El Reglamento General de Protección de Datos (RGPD) o GDPR por sus siglas en ingles, es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos.
Entró en vigor el 25 de mayo de 2016 y fue de aplicación el 25 de mayo de 2018, dos años durante los cuales las empresas, las organizaciones, los organismos y las instituciones se fueron adaptando para su cumplimiento. Es una normativa a nivel de la Unión Europea, por lo que cualquier empresa de la unión, o aquellas empresas que tengan negocios en la Unión Europea, que manejen información personal de cualquier tipo, deberán acogerse a la misma. Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros.
El GDPR tendrá en los años venideros, un Impacto significativo para las organizaciones y su forma de manejar los datos, con sanciones potencialmente muy grandes para aquellas empresas que sufran una violación, llegando hasta un 4% de los ingresos globales. o mas de 20 millones de euros
GDPR impacta directamente en el almacenamiento, procesamiento, acceso, transferencia y divulgación de los registros de datos de un individuo y afecta a cualquier organización a nivel mundial que procese datos personales de personas de la Unión Europea.
1. ¿Qué es GDPR, a quién se le aplica y sobre qué información?
El Reglamento General de Protección de Datos (GDPR) (Reglamento 2016/679) es un reglamento por el que el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea tienen la intención de reforzar y unificar la protección de datos para todos los individuos dentro de la Unión Europea (UE). También se ocupa de la exportación de datos personales fuera de la UE. El objetivo principal del GDPR es dar control a los ciudadanos y residentes sobre sus datos personales y simplificar el entorno regulador de los negocios internacionales unificando la regulación dentro de la UE. Cuando el GDPR surta efecto, sustituirá a la Directiva de protección de datos (oficialmente Directiva 95/46 / CE) de 1995. El Reglamento fue adoptado el 27 de abril de 2016. Se convierte en ejecutivo a partir del 25 de mayo de 2018 tras una transición de dos años y, a diferencia de una directiva, no obliga a los gobiernos nacionales a aprobar ninguna legislación habilitante, por lo que es directamente vinculante y aplicable.
El nuevo régimen propuesto de protección de datos de la UE amplía el ámbito de aplicación de la legislación de protección de datos de la UE a todas las empresas extranjeras que procesan datos de residentes de la UE. Proporciona una armonización de los reglamentos de protección de datos en toda la UE, facilitando así que las empresas no europeas cumplan estas normas; sin embargo, esto se produce a costa de un estricto régimen de cumplimiento de la protección de datos con severas sanciones de hasta el 4% del volumen de negocios mundial.
¿Por qué se redactó el GDPR?
Las razones detrás del GDPR son dos. En primer lugar, la UE quiere dar a las personas más control sobre cómo se utilizan sus datos personales, teniendo en cuenta que muchas empresas como Facebook y Google intercambian el acceso a los datos de las personas para el uso de sus servicios. La legislación actual fue promulgada antes de que Internet y la tecnología de la nube crearan nuevas formas de explotar los datos, y el GDPR busca abordar eso. Al reforzar la legislación sobre protección de datos e introducir medidas de aplicación más estrictas, la UE espera mejorar la confianza en la economía digital emergente.
En segundo lugar, la UE quiere dar a las empresas un entorno jurídico más simple y más claro para operar, haciendo que la ley de protección de datos sea idéntica en todo el mercado único (la UE estima que esto ahorrará a las empresas un colectivo de 2.300 millones de euros al año).
Entonces, ¿a quién se aplica el GDPR?
Los “controladores” y los “procesadores” de datos deben atenerse al GDPR. Un controlador de datos indica cómo y por qué se procesan los datos personales, mientras que un procesador es la parte que realiza el procesamiento real de los datos. Por lo tanto, el controlador podría ser cualquier organización, desde una empresa con fines de lucro hasta una organización benéfica o un gobierno. Un procesador podría ser una empresa de TI que realice el procesamiento de datos real.
Incluso si los controladores y procesadores están fuera de la UE, el GDPR seguirá aplicándose a ellos siempre y cuando se trate de datos pertenecientes a residentes de la UE.
