EL IMPACTO DEL REGLAMENTO GENERL DE PROTECCIÓN DE DATOS (GDPR) EN MÉXICO.

07 Jun EL IMPACTO DEL REGLAMENTO GENERL DE PROTECCIÓN DE DATOS (GDPR) EN MÉXICO.

Con la entrada en vigor del nuevo REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UNIÓN EUROPEA(en adelante identificado –por sus siglas en inglés –GDPR), que tendrá efecto el 25 de mayo de 2018, los responsables que obtengan y traten datos personales de personas físicas que radiquen en la Unión Europea (en adelante, UE), deberán cumplir con diversas disposiciones legales, aún y cuando su domicilio esté fuera de la UE (por ejemplo, México).

1. Aplicación del GDPR y Tratamiento de Datos Personales.

 Con el fin de garantizar la plena protección de los datos personales de los ciudadanos de la UE, las nuevas disposiciones del GDPR extienden su aplicación fuera del territorio de la UE. Es fundamental que las compañías que cuentan con filiales, subsidiarias o sucursales fuera de la UE tomen en consideración estas nuevas disposiciones e implementen las medidas requeridas por el GDPR, pues no hacerlo, acarrea un riesgo económico y reputacional importante para los grupos empresariales.

 A continuación se abordarán los supuestos en los que el GDPR es aplicable fuera del territorio europeo:

Empresa Perteneciente a un Grupo Empresarial.

Si una empresa constituida bajo las leyes de alguno de los Estados miembros de la UE (en lo sucesivo, Estados Miembros), cuenta con una subsidiaria o filial con domicilio fuera de la UE, y le ejerce control para hacer cumplir normas de protección de datos personales, se entiende que compone -junto con la subsidiaria- un “Grupo Empresarial”. En razón de ello, tanto a la compañía constituida en el Estado Miembro como las subsidiarias o filiales les es aplicable el GDPR –independientemente de donde estén ubicadas– , de acuerdo con lo dispuesto en su Considerando 37 del GDPR.

Tratamiento de Datos Personales para Ofertar Bienes o Servicios.

De acuerdo con el considerando 23 del GDPR, una compañía ubicada fuera del territorio de la UE estará obligada al cumplimiento de sus disposiciones si lleva a cabo el tratamiento de datos personales para ofertar bienes o servicios, independientemente de que medie o no pago.

El considerando 23 del GDPR dispone que, para determinar si el responsable o encargado ofrece bienes o servicios, se deberá analizar si es evidente que la oferta se hace en uno o varios Estados Miembros. Se entiende que la oferta es evidente cuando cumple con alguno de los siguientes criterios:

• Uso de una lengua generalmente utilizada en uno o varios Estados Miembros y la posibilidad de solicitar los productos o servicios en dicha lengua.
• Uso de una moneda generalmente utilizada en uno o varios Estados Miembros.
• Mención de clientes o usuarios que residen en la UE .

Observación de Comportamiento de Interesados Residentes de la UE.

Una empresa establecida fuera del territorio de la UE estará sujeta al GDPR si lleva a cabo actividades consistentes en observar el comportamiento de titulares de datos personales residentes de la UE. Para determinar si se lleva a cabo esta actividad, debe evaluarse si: (i)las personas físicas son objeto de seguimiento en internet; (ii)si se lleva a cabo una elaboración de perfil de una persona física con el fin de adoptar decisiones sobre él o ella; o (iii)si se elaboran perfiles para analizar o predecir preferencias personales, comportamientos y actitudes. Todo anterior, de acuerdo con el considerando 24 del GDPR.

Por lo tanto, las empresas que pretendan realizar negocios con la información de personas dentro de la UE, o que utilicen datos personales para elaborar perfiles por medio de herramientas de seguimiento -como las cookies– son considerados responsables por el GDPR. En consecuencia, si no cumplen con sus disposiciones, pueden verse involucrados en supuestos de sanción.

Misiones Diplomáticas u Oficinas Consulares Sujetas al GDPR.

El GDPR también prevé el tratamiento de datos personales realizado por las embajadas, misiones diplomáticas u oficinas consulares de los Estados Miembros en los denominados “terceros países”. En este sentido, dichas instituciones deberían cumplir con el GDPR, a la luz del considerando 25 y el artículo 3, párrafo 3, se transcriben a continuación:

“(25) Cuando sea de aplicación el Derecho de los Estados miembros en virtud del Derecho internacional público, el presente Reglamento debe aplicarse también a todo responsable del tratamiento no establecido en la Unión, como en una misión diplomática u oficina consular de un Estado miembro.”

