Aper­tu­ra

Mercados & Tendencias El Salvador - - SUMARIO -

Nue­vas re­glas eu­ro­peas pa­ra el tra­ta­mien­to de da­tos per­so­na­les

M.SC. Willy Car­va­jal Pro­fe­sor de De­re­cho, es­pe­cia­lis­ta en com­pe­ten­cia y con­su­mo

Da­tos, da­tos y más da­tos. Su re­co­lec­ción y tra­ta­mien­to cons­ti­tu­ye uno de los prin­ci­pa­les pi­la­res de la eco­no­mía mo­der­na. Su va­lor ha si­do equi­pa­ra­do al de las ma­te­rias pri­mas es­ca­zas. Hoy las em­pre­sas com­pi­ten por ofre­cer ser­vi­cios “gra­tui­tos”, a cam­bio de re­co­lec­tar la in­for­ma­ción, va­lio­sa y per­so­nal, de sus clien­tes, ta­les co­mo su geo­lo­ca­li­za­ción, sus pre­fe­ren­cias de con­su­mo, co­rreos elec­tró­ni­cos, di­rec­ción IP, re­des so­cia­les, et­cé­te­ra. Es­cán­da­los re­cien­tes, co­mo el sus­ci­ta­do por Fa­ce­book y Cam­brid­ge Analy­ti­ca, han ge­ne­ra­do de­ba­tes so­bre las re­glas que las em­pre­sas de­be­rían cum­plir.

Mien­tras que los con­gre­sis­tas es­ta­dou­ni­den­ses de­ba­ten so­bre su con­te­ni­do, enel mes de abril del 2016 la Unión Eu­ro­pea apro­bó el Re­gla­men­to Ge­ne­ral so­bre Pro­tec­ción de Da­tos, más co­no­ci­do co­mo Ge­ne­ral Da­ta Pro­tec­tion Re­gu­la­tion (GDPR), cu­ya en­tra­da en vi­gen­cia ope­ró el 25 de ma­yo pa­sa­do, que es obli­ga­to­rio tam­bién pa­ra las em­pre­sas ex­tran­je­ras que ope­ran en Eu­ro­pa o rea­li­zan transac­cio­nes en el con­ti­nen­te.

En tér­mi­nos ge­ne­ra­les, se re­co­no­ce a la pro­tec­ción de los da­tos per­so­na­les co­mo un de­re­cho hu­mano. Es­ta fi­lo­so­fía, jun­to a los con­cep­tos de li­ber­tad, in­ti­mi­dad y au­to­de­ter­mi­na­ción; ori­gi­na­ron nue­vas re­glas de com­por­ta­mien­to del mer­ca­do, las que con­ci­ben al ciu­da­dano co­mo el ti­tu­lar de la in­for­ma­ción y a las em­pre­sas co­mo las pres­ta­ta­rias de un ser­vi­cio. A par­tir de aho­ra el con­tra­to siem­pre se­rá con­si­de­ra­do one­ro­so e in­clu­ye el de­re­cho­de la per­so­na a so­li­ci­tar la por­ta­bi­li­dad de sus da­tos, con los efec­tos que es­to tie­ne so­bre la com­pe­ten­cia.

i. Se­gu­ri­dad ju­rí­di­ca

Un pri­mer as­pec­to a des­ta­car es que es­ta nue­va re­gu­la­ción, que apli­ca pa­ra to­da la Unión Eu­ro­pea (UE), es­ta­ble­ce un nue­vo es­tán­dar so­bre la ma­te­ria. An­tes, ca­da país te­nía una le­gis­la­ción dis­tin­ta, lo que in­cre­men­ta­ba a las em­pre­sas los cos­tos de su cum­pli­mien­to .

Asi­mis­mo, le­jos de au­men­tar la bu­ro­cra­cia de las agencias es­ta­ta­les, se co­lo­ca al in­di­vi­duo co­mo el pri­mer fil­tro de la pro­tec­ción de sus da­tos y se le do­ta de los me­ca­nis­mos su­fi­cien­tes pa­ra ha­cer va­ler sus de­re­chos en se­de ad­mi­nis­tra­ti­va, así co­mo an­te las cor­tes na­cio­na­lesy su­pra­na­cio­na­les.