Es responsabilidad del controlador asegurar que su procesador cumple con la ley de protección de datos y los procesadores deben respetar las reglas para mantener registros de sus actividades de procesamiento. Si los procesadores están involucrados en una violación de datos, son mucho más responsables bajo GDPR que estaban bajo la Ley de Protección de Datos.
¿Qué son datos personales bajo el GDPR?
La UE ha ampliado sustancialmente la definición de datos personales en el marco del GDPR. Para reflejar los tipos de organizaciones de datos que ahora recopilan sobre personas, los identificadores online, como las direcciones IP, ahora son considerados como datos personales. Otros datos, como la información económica, cultural o de salud mental, también se consideran información de identificación personal.
Los datos personales pseudónimos también pueden estar sujetos a las reglas de GDPR, dependiendo de lo fácil o difícil que sea identificar cuáles son los datos.
Cualquier cosa que era considerada como datos personales bajo la Ley de Protección de Datos también califica como datos personales bajo el GDPR.
2. ¿Cómo prepararse para su cumplimiento?
La introducción de GDPR está configurada para llevar la protección de datos a la parte superior de las listas de prioridades de las empresas. Entonces, ¿cómo pueden las empresas asegurarse de que son conformes y qué pasos deben tomar? Veamos seis pasos a continuación.
Entender el marco legal de GDPR
El primer paso para asegurar el cumplimiento es entender la legislación en vigor, así como las implicaciones de no cumplir con las normas requeridas, realizando una auditoría de cumplimiento con el marco legal de GDPR.
Parte de esta auditoría de cumplimiento, no importa el tamaño de la compañía, se hace contratando a un técnico de protección de datos para que nos explique las regulaciones y aplicarlas al negocio. Es preferible que esta persona tenga un fondo legal y tecnológico combinado para que entiendan tanto el marco regulatorio como las especificaciones técnicas necesarias para cumplirlo. Como cada organización es única, el camino hacia el cumplimiento de GDPR también será diferente. La dirección correcta de los líderes dentro del negocio necesita ser adaptada a esto.
Crear un registro de datos
Una vez que las empresas tienen una idea más clara de su disposición a cumplir con los requisitos reglamentarios, deben mantener un registro del proceso. Esto debe hacerse a través del mantenimiento de un Registro de Datos – esencialmente un diario de GDPR. Cada país cuenta con una Asociación de Protección de Datos (DPA), que será responsable de hacer cumplir el GDPR.
Es esta organización la que juzgará si una empresa ha sido compatible con la determinación de posibles sanciones por incumplimiento. En el caso de que se produzca una violación durante la fase inicial de implementación, la empresa debe poder mostrar a la DPA su progreso hacia el cumplimiento a través de su Registro de Datos.
Si no hubiera ninguna prueba de que la empresa haya iniciado el proceso, la DPA podría imponer una multa entre el 2% y el 4% del volumen de negocios de una empresa, dependiendo de la sensibilidad de los datos que se violen. La naturaleza de los datos, podría hacer que la DPA mueva la multa a la empresa mucho más rápido.
Clasificar los datos
En este paso se trata de entender qué datos las empresas necesitan proteger y cómo se está haciendo. En primer lugar, las empresas deben encontrar información personal identificable (PII) – información que pueda identificar a alguien directamente o indirectamente – de ciudadanos de la UE. Es importante identificar dónde se almacena, quién tiene acceso a ella, con quién se comparte, etc.
A continuación, pueden determinar qué datos son más vitales para proteger, sobre la base de su clasificación. Esto también significa saber quién es responsable de controlar y procesar los datos, y asegurarse de que todos los contratos correctos están en su lugar.
Empezar con la prioridad principal
Una vez que los datos han sido identificados, es importante comenzar a evaluar los datos, incluyendo cómo se están produciendo y protegiendo. Con cualquier dato o aplicación, la primera prioridad debe ser proteger la privacidad del usuario. Al mirar la mayoría de los datos privados o aplicaciones, las empresas siempre deben preguntarse si realmente necesitan esa información y por qué. Estos datos son siempre de mayor valor para un hacker y por lo tanto tiene el mayor riesgo de ser violado.