“Artículo 3

Ámbito territorial

(…)

El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.”

      [Énfasis agregado]

Entonces, se entiende que las oficinas diplomáticas de la UE se sujetarán a las disposiciones del GDPR. Lo que adquiere importancia para las empresas en México, así como para los residentes europeos dentro de su territorio.

• Tratamiento en el Contexto de Actividades de un Establecimiento en la UE.

Es de suma importancia considerar que, de acuerdo con su artículo 3, párrafo 1, el GDPR es aplicable cuando el tratamiento de datos personales se encuentra dentro de las actividades de un establecimiento del responsable o encargado en la UE, sin importar si dicho tratamiento se hace o no dentro de su territorio. En el considerando 22 del GDPR se define el concepto de “establecimiento”, aclarando que engloba la actividad, sin importar si cuenta con la personalidad jurídica de sucursal o de filial.

“(22) Todo tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de que el tratamiento tenga lugar en la Unión. Un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto.”

[Énfasis agregado]

De lo anterior se entiende la necesidad de que en México se tomen previsiones, siendo de especial importancia que estas sean consideradas por filiales, subsidiarias o empresas controladas de o por grupos europeos. Lo anterior, tomando importancia en caso que se les encomiende el tratamiento de datos personales de residentes de la UE.

2. Nombramiento de Representante.

Cuando el responsable del tratamiento de datos personales tenga su establecimiento fuera de la UE, aplica la obligación dispuesta en el artículo 27. La cual, consiste en la designación por escrito de un representante en alguno de los de los Estados Miembros de la UEen el que se estén tratando los datos personales como lo refiere el artículo 3, párrafo 2. De la lectura del párrafo 2, inciso a) del artículo 27, se entiende que la obligación será aplicable en los siguientes casos:

• El tratamiento es constante, incluyendo a gran escala categorías de datos como:
  • Origen étnico o racial.
  • Opiniones políticas.
  • Convicciones religiosas o filosóficas.
  • Afiliación sindical.
  • Datos genéticos o biométricos.
  • Datos relativos a la salud.
  • Datos relativos a la vida sexual.
  • Orientación sexual.
  • Condenas e infracciones penales.

• El tratamiento es realizado por entidades privadas, es decir, se excluye de la obligación a autoridades u organismos públicos.

El responsable o el encargado del tratamiento encomendará al representante que atienda, a nombre y cuenta o en conjunto, las consultas de los titulares de los datos personales que se traten en la UE. Se debe entender que el designar un representante no exenta al responsable o encargado de que se interpongan acciones legales en su contra.

3. Transferencias Internacionales.

Se reconoce que en un mundo completamente conectado, existe la posibilidad de que datos personales recabados y tratados dentro de los Estados Miembros sean transferidos a “terceros países”, es decir, a Estados que no pertenecen a la UE. Para ello, el Reglamento dispone obligaciones y condiciones que, para efectos de evitar incumplimiento o la sujeción a procesos de imposición de sanciones, deben ser consideradas.

En primer lugar, es importante mencionar que, de acuerdo con el considerando 48 del GDPR, los responsables que forman parte de un grupo empresarial pueden acreditar interés legítimo para transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Sin embargo, los principios y obligaciones generales deben cumplirse.

El GDPR dispone tres supuestos en los que una transferencia internacional a un “tercer país” se justifica. A continuación se enlistan y se explican brevemente cada uno de ellos.

• La transferencia se basa en una decisión de adecuación.
• La transferencia tiene base en garantías adecuadas.
• La transferencia se basa en una excepción dispuesta en el artículo 49 del GDPR.

Transferencia Basada en una Decisión de Adecuación.

De acuerdo con el artículo 45del GDPR, una transferencia de datos personales a un país fuera de la UEse sujetará a la evaluación de la Comisión Europea sobre los siguientes aspectos, con el fin de garantizar un nivel de protección adecuada.

• El Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la legislación pertinente, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las medidas de seguridad, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos personales estén siendo transferidos de derechos efectivos y exigibles y de recursos administrativos y acciones judiciales que sean efectivos.
• La existencia y el funcionamiento efectivo de una o varias autoridades de control.
• Los compromisos internacionales asumidos y la participación en sistemas multilaterales o regionales.

Transferencias Mediante Garantías Adecuadas.

