¿Cómo les afectan las obligaciones rgpd/gdpr a las empresas fuera de la unión europea?
Contenidos
El 25 de mayo de 2018, entró en vigor en Europa el Reglamento General de Protección de Datos (RGPD), conocido por sus iniciales en inglés como GDPR (General Data Protection Regulation), y puede aplicarse a organizaciones fuera de la UE debiendo también cumplir con las obligaciones RGPD
¿Cómo te afecta el RGPD si estás en Latinoamérica?
Vivimos en una sociedad cada vez más tecnológica.
Y la protección de la privacidad y los datos personales es un derecho fundamental para todas las personas.
El derecho a la privacidad forma parte del Convenio Europeo de Derechos Humanos de 1950, que establece: «Toda persona tiene derecho al respeto de su vida privada y familiar, su hogar y su correspondencia».
Teniendo en cuenta esta base, la Unión Europea ha buscado asegurar la protección de este derecho a través de diferentes legislaciones.
Desde la llegada de internet y aparición del primer banner publicitario online en 1994, los años han pasado volando y la evolución de nuevas tecnologías y herramientas, han hecho darle prioridad a la protección de los datos personales y a la privacidad en internet.
Es un derecho fundamental que tenemos todos y que desde 1981 con el Convenio 108 para la Protección de las Personas respecto al Tratamiento Automatizado de Datos Personales, fue el primer instrumento jurídico vinculante, es decir de obligatorio cumplimiento.
Desde entonces , la tecnología ha ido avanzando a la velocidad de la luz y hoy día el comercio electrónico cada vez es más frecuente.
Asimismo, cada vez más, nuestra vida gira en torno a aplicaciones, redes sociales de comunicación y herramientas, que recogen y tratan datos de carácter personal.
Por eso la UE ha ido adaptando sus normativas a los cambios producidos en la sociedad digital, en la que estamos.
El GDPR ha propiciado una mayor protección a los derechos de las personas y establece mecanismos más eficaces para la protección de usuarios, consumidores y personas en general.
Si estás en cualquier país fuera de la Unión Europea (UE) o del Espacio Económico Europeo, las obligaciones RGPD te afectarán siempre que tengas clientes o suscriptores europeos.
¿ Qué significa ?
Que si por ejemplo, estás en México, o en Colombia y tu empresa o negocio privado, se dirige al mercado europeo para la venta de tus productos, servicios, o tienes un blog donde interactúas con tus lectores o seguidores dándole la opción de comentar, deberás cumplir con el RGPD/GDPR (en inglés).
¿Cuándo se aplica el Reglamento general de protección de datos (RGPD)?
Las ventas online a través de un ecommerce, o un Dropshipping, hacen que puedas comprar y vender productos y servicios internacionalmente.
Por esto cada vez más países de Iberoamérica, adoptan nuevas normativas en materia de protección, poniendo su mira en el RGPD y los Estándares Iberoamericanos de Protección que entraron en vigor en el 2017 siguiendo el ejemplo Europeo y cumpliendo con las obligaciones RGPD.
Los Estándares, son una guía para los países de Iberoamérica que tienen leyes de protección de datos y también para aquellos que no la tienen como Bolivia, Cuba, Guatemala, Honduras, Paraguay y Venezuela, que tienen un modelo a seguir en materia de privacidad y protección de datos.
Dicho esto, es posible que te preguntes:
¿Por qué este cambio con la implementación del RGPD?
Te hablaré claro y sin tecnicismos jurídicos.
En uno de los artículos del Reglamento, se habla del ámbito de aplicación extraterritorial.
Es decir, fuera de la UE.
Aunque todos los países europeos tienen sus propias leyes, el RGPD tiene un paraguas más amplio, que regula pautas a seguir y cumplir obligatoriamente por todos, además de sus normas nacionales.
El RGPD se aplica para los tratamientos de datos de manera general, incluyendo cualquier operación o conjunto de operaciones que contengan datos personales ya sea por procedimientos automatizados o no.
Es decir que puede ser la adquisición de datos personales, cuando exista intervención humana o, sea automáticamente.
Y como me gusta llamar a las cosas por su nombre “al pan pan y al vino vino”, antes de terminar con este punto, te detallo lo que es considerado tratamiento de datos. ¡Para que no se escape ninguno!
La recogida de datos, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
¿Qué países dentro de Iberoamérica cumplen los requisitos europeos de seguridad?
Actualmente los países que han sido considerados con un nivel adecuado de protección de datos por la Comisión Europea son:
- Argentina, que se le otorgó esta condición en el 2003.
- Uruguay fue declarado en el 2013.
Aunque estos son los países considerados seguros, para el tratamiento de datos personales y a los cuales se podría realizar transferencias internacionales de datos desde Europa con las máximas garantías de seguridad, existen cada vez más países que han desarrollado y actualizado sus leyes en materia de protección de datos.
El futuro es incierto y ahora mismo no te puedo decir cuál será el próximo país dentro de Latinoamérica e Iberoamérica que será considerado seguro con nivel óptimo de protección de datos.
