fbpx
16 julio, 2018 / by WebMasterVP

Entrada en vigencia del Reglamento General de Protección de Datos de la Unión Europea

El pasado 25 de mayo de 2018 entró en vigencia el Reglamento General de Protección de Datos de la Unión Europea (General Data Protection Regulation – GDPR) el cual introduce los mayores cambios vinculados a la protección de datos personales en la Unión Europea (“UE”) desde el año 1995 en el que fue aprobado la Directiva 95/46/CE (hoy derogada por la GDPR). La norma en mención constituye una respuesta concreta por parte de la UE a los grandes desafíos a los que nos vemos expuestos en una era digital donde el manejo de nuestra información personal es cada vez más vulnerable; y que exige, por tanto, medidas estatales que la salvaguarden y que doten a sus titulares de un mayor control respecto a su manejo y disposición.

Si bien han sido diversas las modificaciones aprobadas por la GDPR, consideramos que su mayor impacto está vinculado con su alcance territorial, el cual determina su obligatoria observancia por parte de empresas u organizaciones que efectúen el tratamiento de datos personales de ciudadanos que residan en la UE y que estén relacionados con la oferta de bienes y servicios a su favor o el control de su comportamiento a efectos de determinar sus preferencias y definir un perfil, ello con independencia de si dichas empresas están constituidas o no en la UE o de si el tratamiento de los referidos datos tendrá lugar dentro o fuera de dicha jurisdicción. Tal modificación ha significado para cualquier empresa en el mundo un replanteamiento de los estándares que se vienen llevando a cabo y que deberán implementarse para una adecuada gestión y protección de los datos personales provenientes de ciudadanos con residencia en la UE, y que constituye también una oportunidad de ir preparándose para las nuevas exigencias normativas a ser planteadas por cada jurisdicción, tomando como referencia la GDPR.

En línea con ello, corresponderá a las empresas en el Perú evaluar los alcances del GDPR y los costos financieros que demandará adaptarse a las exigencias de la UE en materia de protección de datos personales; pues ello podría conllevar grandes desafíos que involucren modificar políticas internas, replantear estrategias de negocio y definir, de manera previa a prestar un servicio u ofrecer un producto, cuál será el público objetivo al que estará dirigido. Como ejemplo, podríamos citar (i) a las empresas que conforman la industria financiera, quienes, al ofrecer una serie de productos, servicios y participar en transacciones financieras de diversa índole, son responsables del manejo de una gran cantidad de datos personales, los cuales en su mayoría son compartidos o transferidos o terceros; y, (ii) a las fintech, que en la implementación de sus negocios harán uso de diversas tecnologías de la información a través de las cuales se logrará el manejo y transferencia de datos personales en gran escala, pero que a su vez les exigirá demostrar su adecuado resguardo a través del uso de medidas de control y seguridad cada vez más efectivas.

A modo de síntesis, las empresas responsables o encargadas del tratamiento de datos personales deberán tener en cuenta que la GDPR: (i) promueve un enfoque multidisciplinario en el tratamiento de los datos; (ii) regula el derecho a la portabilidad de datos que permite a los usuarios tener la potestad de elegir libremente los proveedores con quienes comparten sus datos personales; (iii) prevé una corresponsabilidad en el tratamiento de los datos personales, siempre que los agentes involucrados determinen conjuntamente los objetivos y los medios de dicho tratamiento; aspecto que podría evidenciarse, por ejemplo, en una asociación de una empresa peruana y una contraparte europea; (iv) impone la obligación de mantener un registro pormenorizado de las actividades de tratamiento efectuadas; (v) fija plazos realmente acotados para comunicar la violación de seguridad de los datos a una autoridad de control y al propio interesado; (vi) propone la conveniencia de llevar a cabo una evaluación previa del impacto de las operaciones de tratamiento en la protección de datos personales (la que en determinados supuestos previstos en la GDPR será obligatoria); (vii) impone la figura de un delegado de protección de datos, quien será el encargado de velar por la protección de datos dentro de una empresa; y, (viii) establece sanciones altísimas por su incumplimiento, que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por el de mayor cuantía.