Las empresas deben completar una Evaluación de Impacto de la Privacidad (PIA) y la Evaluación de Impacto de la Protección de Datos (DPIA) de todas las políticas de seguridad, evaluando los ciclos de vida de los datos desde el origen hasta su destrucción. Es importante recordar al hacer esto, los derechos de los ciudadanos de la UE, incluyendo la portabilidad de datos y la restricción de procesamiento. El «derecho a ser olvidado» es también uno a considerar como parte de GDPR.
Se trata de datos de terceros que se pueden utilizar para identificar a alguien y deben ser eliminado si se solicita. Es vital que estos datos estén correctamente destruidos y no se pueda acceder a ellos.
A partir de aquí, las empresas deben evaluar sus estrategias de protección de datos – cómo exactamente están protegiendo los datos (por ejemplo, con encriptación, tokenization o psuedonymisation). Esto debe centrarse en los datos que se están produciendo, los datos que se han respaldado – ya sea in house o en la nube – y los datos históricos que se pueden utilizar con fines analíticos.
Las empresas deben preguntarse cómo están anonimizando estos datos para proteger la privacidad e identificación de los ciudadanos con los que se relaciona. Siempre se debe de tener en cuenta que los datos deben ser protegidos desde el día en que se recoge, hasta el día en que ya no es necesario y luego deben ser destruidos de la manera correcta.
Evaluar y documentar riesgos y procesos adicionales
Aparte de los datos más sensibles, la siguiente etapa es evaluar y documentar otros riesgos, con el objetivo de averiguar dónde puede ser que el negocio más vulnerable durante otros procesos.
Es vital para las empresas mantener un documento de hoja de ruta para mostrar a la DPA cómo y cuándo van a abordar estos riesgos pendientes. Son estas acciones las que muestran a la DPA que el negocio se está tomando el cumplimiento y la protección de datos seriamente.
Revisar y repetir
El último paso consiste en revisar el resultado de los pasos anteriores y remediar cualquier posible eliminación, modificación y actualización cuando sea necesario. Una vez que esto se haya completado, las empresas deben determinar sus próximas prioridades y repetir el proceso desde el cuarto paso.
3. El Master Data Management puede ser tu aliado
La transición hacia el pleno cumplimiento de la legislación no será ni fácil ni barata, pero si las empresas optan por considerar este período de cambio como una inversión en su gestión de datos podrían beneficiarse de este proceso.
Master Data Management (MDM) es la base que puede hacer la transición a GDPR mucho más suave y puede incluso agregar valor de negocio que va mucho más allá del GDPR.
GDPR Y MDM, ¿Cómo están conectados?
Muchas empresas todavía mantienen sus datos de clientes en sistemas aislados a través de múltiples departamentos, regiones y sistemas. El problema con esto, es que con frecuencia eso es causa información duplicada, incompleta o conflictiva, con fuentes que se están actualizando mientras que otras se dejan en silos para estar cada vez más obsoletas.
La base para cumplir con los requisitos del GDPR es que la organización rompa estos silos de datos. En primer lugar, debe asegurarse de que los datos personales que almacena y los procesos sean correctos y actualizados. En segundo lugar, todos los datos asociados deben ser identificados y la empresa debe saber dónde se almacenan los datos, para qué se utilizan y quién tiene acceso a ellos.
Eso es precisamente lo que MDM hace. El MDM del clientes crea una única fuente confiable de datos de clientes. Lo hace combinando tecnología, procesos y servicios para establecer y mantener una representación exacta y completa de cada cliente a través de múltiples canales, líneas de negocio y empresas, típicamente de numerosas fuentes de datos asociados derivados de múltiples sistemas de aplicaciones y bases de datos.
¿Cómo puede el MDM dar soporte a los esfuerzos de GDPR?
