El nuevo Reglamento General de Protección de Datos (RGPD) fue aprobado en la Unión Europea en abril de 2016 y su aplicación entró en vigor el pasado 25 de mayo de 2018. Una de las más significativas diferencias con las reglas anteriores radica en que al ser un reglamento y no una directiva, su aplicación no depende de modificaciones a la legislación de cada país, sino que su realización será de manera obligatoria.
Este Reglamento establece nuevos lineamientos para las personas físicas o morales, nacionales o extranjeras, que tratan datos personales de ciudadanos europeos, así como los derechos con que cuentan los titulares de los datos personales. Dicha regulación tendrá un impacto global para quienes tienen vínculos con Europa, por lo cual, es estrictamente obligatorio cumplir con las disposiciones del Reglamento.
El RGPD surge con la finalidad de actualizar sus anteriores regulaciones de acuerdo con las tendencias y la actualidad, como el hackeo de cuentas, o el uso indebido de la información personal recabada, así como concientizar acerca del correcto tratamiento de estos datos y la seguridad que se debe garantizar. Como ejemplos, podemos mencionar el caso de una empresa de análisis de datos con sede en Londres. Dicha compañía se vio envuelta en una polémica por el mal manejo de los datos personales de usuarios de una red social. Otro caso fue el del hackeo de la aplicación móvil de una de las mayores empresas de transporte privado.
Te puede interesar: Las limitaciones que impone el T-MEC al arbitraje
El responsable del tratamiento de datos debe designar un representante, a menos que el manejo sea ocasional y que no incluya una gran escala de categorías especiales o de datos relativos a condenas e infracciones penales, y sea improbable un riesgo para los derechos y libertades de la persona física y los fines del tratamiento; o si el responsable del tratamiento es una autoridad u organismo público. El representante debe ser designado por mandato escrito del responsable o del encargado para que actúe en su nombre con respecto de las obligaciones del Reglamento. El tratamiento debe regirse por un contrato u acto jurídico que fije el objeto y la duración del tratamiento; la naturaleza y fines del tratamiento; el tipo de datos personales; las funciones y responsabilidades; el riesgo para los derechos y libertades del interesado.
A partir de la entrada en vigor, todos los responsables y encargados estarán obligados a cooperar con la autoridad de control. Además, deberán poner a su disposición los registros, previa solicitud, de modo que puedan servir para supervisar las operaciones de tratamiento.
Las sanciones por incumplimiento del RGPD pueden ascender hasta un 4 % de los ingresos anuales de la compañía o multas de hasta 20 millones de euros.
¿Por qué es el RGPD importante para México?
Porque con él se obliga a quien recaba datos personales de ciudadanos europeos, independientemente del territorio en el que se ubique, a tomar ciertas medidas en la protección de estos datos. Esto incluye recabar su consentimiento, contar con el conocimiento de que el titular puede oponerse a su tratamiento, dar a conocer la finalidad con la que se solicitan los datos y que la obtención de estos datos específicos, explícitos y legítimos es necesaria para el fin requerido.
Es relevante mencionar que el acatar el Reglamento es adicional al cumplimiento de las obligaciones señaladas en la Ley Federal de Protección de Datos Personales en Posesión de Particulares.
Un aspecto adicional son las evaluaciones de impacto en la protección de datos. Estas evaluaciones, son requeridas por el RGPD a fin de mejorar el cumplimiento en los casos en que las operaciones entrañen un alto riesgo para los derechos y libertades de las personas físicas. Corresponde al responsable del tratamiento realizar el análisis que evalúe el origen, naturaleza, particularidad y gravedad de dicho riesgo, entre otros. La evaluación debe incluir, las medidas, garantías y mecanismos previstos para mitigar el riesgo y con ello garantizar la protección de los datos personales conforme al Reglamento.
En concreto, la evaluación deberá incluir como mínimo:
- Una descripción sistemática de las operaciones de tratamiento previstas y sus fines, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
- Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
- Evaluación de los riesgos para los derechos y libertades de los interesados.
- Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, conforme al Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados.
Se han de realizar este tipo de evaluaciones para el procesamiento de datos de alto riesgo, y de ser necesario, enviarlas a la autoridad de protección de datos correspondiente.
Si usted es una persona física o moral que recaba datos personales de ciudadanos europeos y tiene duda de si el Reglamento es aplicable, debe tomar en consideración lo siguiente:
Cualquiera que sea su ubicación territorial -sin importar que no sea Europa- si trata datos personales o datos personales sensibles de ciudadanos europeos como su nombre, teléfono, o domicilio, por mencionar algunos, es obligatorio darle el debido cumplimiento al Reglamento. El incumplimiento de estas disposiciones trae como consecuencia cuantiosas sanciones.
}
Add new comment