ii. Ac­ce­so a la in­for­ma­ción En se­gun­do lu­gar, con­sis­ten­te con el de­ber de in­for­ma­ción que ri­ge en las re­la­cio­nes de con­su­mo, quien re­co­lec­te y/o le de tra­ta­mien­to a los da­tos per­so­na­les, de­be­rá in­for­mar am­plia­men­te al ti­tu­lar so­bre los que re­co­pi­la; ade­más de in­di­car los mo­ti­vos y la ne­ce­si­dad de di­cha re­co­lec­ción; con el pro­pó­si­to de que la per­so­na otor­gue un con­sen­ti­mien­to ver­da­de­ra­men­te in­for­ma­do. De ma­ne­ra con­cre­ta, los con­su­mi­do­res tie­nen de­re­cho a sa­ber qué ti­po de da­tos tie­nen las com­pa­ñías de ellos; a co­rre­gir la in­for­ma­ción no ve­raz o desac­tua­li­za­da; a exi­gir el de­re­cho al ol­vi­do y a li­mi­tar el uso de de­ci­sio­nes co­mer­cia­les ba­sa­das en al­go­rit­mos. Las au­to­ri­za­cio­nes a tra­vés de co­okies, apps o for­zan­do a acep­tar los tér­mi­nos y con­di­cio­nes pa­ra ac­ce­der al sis­te­ma, no se­rán con­si­de­ra­das vá­li­das o su­fi­cien­tes. Por otra par­te, se in­tro­du­ce el con­cep­to de pri­vacy by de­sign, en el que el con­su­mi­dor es quien de­be ha­bi­li­tar ex­pre­sa­men­te las op­cio­nes pa­ra com­par­tir sus da­tos per­so­na­les.

iii. Po­lí­ti­ca de Bra­zos Abier­tos

Uno de los as­pec­tos en los que la nue­va re­gu­la­ción cam­bia sus­tan­cial­men­te res­pec­to a su an­te­ce­so­ra (Di­rec­ti­va 95/46/EC), es que la ju­ris­dic­ción de la nue­va ley al­can­za a cual­quier em­pre­sa que ten­ga in­ci­den­cia eu­ro­pea o que reali­ce el tra­ta­mien­to de da­tos de eu­ro­peos, sin im­por­tar su lu­gar de ori­gen. Con es­to, las com­pa­ñías la­ti­noa­me­ri­ca­nas que man­ten­gan ope­ra­cio­nes o reali­cen transac­cio­nes en el Vie­jo Con­ti­nen­te, es­ta­rán so­me­ti­das a su al­can­ce y, por en­de, a las nue­vas mul­tas.

Es­pe­cí­fi­ca­men­te, si una em­pre­sa fue­ra de la Unión ofre­ce bie­nes o ser­vi­cios a eu­ro­peos y rea­li­za el tra­ta­mien­to de sus da­tos, aún sin me­diar nin­gún pa­go; o eje­cu­ta fun­cio­nes de mo­ni­to­reo so­bre el com­por­ta­mien­to de per­so­nas ubi­ca­das en la UE, es­ta­rá obli­ga­da al cum­pli­mien­to de la re­gu­la­ción.

Se­gún ex­pli­ca el au­tor Ro­bert L. Haig (2018), el con­cep­to de pro­ce­sa­mien­to de da­tos, que es de­fi­ni­do de una for­ma am­plia, in­clu­ye ac­tos co­mo: co­lec­tar, or­ga­ni­zar, guar­dar, re­cu­pe­rar, du­pli­car, trans­mi­tir, di­se­mi­nar o uti­li­zar­los. A par­tir de la re­for­ma, los da­tos so­bre lo­ca­li­za­ción e iden­ti­fi­ca­ción on­li­ne son con­si­de­ra­dos da­tos per­so­na­les res­trin­gi­dos.

IV. Pro­ce­sa­mien­to de da­tos

Ba­jo la nue­va re­gu­la­ción, la pri­me­ra ta­rea que las em­pre­sas de­ben rea­li­za­res la cla­si­fi­ca­ción de los da­tos que re­co­lec­tan. En los paí­ses la­ti­noa­me­ri­ca­nos es usual que las le­gis­la­cio­nes cla­si­fi­quen los da­tos per­so­na­les en tres gran­des áreas: de ac­ce­so irres­tric­to (usual­men­te con­for­ma­das por ba­ses de da­tos pú­bli­cas), de ac­ce­so res­trin­gi­do (la ma­yo­ría caen en es­ta di­vi­sión, por ejem­plo: geo­lo­ca­li­za­ción, co­rreo elec­tró­ni­co, di­rec­ción IP, et­cé­te­ra) y da­tos sen­si­bles (bio­mé­tri­cos, ge­né­ti­cos, de sa­lud y et­nia; en­tre otros). Con­for­me se avan­za en la cla­si­fi­ca­ción, se de­be in­cre­men­tar el ni­vel de la pro­tec­ción, se­gu­ri­dad y re­gis­tro de los da­tos y de las per­so­nas que tie­nen ac­ce­so a ellos.

Se­gún re­se­ña Snif­fen&spell­man, P.A. (2018), en el mar­co de una in­ves­ti­ga­ción la em­pre­sa de­be pro­bar que man­tie­ne un in­ven­ta­rio ac­tua­li­za­do de las ac­ti­vi­da­des de pro­ce­sa­mien­to de da­tos per­so­na­les. Ade­más, de­be de­mos­trar que no le es­tá dan­do un uso irre­gu­lar, que no los es­tá re­co­lec­tan­do sin au­to­ri­za­ción y que ha eli­mi­na­do los que cum­plie­ron la fi­na­li­dad pa­ra la cual fue­ron re­co­pi­la­dos.

