Efectos transfronterizos de la GDPR de la Unión Europea
William Villalobos wvillalobh@esph-sa.com | Jueves 06 septiembre, 2018
En tiempos en que “la huella digital” se convierte en algo similar a las pesadillas de Freddy Krueger, la incorporación de nuevos derechos en la GDPR a favor de las personas resulta trascendental.
El pasado 25 de mayo entró en vigencia el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, conocido como la norma GDPR -por sus siglas en inglés-; el cual, deroga la Directiva 95/46/CE.
Mucho se ha dicho respecto de la transcendencia de esta regulación en favor de los llamados derechos de privacidad hoy día tan susceptibles de vulneración; razón por la cual, resulta medular realizar algunas apreciaciones en torno a las principales interrogantes que genera la normativa.
¿Qué es la GDPR?
Si bien en 1970 con la Hessiches Detenschutzgesetz del Estado de Hesse- Alemania surge la primer normativa en torno a la protección de datos; podríamos decir que, la GDPR se convierte en la primera disposición regulatoria que afecta -sin exclusión- a todos los países de la Unión Europea; y, por tanto, unifica disposiciones regulatorias -anteriormente dispersas- de diversos Estados miembros de la Unión Europea.
La transcendencia de la normativa es notoria; por cuanto, si se contrasta la realidad tecnológica de 1995 frente al llamado fenómeno disruptivo en el que estamos sumidos, evidente resulta, que lo anterior constituya -sin duda alguna- el motivo por el cual surge ésta nueva regulación, que procura un mayor control en torno a cómo son tratados, resguardados y rectificados nuestros datos personales.
¿Quiénes son los obligados a cumplir con la GDPR?
La GDPR obliga no sólo a los ciudadanos de la Unión Europea, sino a aquellas empresas -independientemente del país de origen o de actividad- siempre que procesen -en el más amplio sentido- datos de ciudadanos de la Unión Europea.
Lo anterior supone -por ejemplo- que si una empresa brinda servicios por internet y está establecida fuera de la Unión Europea y sus clientes o usuarios necesitan de un nombre de usuario y una contraseña para poder acceder al servicio disponible en línea, dicho sitio debe cumplir con la regulación que impone la GDPR.
¿Qué derechos incorpora la GDPR?
La anterior normativa -la Directiva 95/46/CE- reconocía los llamados derechos ARCO: Acceso, Rectificación, Cancelación y Oposición de los datos. Sin embargo, con la entrada en vigencia de la GDPR además de los derechos supra, se incorporan cuatro nuevos derechos -en mí criterio- de suma trascendencia en el entorno digital actual; a saber: (i) Derecho a la transparencia de la información (artículo 12), (ii) Derecho de supresión (artículo 17), (iii) Derecho de limitación (artículo 18), (iv) Derecho de portabilidad (artículo. 20). Estimo oportuno hacer una breve referencia respecto del derecho al olvido y el derecho a la portabilidad.
Sobre el primero -derecho al olvido-, se establece que cualquier persona tiene derecho a que su información personal sea eliminada por parte de los proveedores de servicios de Internet cuando así lo desee; -eso sí- siempre que quien posea esos datos no tenga razones legalmente válidas para retenerlos.
Respecto del segundo -derecho a la portabilidad- la norma prevé la posibilidad de transmitir los datos de un responsable a otro; de forma que, el interesado tenga derecho a que sus datos personales se transmitan directamente cuando ello sea técnicamente posible. Esto para los operadores de servicios de telecomunicaciones y los prestatarios de servicios públicos supone un aspecto muy importante; por cuanto impone una transmisión de los datos ágil, sencilla, pero -sobre todo- segura.
Así las cosas, en tiempos en que la “huella digital” se convierte en algo similar a las pesadillas de Freddy Krueger, la incorporación de nuevos derechos en la GDPR a favor de las personas resulta trascendental ante las recurrentes violaciones y perturbaciones que -un día sí y otro también- se producen a la privacidad de las personas.
¿Qué hacer y cómo prepararse para el cumplimiento de la GDPR?
El artículo 25 “Protección de datos desde el diseño y por defecto” de la GDPR, consagra que deben aplicarse medidas de seguridad teniendo en cuenta el estado de la técnica, los costos de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
Lo anterior no es peccata minuta por cuanto la amplitud del supuesto normativo da para una interpretación extensiva del ¿qué hacer? y ¿cómo prepararse? Si se comparte la tesis de que resulta vital para las personas tener la certeza de sus datos están siendo tratados y almacenados correctamente, uno partiría de la premisa de que las empresas asuman una actitud efectiva y proactiva en el tratamiento de los datos que les permita repensar sus políticas de ciberseguridad, condición igualmente aplicable a la propia Administración Pública.
En este sentido, si tomamos en consideración que las sanciones previstas en la GDPR pueden alcanzar los 20 millones de euros; comprensible resulta que, empresas como ACENS del grupo Telefónica hayan delineado algunas pautas a considerar:
(i) Acreditar el cumplimiento mediante un Sistema de Gestión de Seguridad de la información siguiendo el esquema de los estándares internacionales, como ISO 27001.
(ii) Considerar la privacidad de forma previa a cualquier tratamiento de datos como parte de la cultura organizacional.
(iii) Rediseñar nuevos perfiles en la organización para la designación del CDO -Chief Data Officer-. Figura que toma relevancia en la GDPR por cuanto se constituye en un interlocutor entre las empresas y las Instituciones habilitadas para exigir cuentas respecto del cómo se está cumpliendo la normativa.
(iv) Implementar medidas de seguridad tales como: la seudonimización y el cifrado en relación a las medidas de seguridad, para garantizar la confidencialidad, disponibilidad y acceso de los datos.
¿Colisiona la GDPR con nuestro Ordenamiento Jurídico?
Nuestra Constitución Política en su numeral 24 reconoce el derecho a la protección datos personales; a su vez, la Ley 8968 “Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales”, y la Ley 8642 “Ley General de Telecomunicaciones” -en lo que respecta a la tutela del resguardo de información de operadores y usuarios finales- de igual forma lo reconocen.
Dicho lo anterior, en nuestro ideario Constitucional la protección de los datos personales no supone un derecho absoluto; por el contrario, su interpretación y tutela implica considerar su función en el colectivo social, manteniendo -eso sí- un propicio equilibrio respecto de otros derechos fundamentales que, con recurrencia están bajo una tensión práctica.
La vorágine de la transformación digital obliga a repensar su tutela -hoy somos más datos que personas-; ésta realidad provoca que muchos de nuestros datos personales se generan a través de plataformas móviles. De ahí que, sin importar cuál sea la plataforma -windows, android, iOS-, sin importar desde dónde se encuentren -laptop, móvil, tablet, handheld, datacenter, cloud- lo trascendente es: ¿qué medidas de protección en la gestión de datos estamos aplicando para garantizar su protección?
Así las cosas, la GDPR obliga a una revisión y adecuación respecto de la forma en que hemos venido tratando los datos de terceros; de forma tal, que se cumpla con una mejor tutela a los derechos supra que -en todo caso- no nos deben resultar extraños ni ajenos por cuanto nuestra Sala Constitucional en su función interpretativa los ha venido reconocido de forma amplia.