¿Qué efectos tiene para México el nuevo RGPD?

Muchos de nosotros hemos recibido en los últimos días una cantidad de correos electrónicos de empresas como Google, Microsoft, Spotify, Cisco, entre otras sobre cambios en sus políticas de privacidad. Lo anterior tiene que ver con la entrada en vigor del, coloquialmente llamado, «Reglamento de Protección de Datos Personales de la Unión Europea.

Este reglamento, es quizá uno de los más ambiciosos y novedosos de los últimos años en materia de protección de datos, pues no sólo establece directrices sobre estos en Europa sino que sus efectos se expanden de manera extraterritorial generando implicaciones para terceros países como México. En el presente artículo trataré de explicar de la forma más general posible en qué consiste este nuevo reglamento y que implica para México y terceros países su entrada en vigor.

Es innegable que la entrada en vigor de este nuevo Reglamento, está revolucionando de manera fundamental la manera en la concebimos esta materia, y sin duda este nuevo ordenamiento generará un gran precedente de cara a lo que en un futuro terceros países podrán hacer para garantizar una efectiva protección de los Datos Personales.

En primer lugar, considero importante hacer mención a algunos aspectos relativos al Derecho Comunitario Europeo para entender de mejor manera este nuevo reglamento. El Derecho de la Unión Europea esta compuesta por dos tipos de derechos. En primer lugar está el derecho originario o primario, constituido por los tratados constitutivos y de funcionamiento de la Unión como es el caso del Tratado de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea, la Carta de Derechos Fundamentales de la Unión Europea, Tratados Adhesivos de Nuevos Estados, entre otros.

En segundo lugar está el derecho secundario o derivado que es «el conjunto de normas o instrumentos con fundamento en la norma constitutiva». La mayor parte de estos actos provienen del sistema de atribución de competencias consagrado en el artículo 5º del Tratado de la Unión Europea. Los actos más importantes de este tipo de derecho son los siguientes:

  • Decisiones: este acto jurídico será obligatoria en todos sus elementos. Cuando designe destinatarios sólo será obligatoria para éstos. Este acto, es diferente al reglamento en cual a que carece de alcance general en cuanto a los destinatarios ya que la decisión puede tener destinatarios concretos.
  • Reglamentos: son actos cuyo alcance tiene el carácter de general y son obligatorios en todos su elementos y directamente aplicables en cada Estados miembro. Estos es, su contenidos establece una regulación general, el contenido del reglamento obliga a todos los Estados miembro y este acto no requiere un acto de transformación por parte de los Estados miembros para que sea válido.
  • Directivas: obliga al estados miembro destinatario en cuanto al resultado que deba conseguirse, dejando, sin embargo, a las autoridades nacionales la elección de la forma y de los medios. En este caso, la directiva no tiene alcance general sino que puede tener como destinatarios a todos los Estados o bien a alguno de ellos en concreto.

Ya que tenemos claro lo anterior, ahora si podemos explicar de mejor forma en qué consiste el RGPD. Éste reglamento es un acto legislativo de la Unión Europea (del Parlamento y el Consejo) que, en el orden jurídico de la Unión, tiene los efectos más significativos sobre los Estados y sus habitantes. Este reglamento tiene por objeto establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

¿Qué implica la entrada en vigor de este Reglamento? En primer lugar, el RGPD deroga la directiva Directica 95/463 que estuvo en vigor al interior de la UE desde el 24 de octubre de 1995, misma que estableció principios protectores de los datos personales de las personas físicas al interior de la UE. En este sentido, la Directiva 95/46 fue el instrumento que sirvió de base para que después de la última ampliación de la UE existiesen 28 leyes nacionales sobre protección de datos personales; 28 cuerpos normativos regulando un derecho considerando fundamental en esa parte del mundo, todos ellos con base en la Directiva 95/46.[1]

Sin embargo, con el avance las nuevas tecnologías en Europa y desde luego a escala global, la Unión se vio en la necesidad de plantear nuevos retos regulatorias en torno a la protección de los datos de las personas físicas en los Estados pertenecientes a la UE, para ello se hizo necesario avanzar en el sentido de las garantías que brinda un Reglamento.