Hay muchas situaciones que es probable que encuentres bajo la nueva regulación. Aquí hay unos ejemplos:
- Violacíon de datos. Tendrás que informar de cualquier infracción a la autoridad de supervisión, así como posiblemente informar a las personas afectadas, pero para hacerlo, debes ser capaz de responder a algunas preguntas básicas.
- ¿Quién está exactamente afectado?
- ¿Cómo se ven afectados?
- ¿Cuál es el papel de la empresa?
- ¿Quién tiene actualmente acceso a los datos?
- ¿Qué necesitas hacer para contener la infracción?
- ¿Cómo se puede evitar que vuelva a suceder?
- Individuos que ejerzan sus nuevos derechos de datos. Si cualquier individuo pide ver sus datos, tendrás que suministrarlos en un formato legible. Si cualquier persona solicita que se borren sus datos (aplicando su «derecho a ser olvidado») debes eliminar todos sus datos. Eso significa no sólo cancelar su suscripción de marketing, sino borrar todo, incluidos los metadatos. Si cualquier persona pide que sus datos sean corregidos o completados (aplicando su «derecho a la rectificación»), la organización está obligada a hacerlo de inmediato, al tiempo que se asegura de que no haya versiones obsoletas o duplicados conflictivos del perfil de datos de ese individuo almacenado en otro lugar.
- Gestión de los consentimientos de los individuos. Necesitas tener completamente controlado y estar informado sobre qué persona ha dado su consentimiento a qué. En el caso de los niños menores de 16 años, esto se vuelve aún más urgente y complejo. La administración de los requisitos de consentimiento requiere estrictos flujos de trabajo de datos y reglas de negocio de datos, así como un marco de data governance claro.
- Limitación del almacenamiento de datos. En virtud del GDPR, debe asegurarse de que todos los datos personales se conserven en un formato que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se tratan los datos personales.
- Envío de documentación a las autoridades. A petición, debes ser capaz de documentar que se cumplen todos los aspectos legales del GDPR. Para hacerlo, se requieren datos bien organizados y de confianza. En el texto del GDPR, se le exige que «aplique las medidas técnicas y organizativas apropiadas» para poder «demostrar que el procesamiento se realiza de conformidad con el presente Reglamento».
El tratamiento de todos estos aspectos de manera efectiva y con el menor riesgo posible se reduce a la calidad de los datos, los procesos de datos y el marco de data governance de la organización. Una plataforma de MDM no debe considerarse una solución completa de GDPR, pero establece las bases básicas para los requisitos de GDPR y al hacerlo, suaviza la transición hacia estas nuevas regulaciones.
MDM puede ser la plataforma desde la cual la organización almacena, administra, recopila y comparte datos personales de confianza, ya sean datos de clientes, prospectos o empleados.
4. Mejores prácticas para cumplimiento de GDPR
Conocer las definiciones de protección de datos
Las principales definiciones de la actual Ley permanecerán generalmente sin cambios en el marco del GDPR. Si tienes una buena comprensión de los conceptos de «datos personales», «datos personales confidenciales», etc., puede transferirlos a su comprensión del GDPR.
Sin embargo, hay algunas advertencias. Por ejemplo, los «datos personales confidenciales» ahora incluyen datos biométricos y genéticos, pero excluyen las condenas penales. Además, los encargados del tratamiento tienen ahora obligaciones legales en el marco del GDPR, y las organizaciones deben entender cuáles son esas responsabilidades y distinguirlas de las obligaciones de los responsables del fichero.
Conocer tu terreno de procesamiento
La base de procesamiento en la que tu negocio actualmente se basa, probablemente será la misma que en el GDPR. El «interés comercial legítimo» sigue estando presente en el GDPR. Pero hay que tener cuidado, sin embargo, para asegurarse de que se está ejecutando adecuadamente, ya que el GDPR pone nuevas y mayores obligaciones.
