Por Rubén Marroquín y Melina Urbalejo*

El GDPR, es el nuevo reto global en materia de protección de datos personales, ¿tu empresa está preparada?

A partir del 25 de mayo, comenzará a aplicarse el “General Data Protection Regulation” (por sus siglas en inglés conocido como “GDPR”), el nuevo marco legal de la Unión Europea (UE) que tiene por objeto regular el tratamiento de datos personales de personas físicas y su libre circulación.

Este ordenamiento pretende unificar las normas de protección de datos personales de la UE en un solo cuerpo reglamentario, así como armonizar y equiparar el nivel de protección de la información personal en los Estados miembros de la UE. Lo anterior tiene como efecto que las empresas que pretendan realizar negocios en la UE, cumplan con las obligaciones que el GDPR exige, permitiendo facilitar las transacciones internacionales en el mercado interior, así como con países ajenos a la UE.

PUBLICIDAD

En este sentido, es una realidad que las organizaciones alrededor del mundo habrán de considerar la privacidad y la protección de datos personales como una prioridad en los procesos asociados a sus modelos de negocio presentes y futuros, ya que la falta de adecuación a la nueva normativa europea, en caso de que les resulte aplicable, podría poner en riesgo sus relaciones comerciales, su reputación e imagen, además de las cuantiosas sanciones económicas que podría traer su incumplimiento.

Por lo anterior, el primer paso es conocer el ámbito de aplicación territorial del GDPR; situación que ha sido uno de los puntos novedosos de esta regulación y una de las mayores preocupaciones para las organizaciones alrededor del mundo, ya que, de resultarles aplicable en virtud de su operación, representaría la imposición de un cúmulo importante de obligaciones.

¿A quiénes y en qué situaciones aplica el GDPR?

  • Al tratamiento de datos personales en el contexto de las actividades de un establecimiento del Responsable o del Encargado en la UE, independientemente de que el tratamiento de los datos personales no se lleve a cabo en la UE.
  • Empresas (responsable o encargado) no establecidas en la UE que lleven a cabo el tratamiento de datos personales de quienes residan en la UE, cuando: estas actividades de tratamiento se encuentren relacionadas con la oferta de bienes o servicios, independientemente de si a estos se les requiere algún pago o, se relacionen con el control de su comportamiento, en la medida en que éste se realice en la UE.
  • Al responsable del tratamiento de datos personales que no esté establecido en la UE, sino en un lugar en que el derecho de los Estados miembros sea de aplicación, en virtud del derecho internacional público.

¿Cuáles son algunos de los puntos importantes que contempla el GDPR?

El GDPR incorpora una serie de obligaciones importantes para las organizaciones y reconoce derechos para los interesados, dentro de los cuales se encuentran los siguientes:

  • La obtención del consentimiento del interesado de manera libre, específico, informado y explícito para el tratamiento de su información personal, salvo los casos de excepción previstos en el GDPR.
  • Se prevén formalidades especiales que se deberán seguir para el tratamiento de datos personales de niños, particularmente por lo que se refiere a la oferta directa de servicios en línea a éstos.
  • Que la organización cuente con políticas transparentes, concisas, accesibles y de fácil entendimiento para el interesado respecto del tratamiento que se dará a su información personal.
  • Documentación de las actividades del tratamiento de información personal efectuadas por el responsable en sus diferentes procesos de negocio.
  • Se reconoce el derecho de los interesados a la portabilidad de sus datos.
  • La protección de datos desde el diseño y por defecto en los diferentes procesos de negocio en los que se lleve a cabo el tratamiento de datos personales dentro de la organización.
  • Notificación a la autoridad de control de una violación de seguridad de los datos personales.
  • Realizar una evaluación de impacto relativa a la protección de datos antes de iniciar las operaciones de tratamiento de los datos personales cuando se utilicen nuevas tecnologías y que, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
  • Designación de un Delegado de Protección de Datos (Data Protection Officer).
  • Sanciones consistentes en multas administrativas de hasta 20,000,000.00 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

En este sentido, a continuación, mencionamos seis propuestas básicas de acciones a ejecutar para que las empresas mexicanas verifiquen la aplicabilidad del GDPR en su operación y, en su caso, cumplan con éste:

  1. Realizar un análisis exhaustivo de sus procesos de negocio para advertir el impacto que pudiese tener el GDPR en su operación; tomando en consideración el tamaño y complejidad de la operación, el volumen y categorías de datos personales procesados, los diferentes tratamientos asociados a la operación, así como los sistemas actualmente implementados para el tratamiento de la información, entre otros factores.
  2. Documentar el ciclo de vida de la información personal en los diferentes procesos de negocio dentro de la organización, a efecto de conocer puntualmente aquellos en los cuales el GDPR resulte aplicable.
  3. Elaborar un plan de trabajo que contemple el desarrollo e implementación de controles suficientes para cumplir con el GDPR cuando resulte aplicable, así como para mitigar los riesgos que en materia de protección de datos personales se hayan identificado asociados a cada tratamiento.
  4. Designar y capacitar al Data Protection Officer (DPO), a efecto de que éste funcione dentro de la organización como área responsable de vigilar el debido cumplimiento, actualización y mejora de las políticas en materia de protección de datos existentes y, en su caso, del diseño de nuevos controles adaptados al modelo de negocio y de conformidad con el GDPR.
  5. Establecer una política de comunicación efectiva entre los departamentos de protección de datos personales locales con el DPO global, en el caso de pertenecer a un grupo corporativo de esta naturaleza, con la intención de revisar y validar los controles que deban implementarse localmente tendientes a cumplir con el GDPR.
  6. Involucrar a todos los niveles de personal de la organización en las tareas internas a desarrollar relacionadas con la protección de información personal, así como brindarles una capacitación periódica y efectiva en la materia.

Todos estos esfuerzos derivarán gradualmente en la realización de negocios más seguros y confiables y el reconocimiento como una organización responsable, ética y comprometida con la privacidad y el debido tratamiento de la información personal, al mismo tiempo que se cumple con la legislación en materia de protección de datos personales que, desde luego, representa un reto diario importante para las organizaciones alrededor del mundo.

*Socio y Asociada de Aguilar Noble, Salgado y Asociados, S.C. Firma de consultoría especializada en materia de privacidad y protección de datos personales. Forman parte de Besser Law Firm Alliance.

 

Contacto:

Correo: [email protected] / [email protected]

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.

 

Siguientes artículos

Emisión de pesos dominicanos en Euroclear
Por

Poder emitir en Nueva York Bonos Soberanos en pesos dominicanos permite que el Gobierno pueda mejorar el perfil de riesg...