Así pues, tras años de negociación entre los distintos actores de la Unión (entre ellos el Parlamento y el Consejo), el 4 de mayo de 2016 fue publicado en el Diario Oficial de la UE el “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE”

Toda vez que el Reglamento fue promulgado el 4 de mayo de 2016, la entrada en vigor de éste nuevo reglamento no se dio hasta el 25 de mayo de 2018, es decir, más de dos años posteriores a su publicación en el Diario Oficial de la Unión Europea. Esto se dio así, para brindar un «plazo razonable» para que todos los sujetos obligados pudieran dar cumplimiento y adoptarse a las nuevas disposiciones de este acto legislativo, tal y como lo dispone el artículo 99 del RGPD.

Aplicación del Reglamento a Terceros Países (Extraterritorialidad). 

Desde que se dio a conocer la entrada en vigor de este nuevo reglamento, hubo mucho alboroto por parte de otros países por las medidas que éstos debían tomar para dar cumplimiento a este reglamento. Este se dio así en virtud de lo que la propia Unión dispuso en el considerando 23 del Reglamento que refiere a que los terceros países que manejen datos personales de ciudadanos de la Unión, serán considerados como sujetos obligados para efectos del Reglamento y deberán de regirse por éste.

Por otro lado, el considerando 24 del RGPD también dispone que el tratamiento de datos personales de los interesados que residen en la Unión por un responsable o encargado no establecido en la Unión debe ser también objeto del presente Reglamento cuando esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. […]. 

Ámbito Territorial

Es el artículo tercero la disposición que establece la regulación relativa al ámbito territorial de este Reglamento. En este sentido, el numeral dos de dicho artículo dispone que el presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Ahora bien, una vez entendido la aplicación de dicho reglamento así como el ámbito territorial del mismo, es importante conocer cuando somos considerados como sujetos obligados de un tercer estado para efectos del RGPD. Para tener claro lo anterior, es necesario hacer referencia a los siguientes punto que lo explican de manera clara:

  1. El RGPD protege tanto a los ciudadanos Europeos como aquellos que no lo son pero que tengan su legal estancia en un país perteneciente a la Unión, cuyos datos sean tratados por responsables y encargados.
  2. Por otro lado, el mismo artículo 3.2 del Reglamento establece que el GDPR será aplicable a responsables y encargados no establecidos en ese territorio, que realicen las actividades limitativamente enumeradas en el mismo.
  3. En este sentido, es de aplicación lo que dispone el numeral 23 para entender de manera clara a que se refiere el reglamento cuando habla de oferta de bienes o servicios. En este sentido, el numeral 23 de los considerandos establece: «Para determinar si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión.»
  4. Finalmente, en relación al concepto de «control de comportamiento» de los interesados es importante mencionar que en la medida en que dicho comportamiento tenga lugar al interior de un Estado de la UE, el considerando 24 al que anteriormente hice referencia establece que Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.”

En conclusión, como podemos ver, este reglamento representa uno de los mayores avances normativos de cara a la protección de los datos de las personas físicas. Si bien es cierto que dicho reglamento es aplicable esencialmente la Unión, hay aspectos en donde terceros países pueden tener una obligación específica cuando tratan datos personales de ciudadanos de la Unión fuere de ésta. Así, más allá de lo que este reglamento pueda significar como instrumento normativo de la UE, me parece que será tomado como importante precedente de cara a lo que otros países puedan llegar a cabo para lograr la protección efectiva de los datos de todas las personas.

INFOGRAFÍA DEL RGPD

 

 

 

 

 

 

 

 

 

 

 

REFERENCIAS

[1] GUZMÁN, H. Efectos extraterritoriales de la nueva regulación europea de protección de datos personales. Revista Consultoría, disponible en http://revistaconsultoria.com.mx/gdpr-llega-mexico/ (fecha de consulta 28 de mayo de 2018).

FERNÁNDEZ, C. Nociones básicas del Derecho de la Unión Europea, Editorial Universitaria Ramón Areces, Madrid, España, Pp. 431.

Abogado por la Universidad Panamericana (México) y abogado ejerciente colegiado por el Ilustre Colegio de la Abogacía de Madrid. Cuenta con un posgrado en Derecho y Negocio de las Nuevas Tecnologías, Internet y Audiovisual. Especialista en temas de Telecomunicaciones, Medios, Tecnologías y Protección de Datos. Actualmente, Analista Especialista en Riesgos de Privacidad en Aquanima Grupo Santander en donde lleva a cabo la gestión de riesgos de proveedores de Grupo Santander para Reino Unido y resto del Grupo dentro de VRAC (Vendor Risk Assessment Centre). Es, asimismo, profesor de posgrado invitado en la Universidad CEU San Pablo.