.
§
El
derecho a la portabilidad de datos.
§
Derecho
a acceder a la información relacionada contigo.
§
El
derecho a hacer que las empresas editen / corrijan / cambien los datos sobre
ti.
Esta ley le da
a las personas el control de la información personal que poseen las compañías
sobre él o ella en lugar de a la compañía que la posee. De esta manera,
las empresas ya no tendrán ningún control sobre la información personal del
usuario.
Según los
expertos de la industria, RGPD tendrá un impacto significativo en la industria
de la tecnología.
Según la IAPP (Asociación Internacional de Profesionales de
la Privacidad), creará más de 75,000 DPO(Delegado de
Protección de Datos) en la industria de la privacidad.
El mismo
informe también estima que las compañías más prominentes, como las compañías mencionadas
por Fortune 500, gastarán
alrededor de USD 8,000 millones para asegurarse de que su negocio cumpla con el
RGPD.
¿Qué quiere
decir esto? Que las empresas tecnológicas lo están tomando en serio y que
quieren cumplir con la ley. La UE puede imponer multas elevadas si las empresas
no cumplen con las regulaciones de RGPD.
Pero, ¿es
posible que estas compañías usen blockchain y sigan cumpliendo con el RGPD?
Exploraremos la
respuesta en las siguientes secciones.
Nota: Incluso
cuando RGPD es una ley aprobada solo por la UE, no se limita a las empresas con
sede en la UE. Cualquier compañía que utilice los datos personales de un
ciudadano de la UE para proporcionar servicios también cae dentro del dominio
de RGPD.
¿Por qué RGPD y
Blockchain se contradicen entre sí? La paradoja Blockchain GDPR
Blockchain es
un registro inmutable, esto significa que no se puede cambiar. Sin embargo,
RGPD es una ley que permite a las personas cambiar cualquier información
personal si así lo desean. Esto es lo que llamamos un “conflicto” o
“contradicción”.
Esta es
exactamente la razón por la que hay tanto debate sobre los efectos de RGPD en
blockchain, y si RGPD puede causar serios obstáculos al rápido crecimiento de blockchain.
Necesitamos
tener una cosa en mente. Cuando RGPD se redactó inicialmente en 2012, fue
diseñado para redes sociales y servicios en la nube para garantizar que los
usuarios tengan control sobre el uso de su información personal en estas plataformas.
Esto significa
que blockchain no es un objetivo principal de la nueva ley. Sin embargo, como
blockchain almacena datos personales así como también el historial de
transacciones personales, ahora está dentro del dominio de RGPD y de todas las
leyes aplicables en el marco legal de RGPD.
Esto puede
obligar a las empresas a reevaluar si la blockchain que planean adoptar en un
futuro próximo cumple con el RGPD.
El problema
aquí es que, incluso si RGPD encuentra una blockchain que contradice la ley, ¿a
quién culparán los auditores de protección de datos en un sistema completamente
descentralizado?
This makes the connection between RGPD and blockchain a little tricky.
Este conflicto
hace que la conexión entre RGPD y blockchain sea un poco complicada.
¿Puede RGPD evitar
que Blockchain sea aceptado?
Bueno, este es
el tema de un feroz debate hoy en día. Pero los usuarios de blockchain no
tienen que preocuparse. La opinión popular es que blockchain puede facilitar
que las compañías cumplan con las leyes RGPD.
Esto se debe a
que RGPD tiene el único propósito de asegurarse de que las empresas y los
gigantes tecnológicos manejen la información relacionada con los usuarios de la
manera más transparente y estructurada posible. Y cuando se trata de la
transparencia de datos, blockchain ofrece exactamente lo mismo.
De hecho, hay
mucho más en común entre RGPD y blockchain. Tanto la tecnología como la ley se
centran en lo mismo, descentralizar el control de datos.
No obstante,
todavía hay muchas preguntas y respuestas, con muchos temas abiertos al debate
legal.
