sábado, 14 de abril de 2018

La normativa de la Unión Europea (UE) que dio lugar al Régimen General de Datos Personales (“Gdpr”) se expidió en 2016, pero solo hasta este año que empezamos a oír de esta nueva reglamentación. La razón no podría ser una diferente a que el Gdpr entrará en pleno vigor el 25 de mayo de este año, así las entidades a las que les aplique deberán, para dicha fecha, haber implementado lo requerido por esta regulación a efectos de evitar ser sancionados.

Usted debe estar pensando ¿por qué me debería importar una regulación europea si mi casa matriz ni siquiera está en Europa? O ¿para qué aplicar esta regulación si mi operación se concentra en Colombia? Pues bien, el Gdpr es un reglamento que si bien fue expedido por la UE tiene efectos fuera de ésta, como lo explicaremos más adelante. Adicionalmente si usted piensa que la regulación colombiana en material de protección de datos que está en vigencia desde 2012 es exagerada y le impone obligaciones desproporcionadas a su empresa, es porque no ha visto los requerimientos que trae el Gdpr.

Entonces ¿a quienes les aplica esta regulación que próximamente entrará en vigencia? El Gdpr aplicará en los siguientes tipos de procesamiento de información i) al realizado por responsables y encargados con establecimientos en la UE sin importar en dónde se realiza el procesamiento de la información (ej. a entidades europeas que tienen un call center localizado en Colombia); ii) al tratamiento de datos de titulares residentes la UE y cuyo tratamiento lo realicen encargados o responsables no establecidos en la UE cuando el tratamiento se relacione con el ofrecimiento de bienes o servicios a los titulares, sin perjuicio de si existe pago; o cuando se realiza el monitoreo del comportamiento de titulares en la UE (ej. sitios web con cookies); iii) cuando el tratamiento sea realizado por responsables no establecidos en la UE pero en un lugar en donde las leyes de un estado miembro de la UE apliquen debido a derecho internacional público. Así, si su empresa por ejemplo presta servicios a entidades europeas y tiene contacto con titulares que se encuentren en la UE es muy probable que esta regulación le sea aplicable.

Cabe resaltar que si bien esta regulación tiene varias similitudes con la regulación colombiana, que no ha sido siquiera implementada correctamente por varias entidades, tiene también requisitos adicionales y principios aún más estrictos que los locales. Por ejemplo, propende por el principio de portabilidad y minimización de la información con que se cuenta, este último principio es de vital importancia en la medida en que los datos que se podrán almacenar únicamente los datos estrictamente necesarios para dar cumplimiento a las finalidades, no pudiendo tener datos que “es posible que utilice en un futuro”. El Gdpr regula el popular derecho al olvido y
adicionalmente propende por la realización de evaluaciones de impacto de la regulación de privacidad (PIA’s) a efectos de determinar si efectivamente los procedimientos internos están siendo llevados de acuerdo con la regulación aplicable, esto no es otra cosa que una extensión y aplicación del conocido principio de responsabilidad demostrada.

Por último, el Gdpr se perfila como un estándar internacional al cual seguramente propenderá nuestra regulación. Es importante que empecemos desde ya a buscar una aplicación e implementación adecuada y consistente de esta regulación en las operaciones locales, especialmente si según los aspectos mencionados esta regulación es aplicable desde ya a su empresa.