V. Com­plian­ce

Con­sis­ten­te con lo an­te­rior, las em­pre­sas con­for­ma­das por más de 250 per­so­nas, o que reali­cen re­gu­lar y sis­te­má­ti­ca­men­te el pro­ce­sa­mien­to y/o mo­ni­to­reo de da­tos per­so­na­les a gran es­ca­la, de­ben de­sig­nar un Oficial en Pro­tec­ción de Da­tos (DPO, por sus si­glas en in­glés), con fun­cio­nes in­de­pen­dien­tes y res- pon­sa­bi­li­da­des pro­pias.

Las com­pa­ñías de­ben do­cu­men­tar sus es­fuer­zos y com­pro­mi­sos con la pro­tec­ción de los da­tos y su se­gu­ri­dad en el en­torno la­bo­ral. De igual mo­do, de­ben pro­bar que en el ca­so de una vul­ne­ra­ción in­ter­na o ex­ter­na de sus ba­ses de da­tos, son ca­pa­ces de no­ti­fi­car opor­tu­na­men­te (72 ho­ras) a los afec­ta­dos.

Fi­nal­men­te, cuan­do una em­pre­sa eje­cu­te pro­yec­tos o pro­gra­mas que im­pli­quen un al­to ni­vel de ries­go pa­ra “los de­re­chos y li­ber­ta­des de las per­so­nas naturales” co­mo, por ejem­plo, la in­tro­duc­ción de nue­vas tec­no­lo­gías, ten­drá la obli­ga­ción de rea­li­zar pre­via­men­te un es­tu­dio del im­pac­to so­bre los da­tos per­so­na­les y mi­ti­gar los ries­gos en­con­tra­dos.

VI. Por­ta­bi­li­dad de da­tos

Ba­jo el en­ten­di­mien­to de que ca­da ciu­da­dano es ti­tu­lar de sus da­tos y las em­pre­sas son las pro­vee­do­ras de un ser­vi­cio, el Re­gla­men­to Ge­ne­ral con­tem­pla el de­re­cho a su­por­ta­bi­li­dad. Es­pe­cí­fi­ca­men­te, ha­yan si­do su­mi­nis­tra­dos a una em­pre­sa de for­ma “es­truc­tu­ra­da, de uso co­mún y en for­ma­to le­gi­ble por má­qui­na”, sur­ge el de­re­cho de la per­so­na a re­ci­bir esos da­tos y trans­mi­tir­los a otro pro­vee­dor. De igual for­ma, esa trans­mi­sión po­drá ser di­rec­ta en­tre pro­vee­do­res cuan­do las con­di­cio­nes téc­ni­cas lo per­mi­tan.

Si bien ha­brá que es­pe­rar un tiem­po pa­ra co­no­cer los al­can­ces y la in­ter­pre­ta­ción de es­te nue­vo de­re­cho, es cla­ro que re­per­cu­ti­rá di­rec­ta­men­te so­bre la com­pe­ten­cia en los mer­ca­dos. Por una par­te, fo­men­ta­rá la com­pe­ten­cia ba­sa­da en el ser­vi­cio y la ca­li­dad y no so­bre la ca­pa­ci­dad de re­co­lec­tar y pro­ce­sar da­tos. Por la otra, pue­de fo­men­tar es­ce­na­rios de free ri­ders, dis­tor­sio­nan­do los mer­ca­dos. En cual­quier ca­so, es­ta nue­va me­di­da ten­drá un im­pac­to sig­ni­fi­ca­ti­vo so­bre las ope­ra­cio­nes de con­cen­tra­ción eco­nó­mi­ca.

VII. San­cio­nes

Por úl­ti­mo, en ca­so de in­cum­pli­mien­to, la nor­ma­ti­va in­tro­du­ce una se­rie de mul­tas que pue­den al­can­zar la ci­fra de €20 mi­llo­nes o el 4% de las ven­tas glo­ba­les anua­les del año fis­cal an­te­rior; la que re­sul­te más ele­va­da.

Ca­be re­sal­tar que el Re­gla­men­to Ge­ne­ral fo­men­ta la crea­ción de Có­di­gos de Con­duc­ta por par­te de las aso­cia­cio­nes gre­mia­les y or­ga­nis­mos re­pre­sen­ta­ti­vos sec­to­ria­les, así co­mo la adop­ción de cer­ti­fi­ca­cio­nes en la ma­te­ria, las cua­les ser­vi­rán co­mo de­fen­sa en ca­so de una in­ves­ti­ga­ción o cons­ti­tui­rán ate­nuan­tes fren­te a una san­ción.

Newspapers in Spanish

Newspapers from El Salvador

© PressReader. All rights reserved.