El GDPR llega a México
24 mayo 2018
Autor:
Sección: Destacados, Temas de Portada

Promo Mayo 2018 - El GDPR llega a México

Efectos extraterritoriales de la nueva regulación europea de protección de datos personales.

En mayor o menor medida, diversas empresas y profesionistas se han visto sorprendidos por noticias e información entorno a la existencia y futura aplicación de una nueva normativa europea sobre protección de datos personales, de la cual algunos aseguran puede resultar aplicable a ciertas empresas mexicanas o a ciertas actividades que estas realizan en el curso de sus negocios.
¿Qué de cierto hay en esta información?, ¿Tendremos que cumplir con una normativa sobre protección de datos personales, adicional a la normativa que ya cumplimos en México?, ¿A qué me obliga esta legislación, aprobada fuera del territorio mexicano?
Estas y muchas otras preguntas han surgido en México y otros países del mundo, en torno a la entrada en vigor y aplicación del Reglamento General de Protección de Datos de la Unión Europea, la nueva normativa que (sin lugar a dudas) está revolucionando la manera de entender la protección de datos personales en esa región del mundo y en países como el nuestro.

¿Qué es el GDPR/RGPD? El orden jurídico de la UE
Personalmente, prefiero referirme a él como el “RGPD”, pero es imposible negar que las iniciales “GDPR”, se imponen de manera abrumadora en artículos, libros, noticias, blogs y demás escritos que desde hace tiempo se escriben sobre el tema; simplemente, en inglés o en español, es común referirse a él como el GDPR.

El Reglamento General de Protección de Datos (RGPD) o General Data Protection Regulation (GDPR) es un acto legislativo de la Unión Europea (en adelante, la UE) que, en el orden jurídico de esa entidad internacional, tiene los efectos más significativos sobre los Estados miembros y sus habitantes.

Para entender el impacto y alcance de este Reglamento, y en especial para asimilar la importancia de un cuerpo normativo con ese nombre (en particular en México), resulta conveniente tener en cuenta que en la UE existen dos tipos de Derechos: el derecho “primario” y el derecho “derivado”.

En el primario existen los Tratados de la UE, la base del Estado de Derecho en que se fundamenta esta organización y sus Estados.1

El derecho derivado, está compuesto por los siguientes actos legislativos (de menor a mayor jerarquía):

•Dictámenes

•Recomendaciones

•Decisiones

•Directivas: Son actos legislativos en los cuales se establecen objetivos que todos los países que integran la UE deben cumplir. Corresponde a cada país elaborar sus propias leyes para alcanzar esos objetivos. No se obliga a ningún país para que su acto de transposición sea de algún tipo específico

•Reglamentos: Los reglamentos son actos legislativos vinculantes. Deben aplicarse en su integridad en todo el territorio de la UE.

Si tuviésemos que emplear una analogía para entender su naturaleza y alcance en el contexto del derecho mexicano, deberíamos pensar (mutatis mutandis) en el alcance de una Ley Federal. No obstante, y a pesar de la aplicación directa del GDPR en el territorio de todos los Estados miembros de la UE, veremos el desarrollo de leyes nacionales que facilitarán su aplicación (en teoría). Simplemente, y en honor a la particularidad de la propia UE, debemos decir que el GDPR y el entorno donde habrá de aplicarse son únicos y merecen estudio particular.

Dicho lo anterior, y para ampliar nuestra comprensión sobre el impacto que supone la entrada en vigor y aplicación del GDPR, debemos saber que esta normativa deroga la Directica 95/463 que desde mediados de los años noventa funcionó como el eje de los principios protectores de los datos personales en la UE. Fue la Directiva 95/46 el instrumento que sirvió de base para que después de la última ampliación de la UE existiesen 28 leyes nacionales sobre protección de datos personales; 28 cuerpos normativos regulando un derecho considerando fundamental en esa parte del mundo, todos ellos con base en la Directiva 95/46.

Pero el avance de la tecnología, y los cambios de paradigmas que esta ha traído consigo, obligaron a replantearse el alcance de la protección a las personas y sus datos personales; simplemente, la Directiva 95/46 había quedado rebasada y para asegurar una protección uniforme a todos los residentes de la UE, se hizo necesario avanzar en el sentido de las garantías que brinda un Reglamento.