Por ejemplo, la tramitación con intereses legítimos debe ponderarse en función de los derechos de la persona afectada y las empresas deberán anotar por qué consideran que sus intereses legítimos no son anulados por los intereses de los interesados. El GDPR también aclara que se requiere «consentimiento afirmativo» para que el consentimiento sea válido. En otras palabras, el silencio, las casillas pre-marcadas o la inactividad ya no pueden interpretarse como consentimiento. Las autoridades de protección de datos tendrán una mala imagen de las empresas que procesan ostensiblemente el consentimiento.
Conocer nuestras actividades de alto riesgo
Según los términos del GDPR, las organizaciones deben adoptar un enfoque basado en el riesgo para las actividades de procesamiento de datos. En relación con la seguridad, existe la obligación de llevar a cabo una evaluación de impacto sobre la privacidad para determinar el nivel de riesgo de una determinada actividad. En términos prácticos, esto generalmente significa que una empresa necesita evaluar todas sus actividades para identificar aquellas que son de alto riesgo: un ejercicio potencialmente largo.
Saber cuándo notificar una infracción
Si estás procesando datos dentro de la UE y se produce una violación de datos que podría resultar en daño para los interesados, la organización está legalmente obligada a notificarlo a la Autoridad de Protección de Datos local. Sin embargo, no todas las infracciones requieren notificación, y el plazo (72 horas) podría ser muy difícil de lograr. Es necesario revisar los procedimientos de gestión de infracciones para estar seguro.
Conocer los derechos que los afectados
Todos los derechos actuales de los afectados permanecerán en su lugar, y la mayoría se están expandiendo. Para administrar estos derechos, debes concentrarte en proporcionar avisos de procesamiento correctos y detallados, racionalizar las solicitudes de acceso de los afectados, garantizar procedimientos eficientes para administrar solicitudes de «rectificación y borrado», así como restricciones de procesamiento cuando un sujeto ha planteado un requerimiento de rectificación que no se ha resuelto.
Conocer nuestro perfilado
El perfilado es una forma de toma de decisiones automatizada que se basa en datos personales. Los afectados no tienen el derecho de evitar ser perfilados, pero sí tienen el derecho de no ser sometidos a una decisión basada en perfiles puramente automatizados.
Hay numerosas pautas sobre el perfil de los datos guardados. Entre ellos están la necesidad de:
- Notificar al afectado en el momento en que se recopilan los datos, que se va a producir un perfilado, la lógica de la elaboración de esos perfiles y las consecuencias previstas del perfilado.
- Responder a los afectados interesados en saber si se han perfilado y las consecuencias.
- Hacer revisar la decisión automatizada, por un ser humano si así lo solicita el interesado.
Conocer las transferencias internacionales de datos
Las empresas con filiales dentro y fuera de la UE deben tomar nota de la inclusión de Binding Corporate Rules (BCRs) en el GDPR. Un mecanismo para las transferencias dentro de la empresa en todo el mundo. Teniendo en cuenta las actuales amenazas a otros mecanismos como las cláusulas contractuales estándar y el Escudo de Privacidad, los BCRs serán una opción atractiva para muchas compañías después de mayo de 2018.
Legislaciones latinoamericanas en la era del GDPR
Antes del 2018, varios países latinoamericanos ya habían establecido algunas medidas y políticas de protección de datos personales; sin embargo, la entrada en vigor del GDPR, desencadenó diversas reformas a leyes en materia de privacidad, puesto que los países latinoamericanos han decidido elevar sus estándares de protección de datos personales para cumplir con aquellos establecidos en el reglamento de la UE.
Argentina
Argentina aprobó una de las primeras leyes de protección de datos personales en América Latina, sin embargo, su legislación se ha mantenido casi sin cambios desde el 2000. Actualmente, Argentina está buscando reformar sus leyes de privacidad vigentes para seguir siendo considerado por la UE como un país con un nivel adecuado de protección de datos.
