Las sanciones de la SIC en materia de protección de datos personales
febrero 19, 2018
¿Cómo entender la regulación sobre la Transferencia Internacional de Datos Personales en Colombia?
mayo 8, 2018
Por: Heidy Balanta
Mucho se ha especulado sobre el nuevo reglamento general de protección de datos personales europeo, en adelante GDPR (siglas en inglés), en especial, sobre las nuevas obligaciones a las empresas establecidas o no, en la Unión Europea, así como derechos y facultades de los titulares de los datos, pero también, por la extraterritorialidad de la norma.
El nuevo reglamento entró en vigor el 25 de mayo de 2016, sin embargo, empieza a ser de obligatorio cumplimiento para las organizaciones a partir del 25 de mayo de 2018, de allí, que el nerviosismo se haya apoderado en muchas organizaciones, que aún no están preparadas para esta nueva normativa.
Entre tanto, una de las novedades que trae consigo este reglamento, es la aplicación extraterritorial de la norma, al respecto, el numeral 2, del artículo 3 del GDPR establece:
” (…2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
- la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
- el control de su comportamiento, en la medida en que este tenga lugar en la Unión” …)
Aplicación del GDPR a Empresas Colombianas
Conforme a lo anterior, este reglamento le puede aplicar a una empresa colombiana, así no tenga establecimiento de comercio en la Unión Europea, si:
- Ofrece bienes y servicios en la Unión Europea. (ej.: página web que ofrece bienes y servicios a residentes europeos)
- Realiza actividades de tratamiento de datos personales, relacionadas con el control del comportamiento de residentes de la Unión Europea. (ej.: rastreo de cookies, ip)
Uno de los mensajes claves de este nuevo reglamento es que no importa la ubicación de la empresa, si esta empresa, realiza el tratamiento de datos personales de residentes de la Unión Europea, aplica dicho reglamento. Por ejemplo, si una empresa colombiana tiene una tienda online, que despacha pedidos para Europa, o una página web que brinda cursos virtuales pagos o gratuitos y residentes europeos acceden a dichos servicios.
¿Qué implicaciones tiene, cumplir el GDPR en las empresas colombianas?
Adopción del GDPR
Este reglamento establece una serie de obligaciones a las empresas en materia de protección de datos personales, que van mucho más allá de las obligaciones impuestas en la legislación colombiana, por ejemplo, las organizaciones deben realizar de manera obligatoria, evaluaciones de impacto cuando el tratamiento representa un riesgo alto para el derecho de las personas. Pero a su vez, establece nuevos derechos para los titulares de los datos, los cuales se traducen en mayores obligaciones para las empresas, por ejemplo, establece el derecho al olvido, portabilidad de datos, restricciones en la toma de decisiones a partir del procesamiento automatizado de datos. Por otro lado, el artículo 33 del Reglamento, establece que en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente, a más tardar 72 horas después de que haya tenido constancia de ella. En el caso colombiano, esta notificación, se debe realizar máximo 15 días después de que la organización tuvo conocimiento de dicho incidente. En conclusión, las empresas colombianas que tengan clientes personas naturales que pertenezcan a los países de la Unión Europea, deberán adaptar el GDPR.
Tener un delegado en Europa
El artículo 27 del GDPR, establece que cuando un responsable o encargado del tratamiento no se encuentre establecido en la Unión Europea, deberá designar por escrito a un representante en la Unión. Esta obligación no aplica, si el tratamiento de datos es ocasional, y no incluye categorías especiales de datos personales (datos personales sensibles). Este representante deberá atender las consultas, de las autoridades de control y de los titulares, en asuntos relativos al tratamiento de datos personales.
Retos
- Las empresas colombianas que estén sujetas al GDPR tiene importantes retos, toda vez que deberán articular su programa de protección de datos personales a este nuevo reglamento. Si bien, nuestra legislación no esta en ceros, e incorpora algunas figuras que establece este nuevo reglamento, es importante que se pueda determinar cuales de las actividades de tratamiento que realiza la organización, estan involucrados residentes europeos.
- Otro importante reto, es la designación de un representante en Europa, en materia de protección de datos personales, sin duda alguna, es un nuevo costo (o inversión), para las empresas, si no quieren tener problemas con los organismos de control europeo.
- El comercio electrónico sin duda, se lleva el mayor reto en la adopción del GDPR, claro esta, si tiene dentro de sus clientes residentes europeos.
- Algunos países estan revisando el GDPR con el propósito de articularse a esta nueva normativa, aún el ente regulador colombiano, Superintendencia de Industria y Comercio, no se ha pronunciado al respecto.
- Por ahora, es muy temprano para sacar conclusiones sobre lo que será la adopción de dicha norma, en especial para las empresas colombianas, debido a que empresas que hacen parte de la economía digital, como un Google, Facebook, Twitter, Microsoft, estan adoptando sus políticas para el cumplimiento del GDPR. Por lo anterior, es recomendable que las empresas colombianas que consideran que le aplica dicho reglamento, realicen un ejercicio juicioso sobre sus actividades de tratamiento, flujos de datos, entre otros, debido a que en menos de dos o tres semanas entra en vigencia el GDPR.
