Cómo afecta el GDPR europeo a los mexicanos

Por Jordi Greenham* ¿Te has preguntado por qué recientemente todos estamos recibiendo correos de cambio de políticas de privacidad de varias empresas mundiales? El surgimiento de las nuevas tecnologías ha cambiado las reglas del juego para todos. Una de las cosas que nos permiten, es que es posible duplicar y transmitir, casi sin costo, cualquier información o conjunto de datos de un sistema a otro, sin tener que sacar un solo expediente. Aunque esto creó nuevas oportunidades, también creó retos, como el de la protección de datos personales. En Europa desde 1973 planteaban un tratado entre los países miembros del entonces Consejo de Europa para establecer la obligación de prever reglas de privacidad en las leyes de sus países. Con la liberalización de Internet, este tratado se transformó en la Directiva 95/46/CE del Parlamento y Consejo de la Comunidad Europea, que estuvo en vigor entre 1995 y el 25 de mayo del 2018, fecha en la que terminó de ser sustituida por la GDPR. El 27 de abril del 2016, el Parlamento de la Unión Europea derogó la Directiva y puso en su lugar el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), aplicable el 25 de mayo del 2018, dando un periodo de poco más de dos años para que las empresas europeas se prepararan. Esta nueva regla prohíbe, salvo en ciertos casos, cualquier transferencia de datos a países fuera de la Unión Europea. Para el GDPR, un dato personal es aquél que pueda ser usado para determinar la identidad de una o más personas físicas. El tratamiento de datos personales en la Unión Europea está sujeto a principios que incluyen: limitación de tratamiento: los datos personales sólo se utilizarán mediante un aviso de privacidad; privacidad por diseño: los sistemas que se utilicen para el tratamiento, consideren medidas concretas para proteger la información; privacidad por defecto: cuando se den al particular varias opciones, la pre-llenada siempre será la que implique un mayor grado de protección; y responsabilidad proactiva: el responsable deberá poder demostrar que ha tomado las medidas necesarias para proteger los datos. La GDPR también establece derechos en relación con el tratamiento de datos personales: Acceso: Los titulares tienen derecho a saber qué datos tiene el responsable y para qué los utiliza; Rectificación: Los titulares tienen derecho a solicitar al responsable que realice correcciones sobre los datos personales; Explicación: Cuando los datos personales son tratados exclusivamente por medios informáticos y no interviene valoración humana, los titulares tienen derecho a que se les explique el razonamiento que hizo el programa; Cancelación: Los titulares tienen derecho a solicitar que se eliminen sus datos de las bases de datos del responsable, es llamado “derecho a ser olvidado”; y Oposición: Los titulares tienen derecho a requerir legalmente al responsable que deje de dar determinado tratamiento a sus datos y puede hacer al responsable sujeto de una sanción. México tiene desde 2010 una Ley Federal de Protección de Datos en Posesión de Particulares. En ella ya se preveían muchas de las reglas que se requerirían para la adecuación del marco jurídico nacional, pero esta ley sólo les aplicaba a los particulares que trataban datos personales, y no a los entes públicos. En enero del 2017, se aprobó la Ley General de Protección de Datos en Posesión de Sujetos Obligados, estableciendo reglas uniformes para la protección de datos de cara a todos los niveles de gobierno. México fue invitado en 2018 a firmar la Convención 108 del Consejo de Europa en materia de Protección de Datos, que puede ser un paso importante en el camino a armonizar las reglas mexicanas para permitir un intercambio sin barreras de entrada. Con ello, se tendrá que volver a evaluar el marco legal para analizar si se incorporan los cambios que el Reglamento supuso respecto de la Directiva, y luego acercarse a la Comisión Europea para buscar una decisión de adecuación. ¿Qué tengo que hacer si mi negocio trata datos personales? Es muy importante que no sólo cuentes con una política de protección de datos y un aviso de privacidad que cumplan con la ley mexicana, sino que además consideres si los procesos de tu negocio contemplan los principios antes mencionados. Por desgracia, hay empresas mexicanas que sólo intentan sujetarse a las excepciones de la ley, en vez de proactivamente proteger los datos personales de sus clientes. Quienes así lo hacen, no sólo arriesgan su reputación, sino que además corren el riesgo legal de que el INAI o los tribunales mexicanos o extranjeros no coincidan en que aplica la excepción y le determinen una responsabilidad a la empresa, exponiéndose a multas bastante altas, y en algunos casos, a responsabilidades penales. *Fundador y CEO de Homie.mx.   Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.