¿Puede RGPD evitar que blockchain sea aceptado? Parece muy poco probable ya que la
tecnología de blockchain está evolucionando, y lo más probable es que
evolucione alrededor de RGPD.
Ya hay personas
trabajando en teorías y métodos que pueden ayudar a blockchain a evitar el
conflicto con los derechos de protección de datos, que analizaremos en detalle
en una de las siguientes secciones.
Sin embargo,
así como hay muchos optimistas en la industria de la tecnología que creen que
blockchain encontrará su camino alrededor del RGPD, también hay algunos
pesimistas.
Por ejemplo,
David Gerard, un escritor popular en tecnologías blockchain, afirma que
blockchain ya no se puede usar para datos personales bajo las regulaciones de
RGPD.
Afortunadamente,
lo que David Gerard cree no es una opinión popular. La mayoría de los expertos
en tecnología concuerdan que blockchain necesita nuevas formas, un enfoque
mejor e innovador, y diferentes aplicaciones y componentes que pueden ayudar a
que blockchain cumpla con las regulaciones de RGPD.
Blockchain y el
derecho a ser olvidado
RGPD y
blockchain van de la mano cuando se trata de estructurar mejor la información
personal de los usuarios. Sin embargo, hay un conflicto fundamental entre los
dos: el derecho a ser olvidado.
Este derecho
bajo el marco legal de RGPD permite a los usuarios solicitar a las
organizaciones que eliminen todos sus datos personales. Sin embargo, blockchain
es inmutable, lo que significa que no puede editar ni eliminar ninguna
información una vez que se agrega a la blockchain.
Bueno, los
expertos en tecnología creen que hay múltiples soluciones que pueden encargarse
del problema.
Primero,
blockchain puede cifrar la información personal de cada usuario. Esto significa
que cuando el usuario solicita eliminar información personal, olvidar o
eliminar; la clave de cifrado hará que los datos sean inaccesibles. En el caso
de blockchain, la inaccesibilidad significa que los datos ya no están
disponibles y estos no son recuperables.
Para algunos
expertos, esto equivale a la eliminación, como en el caso de la Ley de
Protección de Datos del Reino Unido. No obstante, esto puede estar abierto al
debate legal, ya que hay formas, como la computación cuántica, que pueden
romper el cifrado.
¿Es posible eliminar
datos de una blockchain abierta?
En teoría, lo
es. Sin embargo, los datos de la blockchain están disponibles en tantas
máquinas (nodos) en la red, que es casi imposible solicitar a cada máquina que
elimine los datos. Esto es exactamente por lo que lo llamamos “registro
inmutable”.
Además, si se
eliminan los datos de una red abierta, se rompería la cadena, lo que haría que
toda la blockchain sea inútil.
Sin embargo,
también hay un proceso de “bifurcación (forking en inglés)”. En este
método, los nodos cambian los datos almacenados al pasar a la nueva versión de
la blockchain. En este proceso, se pueden eliminar los datos de un bloque
anterior, pero se rompen los punteros de hash entre los bloques. Luego, la
blockchain necesita rehacer los bloques actualizando los enlaces. A esto se le
llama “bifurcación”, o proceso
para pasar a una nueva versión de blockchain.
No obstante,
esto es posible y más fácil de hacer en un sistema cercano, con un número
limitado de máquinas locales o nodos donde la información está disponible. En
un sistema abierto, es casi imposible volver a vincular cada nodo. Además,
existe la necesidad de utilizar la Proof-of-Work en una blockchain pública lo
que complica el proceso. Este no es el caso con una blockchain privada.
Pero esto hace
que muchas personas cuestionen la naturaleza descentralizada de blockchain, ya
que al ser una blockchain privada esta es centraliza. Aunque esto es cierto, sigue
siendo una de las mejores opciones posibles para eliminar datos personales de
blockchain.