Este supuesto corresponde a la falta de decisión por parte de la Comisión Europea y se encuentra dispuesto en el artículo 46 del GDPR. De esta manera, el responsable o encargado únicamente podrá transferir datos personales a un tercer país si ofrece las garantías adecuadas y si los interesados podrán hacer valer sus derechos.

Entonces, si se desean hacer transferencias sin que medie una decisión de la Comisión Europea, se deberán ofrecer las garantías pertinentes. De acuerdo con el GDPR, existen dos clases de garantías, a saber:

Excepciones del Artículo 49 del GDPR.

Las excepciones del artículo 49 permiten las transferencias de datos personales sin que se requiera una decisión de adecuación o alguna de las garantías mencionadas. En este sentido, podrán realizarse libremente transferencias a terceros paísessiempre y cuando aplique alguno de los siguientes supuestos:

• El interesado dio expresamente su consentimiento, tras haber sido informado de los posibles riesgos.
• La transferencia es necesaria para la ejecución de un contrato entre el interesado y el responsable.
• La transferencia es necesaria para la celebración o ejecución de un contrato en interés del interesado, entre el responsable y otra persona.
• La transferencia es necesaria por razones de interés público.
• La transferencia es necesaria para el ejercicio o la defensa de reclamaciones.
• La transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado no pueda dar su consentimiento.
• La transferencia se realiza desde un registro público que esté abierto a la consulta pública.

Adicionalmente a lo anterior, cuando el responsable transfiera datos personales de residentes europeos a terceros países, el GDPR dispone la obligación dellevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. De acuerdo con el artículo 30del GDPR, el registro deberá contener lo siguiente:

• El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
• Los fines del tratamiento.
• Una descripción de las categorías de interesados y de las categorías de datos personales.
• Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países.
• La identificación de transferencias de datos personales a un tercer país.
• Los plazos previstos para la supresión de las diferentes categorías de datos.
• Una descripción general de sus medidas técnicas y organizativas de seguridad.

Por otro lado, cuando los datos personales se obtengan para fines comerciales y de cooperación internacional, las transferencias no deben menoscabar el nivel de protección garantizado en la UE. Por lo que, además de cumplir con la regulación local, deben garantizar el cumplimiento del GDPR. Esto de acuerdo con el Principio de General de Transferenciasy el Artículo 44 del GDPR, inserto a la letra a continuación:

“Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.”

[Énfasis agregado]

 Otras Consideraciones.

Es importante señalar que, de acuerdo con el artículo 48del GDPR, cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exija que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida si se basa en un acuerdo internacional.

Las sanciones dispuestas en el GDPR llaman la atención por su rigurosidad, por lo que es de suma importancia que se tomen en consideración. Sobre todo, para aquellas empresas que se encuentran fuera de la UE y que adquieran la calidad de responsable o encargado. Dado dicho supuesto, el responsable tendría que cumplir con todas las obligaciones previstas en el GDPR.

De acuerdo con el artículo 83, la sanción por falta de cumplimiento a las obligaciones referidas con las transferencias internacionales impondría una multa de carácter administrativo que podría alcanzar los 20,000,000 EUR (Veinte millones de euros 00/100, moneda de curso legal en la UE) como máximo; o bien, tratándose de una empresa, lo equivalente al 4% (cuatro por ciento)del negocio anual global del ejercicio financiero anterior.

Independientemente de lo anterior, si las actividades de alguna compañía ubicada fuera de la UEencuadran en los supuestos abordados en el apartado 1del presente, será considerado responsable en términos del GDPR. En este sentido, deberá cumplir con todas las obligaciones que el propio GDPR dispone. De lo contrario, podrá ser acreedor de sanciones que podría alcanzar los 10,000,000 EUR (diez millones de euros 00/100, moneda de curso legal en la UE) o los 20,000,000 EUR (veinte millones de euros 00/100, moneda de curso legal en la UE)como máximo; o bien, tratándose de una empresa, lo equivalente del 2%  al  4% del negocio anual global del ejercicio financiero anterior.

3. Continuidad en el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los particulares:.

No está por demás señalar que las empresas consideradas responsables en México deben cumplir con las disposiciones aplicables a la protección de datos personales, como es la LFPDPPP, así como su Reglamento, los Lineamientos del Aviso de Privacidad, las Recomendaciones en materia de Seguridad de Datos Personales y demás legislación aplicable.

Fuentes de consulta:

• Reglamento General de Protección de Datos.
• José Luis Piñar Mañas, “Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de Privacidad”.

Artículo elaborado por:

Socio: Luis Mario Lemus Rivero

Abogado: Mauricio Sánchez Lemus