Cinco recomendaciones legales para la protección de los Datos Personales en los Procesos de Selección.
agosto 1, 2020
Marco legal de la Protección de Datos Personales en Colombia
agosto 17, 2020
Cada vez más, son las legislaciones en protección de datos personales que prevén obligaciones a organizaciones que se encuentren fuera de su territorio y que realizan algún tipo de tratamiento de datos personales.
En ese sentido, el Reglamento General de Protección de Datos Personales, fue uno de los primeros en disponer el cumplimiento extraterritorial de la norma, sin embargo, posteriormente, le siguió California, con su ley de privacidad al consumidor CCPA, y Brasil. A continuación, relacionamos, aquellas condiciones que cada una de estas normas exige:
1. Reglamento General de Protección de Datos Personales (GDPR)
El numeral 2, del artículo 3 del GDPR establece:
” (…2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
- la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
- el control de su comportamiento, en la medida en que este tenga lugar en la Unión” …)
Conforme a lo anterior, este reglamento le puede aplicar a una empresa colombiana, así no tenga establecimiento de comercio en Europa:
- Ofrece bienes y servicios en la Unión Europea. (ej.: página web que ofrece bienes y servicios a ciudadanos europeos)
- Realiza actividades de tratamiento de datos personales, relacionadas con el control del comportamiento de ciudadanos de la Unión Europea. (ej.: rastreo de cookies, servicio de perfilamiento)
El artículo 27 del GDPR, establece que cuando un responsable o encargado del tratamiento no se encuentre establecido en la Unión Europea, deberá designar por escrito a un representante en la Unión. Esta obligación no aplica si el tratamiento de datos es ocasional, y no incluye categorías especiales de datos personales (datos personales sensibles). Este representante deberá atender las consultas, de las autoridades de control y de los titulares, en asuntos relativos al tratamiento de datos personales. Hace algún tiempo ya habíamos escrito sobre esto.
2. Ley General de Protección de Datos Personales de Brasil (LGPD)
El artículo tercero de la Lei No 13.709 de 14 de Agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD) establece:
«La presente Ley se aplica a cualquier operación de tratamiento que realice una persona natural o jurídica de derecho público o privado, independientemente del medio, el país de su sede o el país donde se ubiquen los datos, siempre que:
- I – la operación de tratamiento se realiza en el territorio nacional;
- II – la actividad de procesamiento tiene como objetivo ofrecer o proporcionar bienes o servicios o procesar datos de personas físicas ubicadas en el territorio nacional;
- III – los datos personales objeto de tratamiento han sido recogidos en el territorio nacional.
- § 1 Los datos personales cuyo titular se encuentra en el momento de la recopilación se consideran recopilados en el territorio nacional (…)»
En este caso, si alguna empresa Colombiana realiza cualquier tipo de tratamiento de datos personales ya sea porque tiene sede en Brasil, ofrece bienes o servicios a personas ubicadas en Brasil, o simplemente procesa datos personales de personas ubicadas en Brasil, datos personales recopilados del titular que se encuentre dentro del territorio nacional al momento de ser recopilados.
El caso Brasileño es muy similar a la regulación europea, en este caso, también deberá cumplir con la legislación Brasileña que incorpora un estándar alto de cumplimiento en protección de datos personales, como medidas de seguridad de la información, buenas prácticas de gobernanza en la organización, responsabilidad demostrada, evaluaciones de impacto en protección de datos personales, entre otros.
3. Ley de Privacidad de Consumidor de California (CCPA)
La Ley de Privacidad de Consumidor de California -California Consumer Privacy Act (CCPA) establece un alcance extraterritorial. Esto se desprende su norma, en los siguientes aspectos: (i) Si la organización cumple con las características de la definición que trae la norma sobre «negocios»
1798.140 (…)
(c) “Business” means:
(1) A sole proprietorship, partnership, limited liability company, corporation, association, or other legal entity that is organized or operated for the profit or financial benefit of its shareholders or other owners that collects consumers’ personal information or on the behalf of which that information is collected and that alone, or jointly with others, determines the purposes and means of the processing of consumers’ personal information, that does business in the State of California, and that satisfies one or more of the following thresholds:
(A) Has annual gross revenues in excess of twenty-five million dollars ($25,000,000), as adjusted pursuant to paragraph (5) of subdivision (a) of Section 1798.185.
(B) Alone or in combination, annually buys, receives for the business’s commercial purposes, sells, or shares for commercial purposes, alone or in combination, the personal information of 50,000 or more consumers, households, or devices.
(C) Derives 50 percent or more of its annual revenues from selling consumers’ personal information.
1798. 145 (…)
(6) Collect or sell a consumer’s personal information if every aspect of that commercial conduct takes place wholly outside of California. For purposes of this title, commercial conduct takes place wholly outside of California if the business collected that information while the consumer was outside of California, no part of the sale of the consumer’s personal information occurred in California, and no personal information collected while the consumer was in California is sold. This paragraph shall not permit a business from storing, including on a device, personal information about a consumer when the consumer is in California and then collecting that personal information when the consumer and stored personal information is outside of California.
En este caso, la definición cobija a cualquier empresa, sin importar si esta ubicada en California EE.UU, siempre y cuando cumpla con alguno de estos tres criterios: i) Ingresos brutos anuales de más de 25 millones de dólares, ii) Vende o comparte con fines comerciales de más de 50 mil ciudadanos de california, y iii) obtienen el 50% o más de sus ingresos anuales, de la venta de información personal de los consumidores.
En conclusión, para el caso Colombiano, además de cumplir con la legislación sectorial en protección de datos (ley 1266 de 2008) cuando aplique, y la ley de protección de datos personales (Ley 1581 de 2012) y decretos reglamentarios, tendrá que tenerse en cuenta el contexto externo de la organización, en este caso, el ámbito legal, y en especial, los flujos de información nacional y transfronteriza, así como las partes interesadas, entre esos, los titulares de la información, y los encargados.
