22 octubre, 2018

El RGDP y tres consejos prácticos para determinar si aplica a su PYME

Es muy probable que a lo largo del presente año hubieran recibido y, quizás, también leído, varios correos electrónicos que se han transmitido con noticias, solicitudes de autorización de tratamientos de datos personales y declaraciones tales como: “Nos preocupamos por su privacidad”. Es posible que, así mismo, hubieran recibido decenas de emails con “avisos importantes”, […]

Es muy probable que a lo largo del presente año hubieran recibido y, quizás, también leído, varios correos electrónicos que se han transmitido con noticias, solicitudes de autorización de tratamientos de datos personales y declaraciones tales como: “Nos preocupamos por su privacidad”. Es posible que, así mismo, hubieran recibido decenas de emails con “avisos importantes”, “revisión de políticas” o “actualizaciones de privacidad”. Todos estos mensajes se relacionan con el Reglamento General de Protección de Datos (RGDP) vigente en la Unión Europea (UE) desde el 25 de mayo de 2018. No obstante, al revisar esos correos electrónicos no todos parecen ser compatibles con los requisitos dispuestos en el RGDP y, de hecho, la mayoría de ellos no han logrado el requisito de “simplificación” del Reglamento, el cual fue uno de los muchos objetivos que se determinó en éste. Es más, los correos electrónicos con material excesivo y escritos en abundante “jerga legal” (lenguaje técnico-jurídico), no permiten que el consentimiento sea informado para la mayoría del público, debido al lenguaje extremadamente complejo utilizado.

Es por ello que, si bien se ha hablado bastante desde el punto de vista del usuario persona natural respecto de los derechos e implicaciones que tales cambios generan, debemos preguntarnos ¿Qué pasa con la PYMES colombianas? ¿Cómo repercute la implementación del RGDP en aquellas PYMES que proveen productos o servicios, a distancia o no, a consumidores ubicados dentro de la UE?

Es esta la razón por la que queremos proporcionarles un útil y sencillo panorama de los aspectos más importantes para las Pymes colombianas que operan o puedan llegar a operar en la Unión Europea (UE), recabando en las repercusiones que plantea el vigente RGDP en la economía digital y en tres consejos para identificar un posible cumplimiento de tal Reglamento.

Antes de proceder con tal propósito, debemos observar que hemos visto muchos sitios web bloqueados en la UE que, antes de la entrada en vigor del RGDP, eran accesibles para los usuarios europeos. Muchas empresas de todo el mundo –incluyendo Pymes Colombianas- todavía no cumplen con el RGDP, principalmente debido a su desconocimiento y a los costos que representa la implementación de su cumplimiento. El acatamiento total del RGDP tomará tiempo y, con suerte, las compañías que procesan grandes cantidades de datos personales dejarán de verlo como una carga y comenzarán a abordarlo como un activo; al final de cuentas, estamos en un mercado digital en el cual los datos se convierten en su principal driver –como lo decía la portada de The Economist de mayo del 2016: “El recurso más valioso del mundo ya no es el petróleo, sino los datos”.

El bloqueo temporal del acceso a sitios web desde la UE (hasta que se logre el cumplimiento total) tendrá que ser momentáneo, ya que el RGDP es un tema que debe abordarse obligatoriamente. Lo anterior en atención a que las repercusiones pueden ser relevantes (e.g. sanciones). Un incentivo para evitar el bloqueo permanente de sitios web a los clientes de la UE consistirá en evitar perder una cuota de mercado considerable (incluso para las PYMES colombianas) de alrededor de 508 millones de habitantes que corresponde a la tercera en el mundo después de China e India. Como sugerencia, las compañías en el mundo que se han aprestado al rápido cumplimiento de RGDP y han encontrado un nicho de mercado en este momento; proporcionando un nivel mínimo de cumplimiento y permitiendo adquirir algo de tiempo para alinear su modelo de negocio con la legislación recientemente introducida comunitariamente en europa.

Teniendo en cuenta lo anterior observemos, en primer lugar, que uno de los aspectos más importantes de la nueva regulación comunitaria en materia de protección de datos personales, es que la misma amplia su alcance de aplicación: el RGDP se aplica a todas las empresas en el mundo que tratan o procesan datos personales de usuarios o clientes europeos, incluso si el procesamiento de los mismos tiene lugar por fuera de la UE.

En segundo lugar, se puede observar que los principales cambios que implementó el RGDP se relacionan con la definición de dato personal, las multas, el consentimiento, los nuevos derechos introducidos (e.g. acceso, derecho de olvido, portabilidad de datos), el inmediato y obligatorio proceso de notificación de un incidente de seguridad o filtración de datos (el cual debe surtirse dentro de 72 horas) y, finalmente, la introducción de Oficiales de Protección de Datos (los cuales solamente son obligatorios en ciertos casos). Más aún, las compañías a las cuales se les aplica el Reglamento deben cumplir con las definiciones de “Privacy by design” y “Privacy by default”, al momento de procesar datos personales. Ciertamente, debe subrayarse que el consentimiento para el tratamiento de datos personales se encuentra en el centro del RGDP. Por lo que el mismo debe ser otorgado de manera libre, específica, informada y sin ambigüedad y, de notoria importancia, sin charlatanería jurídica1.

En suma, y ante la pregunta ¿Cómo sabemos si el RGDP aplica a mi PYME?, sugerimos los siguientes tres consejos para avizorar un posible cumplimiento de tal Reglamento:

1. Identifique si su PYME procesa datos personales de usuarios ubicados en la UE.

2. Identifique si su PYME se encuentra domiciliada por fuera de territorio de la UE; pero provee productos o presta servicios (incluso gratuitamente) a usuarios ubicados en la UE.

3. Identifique si los datos de las empresas ubicadas en la UE se recolectan y procesan independientemente del lugar de recolección. Esto significa que las PYME de la UE que operan en América Latina deben cumplir, en cualquier caso, con el RGDP de la UE (incluso si los datos provienen únicamente de clientes latinoamericanos) debido a la nacionalidad de la empresa.

Estos tres consejos le ayudarán, de entrada, a identificar si el RGDP aplica o no a su PYME.

En general, siempre se recomienda el cumplimiento y es necesario tener cuidado al procesar cualquier tipo de datos personales que se originen por fuera o dentro de la UE. Por lo que, basta decir, identifique si el RGDP aplica y disponga de un plan de cumplimiento, para así acudir a tiempo a especialistas con conocimiento en la materia.
1 Ver, artículos 4 y 7 del RGDP.

Por Carlos Castellanos Rubio

Siguenos como @El_Pilon