Durante los últimos meses he tenido el privilegio de participar en Berlín en la adecuación de las políticas y procesos de varias empresas al nuevo Reglamento General de Protección de Datos (GDPR). He visto los debates al interior de las compañías y el constante tira y afloja entre los departamentos de marketing, legales, técnicos y comerciales.
No ha sido un tema pacífico, cada área siempre tiene sus objetivos y ellos no siempre coinciden: marketing tenderá a creer que siempre existe un “legítimo interés” que justifique enviar correos sin consentimiento previo a listas de correos adquiridas de terceros, el área comercial podrá pensar que el consentimiento otorgado por interesado en la compra de un producto se extiende a recibir ofertas por otros productos diferentes, el departamento informático reclamará que no es posible ofrecer la página web sin cookies o bien que tal o cual cambio al no estar en el roadmap deberá ser pospuesto hasta 2020, y el área legal no podrá evitar exigir a todos los anteriores no mover sólo un dedo sin la aprobación del, posiblemente aún no designado, data protection officer.
Las decisiones en uno u otro sentido pueden tener consecuencias millonarias, ya sea porque una implementación estricta de la norma limita el espacio de acción y con ello el retorno de la compañía, o bien porque interpretar la norma de manera descuidada y en extremo flexible puede conllevar multas de hasta el 4% de los ingresos anuales mundiales, o 20 millones de Euros (cualquiera sea la cifra mayor).
El cambio de paradigma es claro. El tratamiento de datos personales es ahora una actividad que sólo se permitirá cuando se encuentre enmarcada dentro de alguna de las seis condiciones lícitas para hacerlo. Es decir, pasamos de un sistema permisivo con limitaciones, a un sistema restrictivo, pero con excepciones.
Las seis condiciones para el tratamiento de datos personales son:
a) el consentimiento del interesado para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
La norma contempla asimismo una serie de restricciones y limitaciones a la transferencia de datos personales a territorios fuera de la Unión a países que no hayan sido considerados proveedores de protección adecuada por parte de la Comisión Europea.
Dentro de Latinoamérica únicamente a Argentina y Uruguay han sido reconocidos favorablemente. De este modo, las transferencias de datos europeos hacia otros países latinoamericanos, entre ellos Chile, deberán llevarse a únicamente cuando la empresa sea capaz de demostrar que:
1. El tratamiento de datos se enmarca dentro de al menos una de las seis condiciones mencionadas. Ejemplo: el consentimiento explícito del interesado
2. El tratamiento de datos provee garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. Ejemplo: La existencia de un contrato con cláusulas tipo aprobadas por la Comisión Europea. (listado se encuentra en el artículo 46)
Cabe entonces hacerse las siguientes preguntas:
- ¿Posee tu empresa en Chile datos personales de residentes en el territorio de la Unión Europea?
- ¿Puedes enmarcarte dentro de alguna de las hipótesis de bases legales para el tratamiento lícito de datos?
- ¿Ofrece dicho tratamiento las garantías adecuadas que exige el Reglamento en su artículo 46?
Demostrar el cumplimiento de dichas condiciones no es siempre evidente y dependerá del tipo de datos personales de que se trate, el propósito de dicho tratamiento, y de del contexto en el cual este se enmarca. Lamento informarles que mientras más grande sea la empresa, más complejo será el análisis. Pero si les aseguro que es una tarea entretenida.
Diego Alberto Maldonado Rosas
Abogado, Puc Chile
Picture by Frank Buschman smeders.nl
Recent Comments