Blockchain GDPR
Compatibilidad
En su forma
actual, blockchain no es compatible con RGPD. Una información almacenada en una
red abierta es imposible de eliminar, lo que significa que no puede otorgar a
los usuarios el derecho de eliminar o editar su información.
Muchas personas
creen que usar una blockchain que utiliza datos completamente anónimos es la
mejor forma de evitar o cumplir con el RGPD. Sin embargo, las blockchain con el
anonimato del cliente son en su mayoría inútiles para las empresas.
En segundo
lugar, las empresas también tienen que mantener las identidades de los clientes
bajo dos leyes diferentes de la UE, la Ley contra el lavado de dinero (Anti-Money-Laundering)
y la Ley de conoce a tu cliente (Know Your Customer).
También puede
leer sobre cómo adopta
blockchain a KYC y AML en uno de nuestros
artículos anteriores.
Sin embargo,
los expertos creen que crear una blockchain privada, en lugar de una blockchain
abierta puede hacer que sea compatible con RGPD. El sistema privado o
autorizado, también llamado sistema cerrado, no utiliza nodos abiertos para
guardar los datos. En su lugar, mantienen la información almacenada en las
máquinas locales. De esta manera, es más fácil eliminar información por
solicitud de alguien.
Blockchain GDPR
Soluciones
Ya hemos
discutido una solución, hacer que los datos sean inaccesibles puede ayudar a
cumplir con las regulaciones de RGPD. Cuando alguien quiera que se eliminen sus
datos, haga que sean inaccesible mediante el cifrado.
En este caso,
blockchain almacena la entrada cifrada o el texto cifrado, con su par de claves
guardadas fuera de la blockchain. Cuando alguien pide que se elimine su
información, puede eliminar la clave, lo que hace que los datos sean
inaccesibles.
Muchos expertos
en tecnología llaman a este proceso CRAB, que es una alternativa al término
CRUD. CRUD es un término para bases de datos tradicionales que significa Crear
– Leer – Actualizar – Eliminar. Estas son las operaciones de una base de datos.
El término CRAB
significa Crear – Recuperar – Anexar – Quemar. Quemar aquí es el proceso de
eliminación de la clave de cifrado. De esta manera, simplemente se quema la
información.
También hay
soluciones más innovadoras para resolver el conflicto blockchain RGPD .
Otra solución
es mantener la información personal “fuera de la cadena”, en lugar de “en la
cadena”. Como la información de la blockchain está disponible en una red
abierta o “en la cadena”, eliminar y editar la información es casi imposible.
We have also discussed another solution, developing a closed blockchain. In
closed or permission-based blockchain, the information is stored on local
machines or rented cloud storage. This way it is
comparatively easier to delete the personal data on user’s request using the
method called forking.
También hemos
discutido otra solución, el desarrollando de una blockchain cerrada. En una
blockchain cerrada o basada en permisos, la información se almacena en las
máquinas locales o en el almacenamiento en la nube alquilado. De esta manera,
es comparativamente más fácil eliminar los datos personales a solicitud del
usuario utilizando el método llamado forking (bifurcación).
Palabras finales
RGPD y
Blockchain vienen con sus propios beneficios para los usuarios finales y
garantizan la protección de datos. No obstante, el derecho a ser olvidado bajo
las regulaciones de RGPD pone a la nueva ley en conflicto directo con la
tecnología de blockchain.
La buena
noticia es que hay maneras de mantener blockchain compatible con RGPD. Todo lo
que necesitamos es tener un pensamiento creativo, enfoque innovador y nuevas
aplicaciones que puedan evitar conflictos con RGPD. Aunque una blockchain
cerrada es una buena forma de garantizar el cumplimiento de la ley, estás
blockchains no son muy útiles para las aplicaciones empresariales a gran
escala.
Aunque, para
desarrollar blockchains abiertas, que son más útiles para las empresas, los
expertos están trabajando en soluciones más inmediatas, como las reglas de red
de enlace que pueden hacer que las redes de blockchain abiertas sean
compatibles con RGPD.
