Trascendencia en Colombia del Reglamento General de Protección de Datos de la Unión Europea
15 de Agosto de 2018
Juan Sebastián Cabezas Azuero
Abogado Moncada Abogados
j.cabezas@moncadaabogados.com.co
El 25 de mayo de 2018 entró en vigencia el Reglamento General de Protección de Datos (RGPD) de la Unión Europea –Reglamento 2016/679 del Parlamento Europeo-, el cual consagra a favor de los ciudadanos de la Unión Europea mayores derechos sobre sus datos y su circulación, así como una alta carga administrativa y operativa para las empresas que hagan el tratamiento de los mismos. A primera vista podría pensarse que los efectos de este Reglamento no trascienden las fronteras europeas; no obstante, un análisis más detenido permite concluir que se aplica también a empresas que recojan, guarden, traten, usen o gestionen datos de ciudadanos de la Unión Europea, independientemente de su origen o actividad.
En efecto, el ámbito de aplicación del RGPD se centra, además, en la protección a la circulación de datos personales, los cuales trascienden las fronteras del Espacio Económico Europeo para transitar o finalizar en jurisdicciones con marcos normativos de protección distintos a los contenido en el RGPD. En este sentido, el considerando 101 del RGPD pone de presente la necesidad del flujo transfronterizo de datos personales con ocasión al comercio y cooperación internacional desde, y hacia, países no pertenecientes a la Unión Europea, sin que ello pueda conllevar un menoscabo en el marco de protección creado.
Esta transferencia de datos resulta más habitual de lo que imaginamos, presentándose por ejemplo en los servicios de hosting, almacenamiento en la nube, correo electrónico, plugins de wordpress, entre otros, que son contratados por empresas establecidas dentro de la Unión con empresas domiciliadas por fuera de sus fronteras. Si bien existen países con mejor clima de negocios para la constitución y desarrollo de empresas desarrolladoras de tecnología –en particular aquellas relacionadas con el manejo y/o explotación de datos personales-, también es cierto que en Colombia algunas empresas ya han iniciado este camino, por lo cual resulta importante para ser más competitivos dentro del mercado europeo, identificar estos puntos y transformarlos en buenas prácticas corporativas. No debe perderse de vista que este campo será uno de los pilares del nuevo gobierno nacional a juzgar por el plan de gobierno propuesto, que incluye la identificación y eliminación de barreras que impida el desarrollo de bienes y servicios digitales, la masificación de la explotación de datos y generación de mecanismos normativos para su explotación y la capacitación del talento nacional.
Así las cosas, el Capítulo V del RGPD establece el marco de protección a la transferencia de datos personales a terceros países u organizaciones internacionales, consagrándose allí las opciones o alternativas que tienen las empresas domiciliadas dentro de la Unión Europea para realizarlo. En resumidas cuentas, se consagran las siguientes opciones: (i) que exista una decisión de adecuación, (ii) que existan garantías adecuadas, (iii) a través de normas corporativas vinculantes, y (iv) a través de una de las excepciones allí establecidas.
La decisión de adecuación es otorgada por la Comisión de la Unión Europea y acredita el alto nivel de protección que otorga un país tercero no perteneciente a la Unión al tratamiento de datos personales. Con la decisión de adecuación se elimina cualquier barrera para la transferencia de datos a estas jurisdicciones. A la fecha los países que cuentan con esta son: Suiza (2000), Canadá (2002), Argentina (2003), Guernsey (2003), Isla de Man (2004), Jersey (2008), Islas Feroe (2010), Andorra (2010), Israel (2011), Uruguay (2012), Nueva Zelanda (2012) y, finalmente, Estados Unidos (2016), aunque este último sólo aplicable a entidades certificadas bajo el marco del Escudo de Privacidad UE-EEUU.
Las garantías adecuadas pueden requerir o no autorización expresa de una autoridad de control. Entre las primeras encontramos las cláusulas contractuales entre responsables, encargados y/o destinatario de los datos personales en el tercer país u organización internacional, así como acuerdos administrativos entre autoridades u organismos públicos. Por su parte, entre las que no requieren autorización, se encuentran los instrumentos jurídicamente vinculantes y exigibles entre las autoridades u organismos públicos, las normas corporativas vinculantes, las cláusulas tipo de protección de datos adoptadas por la Comisión, las cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión, códigos de conducta con compromisos vinculantes del responsable o encargado del tratamiento en el tercer país y, finalmente, un mecanismo de certificación en el tratamiento de datos con compromiso vinculante del responsable o encargado del tratamiento en el tercer país.
Las normas corporativas vinculantes hacen referencia a políticas de protección de datos que asume un responsable o encargado del tratamiento, que se encuentre establecido en el territorio de un Estado de la Unión, para la transferencia a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta. Deben ser jurídicamente vinculantes y cumplidas por todos los miembros del grupo empresarial o unión de empresas. Igualmente, debe conferir a los interesados derechos exigibles para el tratamiento de sus datos personales, y para constituirse como garantía adecuada se requiere de su aprobación por parte de la autoridad de control del país.
Finalmente se consagran las excepciones para situaciones específicas, las cuales en ausencia de las anteriores alternativas sirven como fundamento para llevar a cabo la transferencia de datos. Entre ellas se consagran: el consentimiento explícito e informado del titular; que sea necesaria para la ejecución de un contrato o precontrato entre el interesado y el responsable; que sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable y otra persona física o jurídica; que sea necesaria por razones importantes de interés público; que sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones; que sea necesaria para proteger los intereses vitales del titular o de otras personas, cuando el titular esté incapacitado para dar su consentimiento y, por último; que se realice desde un registro público que tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que acredite un interés legítimo.
En este sentido, son varias las alternativas que tienen las organizaciones de la Unión Europea para soportar legalmente la transferencia de datos personales a terceros países u organizaciones internacionales. Por su parte, las empresas colombianas que realicen alto tratamiento de datos personales de ciudadanos europeos también deben conocerlas e identificar la que mejor se ajuste a su operación, con el fin de ser más competitivos en dicho mercado y evitar incurrir en las altísimas sanciones económicas que dispone el RGPD.
Opina, Comenta