Comienza a regir el reglamento general de protección de datos (GDPR)

Por María Gabriela Vásquez Moncayo.

Licenciada en Ciencias Jurídicas y Sociales por la Universidad de Chile.

[divider]

Muchos lo llaman revolución y, otros, evolución. Indudablemente el nuevo Reglamento General de Protección de Datos de la Unión Europea (RGPD)[1] o GDPR su sigla en inglés, responde a problemáticas del mundo actual sobre la ejecución del derecho fundamental de las personas físicas en cuanto a la protección de sus datos de carácter personal.

Y aunque entró en vigor en 2016, su aplicación obligatoria comenzó este 25 de mayo. Coincide precisamente con un contexto de escándalos como fue el de Cambridge Analytica y Facebook, lo que ha llevado a un cuestionamiento a nivel global sobre la protección de datos y el control que tiene cada individuo sobre éstos.

El Parlamento Europeo tomó medidas hace ya dos años, aprobando la regulación que hoy es aplicable a las empresas o instituciones dentro de la Unión Europea que traten con datos personales o aquellas que manejen información de sus residentes, por tanto, incluye a empresas extranjeras. Sin duda, más de alguna empresa chilena deberá cumplir con los estándares requeridos.

El principal motor de acción para toda empresa hoy es la multa de 20 millones de euros o el equivalente al 4% de la facturación anual global de la empresa para quienes infrinjan la nueva normativa.

¿Qué es lo que se establece propiamente tal?

El RGPD busca la armonización en la normativa para protección de datos en la Unión Europea, impactando al mundo entero. Define en su artículo cuarto qué se entenderá como datos personales, tratamiento de los datos incluyendo procedimientos automatizados, responsable del tratamiento, encargado del tratamiento, entre otros conceptos.

En cuanto a los derechos y obligaciones que establece, se encuentra la exigencia de consentimiento expreso por parte de los interesados. Hoy masivamente las empresas han enviado los cambios de políticas de privacidad a sus clientes para que estos acepten expresamente si continuarán accediendo a sus servicios en conocimiento del uso de su información.  Incluso, deberán aceptar las cookies y las políticas de privacidad de las páginas web a las que acceden. Podrán de esta manera oponerse al tratamiento de los datos.

En este sentido también se resguarda el consentimiento de niños menores de 16 años en relación con los servicios de la sociedad de la información, el cual deberá ser autorizado el titular de la patria potestad.

Se establece el derecho de acceso, según el cual las empresas deberán informar de manera clara y explícita qué datos recopilan, con qué fin, quiénes son los destinatarios de dichos datos, por cuánto tiempo procesarán o guardarán los datos, y las políticas de seguridad que aplican para el cuidado de dicha información.

Sobre los derechos de rectificación y el derecho de supresión –al olvido– hoy es estricta la normativa respecto de la cual las personas tienen el derecho de solicitar a las empresas que se rectifique o que se elimine su información de manera efectiva.  En esta misma línea, también se contempla el derecho de limitación del tratamiento de datos que podrá ejercer el interesado.

El innovador derecho de portabilidad permite a las personas físicas solicitar que las empresas les entreguen sus datos de manera eficiente, estructurada, de fácil lectura, para efectos de transferirlos por ejemplo a otra empresa.

Por sobre todo las empresas e instituciones tienen como obligación la transparencia sobre la utilización y almacenamiento de la información personal. Será igualmente supervisada la diligencia en la protección de las empresas en el almacenamiento y uso de los datos.  Esto ha llevado a un agitado cambio en estructuras de las empresas, utilizando nuevos softwares, encriptando información personal, entre otros.

En ciertos casos instituciones públicas y empresas deberán nombrar un delegado de protección de datos, quien deberá velar por el cumplimiento de la normativa.

¿Será inmediata a la aplicación de multas?

Si bien su ejecución ya comienza, considerando los innumerables cambios y adecuaciones que deberán cumplirse, es difícil pensar que las multas serán aplicadas inmediatamente. Es necesario tener en cuenta que estas deberán ser precedidas por una investigación y un debido proceso.

No obstante, ante una infracción también existirán otras sanciones como limitación de transacciones, o la reputación de las empresas que afecten directamente la confianza de sus clientes en general. Esto fue precisamente lo que puede tantearse posterior al escándalo de Cambridge Analytica.

Es importante haber comenzado a ejecutar cambios y medidas para el cumplimiento, y sobre todo mostrar consistencia, diligencia y transparencia en el desarrollo de programas de implementación de la normativa.

Definitivamente tomará un par de años la aplicación exhaustiva del reglamento, y aunque es inevitable su impacto mundial, se espera que el resto de los países tomen como ejemplo este nuevo reglamento, para efectos de la protección de sus propios ciudadanos.

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, disponible en:  https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016R0679&from=ES