Implicaciones del Reglamento de Protección de Datos de la Unión Europea
Eduardo Ramírez eramirez@blplegal.com | Jueves 11 octubre, 2018
El nuevo Reglamento General de Protección de Datos de la UE (General Data Protection Regulation: GDPR, por sus siglas en inglés), vigente desde el 25 de mayo de 2016, es de aplicación obligatoria en los Estados miembros de la UE y protege a las personas físicas en lo que respecta al tratamiento de sus datos personales y a la circulación de estos.
Como afirmación de principio, es claro que, por tratarse de una normativa de la UE, que no es un tratado internacional, la misma no forma parte del ordenamiento jurídico costarricense y, por ende, no es obligatorio su cumplimiento por ninguna autoridad administrativa o jurisdiccional en nuestro país. Sin embargo, se deben hacer algunas puntualizaciones sobre los alcances de esta normativa. De acuerdo con su artículo 3, esta regulación se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento responsable o del encargado en la UE, independientemente de que el tratamiento tenga lugar en la UE o no; así como, al tratamiento de datos personales de interesados que residan en la UE por parte de un responsable o encargado no establecido en la UE, cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados en la UE, independientemente de si a estos se les requiere su pago, o el control de su comportamiento en la medida en que este tenga lugar en la UE.
Por otra parte, el Reglamento General de Protección de Datos contiene un régimen sancionatorio que consiste en multas que, dependiendo del tipo y grado de las faltas, pueden alcanzar hasta los diez millones de euros o, tratándose de una empresa, una cuantía equivalente al 2% del volumen de negocio total, anual y global del ejercicio financiero del año anterior. Asimismo, en otros casos, pueden aplicarse multas de hasta 20 millones de euros o, tratándose de una empresa, una cuantía equivalente al 4% como máximo del volumen de negocio total, anual y global del ejercicio financiero del año anterior.
En lo que atañe al sistema financiero costarricense, se debe acotar que, aunque dicha normativa no es aplicable en Costa Rica desde una perspectiva jurídica, es posible que en materia de relaciones comerciales sí tenga algunas repercusiones. Así, según sea el alcance de los servicios que se presten a ciudadanos residentes de la UE o a entidades corporativas o bancarias que, a su vez involucren el tratamiento de datos personales de esos ciudadanos, se podrían esperar requerimientos provenientes de esas entidades para la suscripción de contratos o adendas que las salvaguarden de eventuales infracciones que les puedan ser imputadas y que las expongan a multas administrativas.
Naturalmente, estos contratos o adendas son de adhesión; es decir, no hay margen para negociar, por lo que la no suscripción de estos orientadas al cumplimiento de estándares de tratamiento de datos personales de personas físicas de la UE, podría inducir a los bancos corresponsales de ese mercado a no elegir a una entidad financiera local que no cumpla con dichos estándares, o bien, a no continuar relaciones contractuales si ya las tuviere, situación que a su vez podría generar un riesgo reputacional.
Además, si las entidades locales ofrecieran productos y servicios a través de plataformas digitales que puedan ser contratados en la UE, también podrían ser sometidos al cumplimiento de estos estándares. Debido a ello y en tanto se delimitan mejor los alcances según sean los precedentes que se produzcan por las autoridades de control europeas -desde la perspectiva de relaciones comerciales-, es recomendable que las entidades financieras locales realicen una autoevaluación de su situación particular, a fin de determinar los eventuales riesgos que tienen en sus relaciones comerciales con ciudadanos de la UE, o bien, en los contratos suscritos con europeos y/o con entidades financieras o corporativas de la UE que estén sometidas a esa normativa, a fin de ponderar cuáles acciones de mitigación corresponde considerar para no afectar sus intereses comerciales.
Eduardo Ramírez
Special Counsel de BLP
Teléfono: 2205-3900
eramirez@blplegal.com