Así pues, y tras años de negociaciones el 4 de mayo de 2016 fue publicado en el Diario Oficial de la UE el “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE”, ahora globalmente conocido como GDPR. Repitamos: el GDPR fue publicado el pasado 4 de mayo de 2016 y dos años después estamos tomando cartas en el asunto (los que así desean hacerlo, los que están enterados del tema).

¿Pero por qué es así?, ¿Por qué han pasado dos años desde su publicación oficial y sólo ahora sabemos que puede tener relevancia en México? Pues porque así lo dispuso su artículo 99 mediante una fórmula de “entrada en vigor y fecha de aplicación”, con el objeto de brindar dos años de plazo para que los sujetos obligados adoptasen los pasos necesarios para cumplir:

Artículo 99 Entrada en vigor y aplicación

1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
2. Será aplicable a partir del 25 de mayo de 2018.

Aplicación extraterritorial. El artículo 3.2 del GDPR
Aunque no debemos ir muy lejos para encontrar el origen del revuelo que ha causado el GDPR fuera de la Unión Europea (basta con acudir al apartado 2 de su artículo 3 para encontrar la fuente de esta conmoción), resulta indispensable acudir a la primera fuente interpretativa del GDPR: sus considerandos.
En el considerando (23) del GDPR, el legislador europeo realiza una declaración meridianamente clara:

Con el fin de garantizar que las personas físicas no se vean privadas de la protección a la que tienen derecho en virtud del presente Reglamento, el tratamiento de datos personales de interesados que residen en la Unión por un responsable o un encargado no establecido en la Unión debe regirse por el presente Reglamento si las actividades de tratamiento se refieren a la oferta de bienes o servicios a dichos interesados, independientemente de que medie pago. […]

Queda claro que las personas físicas a las que se refiere este considerando, no son cualquier persona física, sino aquellas que residen en la Unión (Europea). Asimismo, que la decisión de aplicar el GDPR a determinados responsables y encargados no establecidos en la Unión obedece a la intención de no privar a esos residentes de la protección a la que tienen derecho en virtud del propio GDPR.

Con el objeto de ampliar la protección de referencia, el considerando (24) del mismo ordenamiento dispone:

El tratamiento de datos personales de los interesados que residen en la Unión por un responsable o encargado no establecido en la Unión debe ser también objeto del presente Reglamento cuando esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. […]

Las consideraciones anteriores quedaron plasmadas en el RGPD, de la siguiente forma:

Artículo 3 Ámbito territorial
[…]
2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Siendo aplicable el GDPR a cualquier tipo de tratamiento de datos personales (tratamientos total o parcialmente automatizados o tratamientos no-automatizados), y con la intención del legislador europeo completamente clara, podemos abordar los aspectos específicos del artículo 3.2 para definir si nuestra empresa pudiera estar sujeta a esta normativa:

•El GDPR será aplicable al tratamiento de datos personales de interesados que residan en la UE. Es común escuchar que este Reglamento protege a los ciudadanos europeos, en oposición a los de otras nacionalidades. No es verdad. El GDPR protege a ciudadanos europeos y también a personas con residencia legal en la UE (aunque no sean europeos) cuyos datos sean tratados por responsables y encargados.

•El artículo 3.2 declara expresamente que el GDPR será aplicable a responsables y encargados no establecidos en ese territorio, que realicen las actividades limitativamente enumeradas en el mismo.

•Para entender a qué tipo de oferta de bienes o servicios se refiere este numeral, es recomendable atender nuevamente a los considerandos del GDPR: (23): “Para determinar si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión”.

•En cuanto al “control del comportamiento” de dichos interesados, en la medida en que ese comportamiento tenga lugar en la UE, el considerando (24) aclarar: “Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.”

Héctor Guzmán Rodríguez - El GDPR llega a México

Por: Héctor Guzmán Rodríguez

Socio de BGBG Abogados -Protección de Datos Personales y Privacidad. Abogado para México y España.

Miembro de la International Association of Privacy Professionals (IAPP), Academia Mexicana de Derecho Informático (AMDI), Asociación Profesional Española de Privacidad (APEP) y del Ilustre Colegio de Abogados de Madrid.

 

 

Sello Mayo 2018 - El GDPR llega a México


Comentarios
No hay comentarios en “El GDPR llega a México”