Si te puedo avanzar, que aparte de Argentina y Uruguay -junto con México- son los únicos países latinoamericanos que son parte del Convenio 108 para la protección de las personas del cual te he hablado anteriormente.
Aunque Costa Rica y Colombia, ya han manifestado su habilidad de adherirse a este convenio internacional.
¿Cuáles son los países latinoamericanos que han sacado nuevas leyes de protección de datos?
Te cuento:
BRASIL
- En agosto del 2020, entró en vigor la ley de privacidad de datos de Brasil conocida con las siglas de (LGPD, Ley General de Protección de Datos).
En plena pandemia mundial del coronavirus, los brasileños contaron con una norma, para que sus datos y derechos fueran protegidos.
Es importante que sepas que las sanciones administrativas por incumplimiento de la protección de datos, no se han impuesto hasta el primero de agosto de 2021.
Así que si tu empresa es brasileña o tienes una web en Brasil y recoges datos personales, debes cumplir con la LGPD.
Y en el caso que tengas visitantes, suscriptores o clientes europeos también tiene que cumplir con las obligaciones RGPD.
PANAMÁ
- En marzo del 2021 entró en vigencia la ley de protección de datos personales de Panamá, la cual posibilita la creación de una base de datos segura.
Entre los cambios que traerá para los panameños encontramos:
- La designación de un custodio responsable de la información personal.
- La necesidad de solicitar el consentimiento tanto de entidades públicas como privadas, para el tratamiento de los datos personales, a través de formularios en papel.
Es decir cuando hay recogida de datos físicamente, o recogida en las páginas webs, con formularios online, entre otros cambios.
ECUADOR
- En mayo de 2021 se hizo pública la Ley Orgánica de Protección de Datos Personales (LOPDP) de Ecuador.
Tanto si tu empresa está en Ecuador, como para todas las empresas y personas ecuatorianas que tengan sus propios negocios allí, disponen de 2 años para adaptar su actividad y procedimientos a lo regulado en esta normativa de protección de datos.
En esta ley – como no podía ser de otra manera -, y siguiendo el ejemplo del RGPD, prevalece el derecho de las personas sobre la protección de sus datos personales sobre empresas.
Hoy hemos hecho un rápido viaje por las nuevas leyes latinoamericanas en materia de protección de datos.
Si estás en alguno de estos países o lo está tu empresa, y además mantienes intereses comerciales, o tratas datos de ciudadanos europeos y quisieras que profundice en algún país en específico, indícamelo en un comentario y estaré encantada de solventar tus dudas.
¿Quién supervisa cómo se tratan los datos personales dentro de una empresa?
Dentro de una empresa debe existir la figura del Responsable de Tratamiento de datos.
¿Y quién tiene ese rol?
En el caso que no hayas constituido una sociedad y seas una persona autónoma, o trabajador por cuenta propia, como se le conoce en otros países, tú serías el encargado de tratamiento de datos.
En casos de empresas más grandes, la supervisión de los datos personales dentro de la empresa, puede realizarla un responsable en protección de datos que se designe dentro de la misma.
Esta persona velará por el cumplimiento de todas las obligaciones RGPD y exigencias establecidas en el GDPR y la normativa vigente en materia de protección y tratamiento de datos personales en la empresa como:
- Tratamiento de empleados, tratamiento de clientes, tratamiento de usuarios web, tratamiento de proveedores, etc.
- También debe velar porque existan y estén firmados todos los contratos con empleados, socios colaboradores, contratos con encargados de tratamiento, o terceras empresas que tengan contratadas para la prestación de servicios.
- Adicionalmente debe disponer de todos los protocolos necesarios para el cumplimiento de la seguridad y protección de datos personales.
Otra figura de la que se ha hablado desde que entró en vigor con el RGPD, es el Delegado en Protección de Datos o DPD o DPO en sus siglas en inglés.
La persona con este rol, tiene la capacidad de poder supervisar el tratamiento de datos personales de las empresas.
¡Ya te imagino con los ojos fuera de órbita al leer esto del DPD y pensando que cada vez se te acumulan más cosas a tener en cuenta!
¡Tranquilidad ante todo!, que el Reglamento de Protección de Datos ha establecido claramente, cuáles son los casos en que es obligatoria designar esta figura en la empresa.
Si eres autónomo, aunque trates datos personales sensibles, como datos de salud, sexualidad, razas, ideología, datos biométricos, si desarrollas tu mismo la actividad, y no eres un hospital, o una clínica grande, no necesitas un DPO, pues el mismo Reglamento pone la excepción cuando se trate de profesiones que se ejercen a título individual.
Para que sea obligatorio disponer de un DPO, las empresas deben tener un mínimo de 250 empleados.
Si quieres saber más sobre cuándo designar un Delegado en Protección de Datos, en el artículo 37 del RGPD tienes detallado todos los casos.
¿Cuándo NO se aplica el Reglamento General de Protección de Datos (RGPD)?
El Reglamento General de Protección de Datos, establece en su artículo 2 apartado 2 los casos en los que no se aplica esta norma.
Entre ellos están:
a) En el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión.
b) Por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE.
c) Efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
d) Por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
Debe quedarte claro que los tratamientos de datos llevados a cabo por ti, cuando sean personales, en el ámbito familiar o doméstico, no estarían regulados por el RGPD.