However, a lot is still not clear and needs a legal debate. To come up with a better solution for companies that are now hesitant to
use blockchain in fear of GDPR, a more concrete solution is needed. Tech
experts, business managers, and
lawyers need to sit together to find a way to
overcome the legal challenges blockchain now faces.
Sin embargo, no
todo está claro y necesita un debate legal. Para encontrar una mejor solución
para las empresas que ahora dudan en usar blockchain por temor a RGPD, se
necesita una solución más concreta. Los expertos en tecnología, los gerentes de
negocios y los abogados deben sentarse juntos para encontrar una manera de
superar los desafíos legales que ahora enfrenta blockchain.
Para más información:
https://thenextweb.com/syndication/2018/07/26/gdpr-blockchain-cryptocurrency/
[1] (45) La finalidad del
tratamiento también debe determinase en virtud del Derecho de la Unión o de los
Estados miembros. Además, dicha norma podría especificar las condiciones
generales del presente Reglamento por las que se rige la licitud del
tratamiento de datos personales, establecer especificaciones para la
determinación del responsable del tratamiento, el tipo de datos personales
objeto de tratamiento, los interesados afectados, las entidades a las que se
pueden comunicar los datos personales, las limitaciones de la finalidad, el
plazo de conservación de los datos y otras medidas para garantizar un
tratamiento lícito y leal. Debe determinarse también en virtud del Derecho de
la Unión o de los Estados miembros si el responsable del tratamiento que
realiza una misión en interés público o en el ejercicio de poderes públicos
debe ser una autoridad pública u otra persona física o jurídica de Derecho
público, o, cuando se haga en interés público, incluidos fines sanitarios como
la salud pública, la protección social y la gestión de los servicios de
sanidad, de Derecho privado, como una asociación profesional.
1. El
presente Reglamento se aplica al tratamiento de datos personales en el contexto
de las actividades de un establecimiento del responsable o del encargado en la
Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
2. El
presente Reglamento se aplica al tratamiento de datos personales de interesados
que residan en la Unión por parte de un responsable o encargado no establecido
en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o
servicios a dichos interesados en la Unión, independientemente de si a estos se
les requiere su pago, o
b) el control de su
comportamiento, en la medida en que este tenga lugar en la Unión..
El presente Reglamento se aplica al tratamiento de datos personales por parte
de un responsable que no esté establecido en la Unión sino en un lugar en que
el Derecho de los Estados miembros sea de aplicación en virtud del Derecho
internacional público
1. Teniendo en cuenta el estado de la
técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines
del tratamiento, así como los riesgos de diversa probabilidad y gravedad que
entraña el tratamiento para los derechos y libertades de las personas físicas,
el responsable del tratamiento aplicará, tanto en el momento de determinar los
medios de tratamiento como en el momento del propio tratamiento, medidas
técnicas y organizativas apropiadas, como la seudonimización, concebidas para
aplicar de forma efectiva los principios de protección de datos, como la
minimización de datos, e integrar las garantías necesarias en el tratamiento, a
fin de cumplir los requisitos del presente Reglamento y proteger los derechos
de los interesados.
2. El responsable del tratamiento
aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar
que, por defecto, solo sean objeto de tratamiento los datos personales que sean
necesarios para cada uno de los fines específicos del tratamiento. Esta
obligación se aplicará a la cantidad de datos personales recogidos, a la
extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.
Tales medidas garantizarán en particular que, por defecto, los datos personales
no sean accesibles, sin la intervención de la persona, a un número indeterminado
de personas físicas.
3. Podrá utilizarse un mecanismo de
certificación aprobado con arreglo al artículo 42 como elemento que
acredite el cumplimiento de las obligaciones establecidas en los
apartados 1 y 2 del presente artículo.
No hay comentarios:
Publicar un comentario