Por ejemplo, que compartas en tus redes sociales fotos de un viaje en familia.
¿Cómo sé si mi empresa fuera de la UE cumple con las obligaciones RGPD?
Si tu empresa o negocio está fuera de la UE y el espacio económico europeo y tratas datos de ciudadanos europeos, tienes que cumplir con las obligaciones RGPD.
Esto quiere decir que si estás en algún país latinoamericano como México, Uruguay, Colombia, Paraguay, Costa Rica, etc y comercializas tus productos y servicios a la UE, o tienes una comunidad con suscriptores y visitantes webs europeos, el GDPR y sus obligaciones formarán parte de tu negocio.
¿Cómo puedes comprobar que cumples con las obligaciones RGPD ? Pues verifícalo a través de este checklist:
Comprobación para el cumplimiento para webs y tratamiento de datos de las obligaciones RGPD
- ¿Solicitas el consentimiento a usuarios , potenciales clientes, visitantes de tu blog para tratar sus datos?
- ¿Tienes en tu web una primera capa informativa antes de recoger el consentimiento?
- ¿Todos tus formularios tienen una checkbox para que los usuarios puedan otorgar un consentimiento explícito?
- ¿Tienes en todas las páginas de la web los textos básicos de Aviso Legal, Política de Privacidad y Política de cookies?
- ¿Recopilas el consentimiento de los usuarios antes de instalar las cookies?
- ¿Utilizas alguna herramienta de gestión del consentimiento de las cookies?
- Si vendes onlines tus productos, servicios, infoproductos, membresías y más, ¿posees unas condiciones de contratación con todos los requisitos exigidos por las normativas de protección de datos y comercio electrónico?
- ¿Recoges los datos personales con fines determinados, explícitos y legítimos?
- ¿No conservas los datos personales que recoges, durante más tiempo del necesario respecto de la finalidad?
- Se han implantado medidas de seguridad para proteger la integridad y confidencialidad de los datos indicadas en el Registro de Actividades de Tratamiento (RAT)
- ¿Se han implantado medidas de seguridad contra el tratamiento no autorizado o ilícito de los datos?
- ¿Se han implantado medidas de seguridad para evitar la pérdida, destrucción o daño accidental, de los tratamientos de datos que tienes en tu negocio, como de clientes, usuarios, empleados, afiliados, así como información confidencial?
¿Cumples las condiciones para la recogida de datos a través de un consentimiento válido?
- ¿Puedes demostrar que los usuarios, suscriptores, te dieron su consentimiento para que trates sus datos personales?
- ¿Solicitas el consentimiento de forma clara e independiente para cada finalidad para la cual utilizarás los datos?
- ¿Solicitas el consentimiento de forma fácil y accesible para todas las personas interesadas?
- ¿Pides el consentimiento a través de un lenguaje claro y sencillo?
- ¿Informas con carácter previo a recabar el consentimiento sobre todas las cuestiones exigidas por el RGPD?
- ¿Los visitantes web o suscriptores pueden retirar el consentimiento con la misma facilidad con que la recaban?
- ¿Se recoge el consentimiento de manera libre?
Para que el consentimiento sea libre debe existir una opción real y control por parte del interesado.
Comprueba si cumples con las condiciones para el consentimiento para los menores de edad.
- ¿Recoges el consentimiento de menores de 14 años al titular de la patria potestad o tutela sobre los niños y niñas?
- ¿Haces verificaciones para asegurarse que el consentimiento fue dado por el titular de la patria potestad o tutela sobre los niños y niñas?
¿Eres transparente con tu comunidad y le informas sobre cuáles son sus derechos? Compruebalo ahora mismo
- ¿Tienes establecidas medidas para facilitar al interesado toda la información relativa al tratamiento de sus datos?
- ¿Informas por capas cuando recoges datos personales como: nombre y email de tus usuarios, visitantes webs o suscriptores.?
- ¿Ofreces facilidad por escrito o por otros medios, incluidos los electrónicos para dar información a los interesados?
- ¿Facilitas al interesado el ejercicio de sus derechos de acceso, rectificación, oposición, supresión, derecho a no ser objeto de decisiones automatizadas y derechos de portabilidad ?
Ahora tienes las principales cuestiones para que puedas comprobar si cumples con las obligaciones RGPD sin importar donde estés geográficamente.
Recuerda, siempre y cuando trates datos personales de ciudadanos europeos.
Cumple tus obligaciones RGPD con Legal Box Plus
Toda esta documentación y gestión la puedes obtener tú mismo con la herramienta Legal Box, donde a través de de su sistema MESA, estarás siempre actualizado en los últimos cambios legislativos para cumplir siempre con tus obligaciones RGPD.
La evolución y crecimiento de tu negocio, debe ir de la mano de la protección de la privacidad y los datos personales que trates.
La llave está en tus manos para tomar el camino que te lleve a olvidarte de las preocupaciones legales.
¿Formularios web que cumplan con el RGPD? ¡Configúralos tú mismo!
Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario
Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.