En 2018, se propuso un proyecto de ley para reemplazar la Ley Nº 25,326 con el fin de alinear la legislación Argentina con el GDPR; por lo tanto, se incluyeron ciertos derechos y principios similares a los contenidos en el reglamento europeo, entre los cuales se encuentran:
- Nuevos conceptos como “datos genéticos”, “datos biométricos” y “cómputo en la nube”;
- Limita los titulares de datos personales únicamente a personas físicas, excluyendo a personas morales;
- Obliga a los organismos gubernamentales a designar a un oficial de protección de datos, en caso de que datos personales sensibles o grandes cantidades de datos estén siendo procesados; y
- Estándares para la legalidad del tratamiento de datos personales.
El proyecto de ley también incluye derechos adicionales para los titulares de los datos, como el derecho a oponerse o restringir el tratamiento de sus datos personales y el derecho a la portabilidad.
Brasil
Hasta hace poco, Brasil carecía de una ley específica para regular la protección de datos e incluso de una definición de datos personales. En cambio, durante años el país mantuvo diversas leyes sectoriales que incluían disposiciones generales sobre protección a las personas y a sus datos. El Código de Protección al Consumidor, por ejemplo, otorgaba algunos derechos de privacidad para acceder y corregir los datos del consumidor. El Marco Legal de Internet regulaba el tratamiento de datos personales, incluyendo la obtención, el almacenamiento, la retención, el tratamiento y las transferencias de datos personales. El Código Penal, reformado por la Ley No. 12,737/12, también conocida como ley de delitos informáticos, también cubría ciertos aspectos relacionados con la privacidad de las personas. La legislación fragmentada de Brasil llegó a su fin en julio de 2018 cuando el Senado de Brasil aprobó la Ley General de Protección de Datos de Brasil, estableciendo un régimen único de protección de datos personales basado en las disposiciones de GDPR.
La Ley General de Protección de Datos de Brasil rige los derechos y obligaciones relacionados con el tratamiento de datos personales, así como las buenas prácticas, y también:
- Crea una autoridad nacional de protección de datos;
- Incorpora el alcance extraterritorial del GDPR: aplicará a los sectores público y privado si el tratamiento ocurre en Brasil o los datos personales se obtienen de titulares ubicados en Brasil, sin importar la ubicación del responsable;
- Obliga a empresas y organismos gubernamentales que traten datos personales a nombrar un oficial de protección de datos; y
- Prevé la imposición de multas de hasta el 2% de los ingresos brutos en el último año fiscal de un grupo empresarial en Brasil en caso de incumplimiento.
Chile
La protección de datos personales en Chile está regulada por la Ley Nº 19,628 desde 1999. Su propósito era establecer disposiciones generales sobre los datos personales tratados por terceros. Si bien esta ley chilena establece que los titulares de los datos deben ser informados sobre los fines del tratamiento de su información personal y que se debe obtener su consentimiento, no establece mecanismos para supervisar el correcto cumplimiento de las obligaciones legales en esta materia. Por ello, Chile ha buscado reformar la Ley N° 19,628 para ajustarla a las disposiciones del GDPR. Dicho proyecto de ley:
- Regula la protección y el tratamiento de datos personales;
- Crea un consejo de protección de datos para hacer cumplir la ley e imponer multas de hasta $700,000 dólares; e
- Incluye datos biométricos en la definición de datos sensibles.
Es de gran importancia mencionar que Chile también reformará su constitución para incluir el derecho a la protección de datos personales.
Colombia
Colombia reconoce la necesidad de incorporar disposiciones relevantes a sus leyes actuales de protección de datos personales, la Ley Nº 1,581 y la Ley Nº 1,266, para incluir referencias a innovaciones tecnológicas contemporáneas. El GDPR incluye obligaciones que no se encuentran en las leyes colombianas vigentes, como el derecho al olvido y el nombramiento de oficiales de protección de datos. Uno de los temas más importantes en Colombia es el proyecto legislativo que pretende dotar a la Ley Nº 1,581 relativa a la privacidad de datos, con un alcance internacional similar al del GDPR, e incluye:
- Nuevas definiciones de datos personales sensibles, datos públicos y aviso de privacidad; y
- Especificación de ciertos requisitos para las políticas de privacidad.
Colombia creó recientemente una lista de “niveles adecuados” para transferencias transfronterizas, en la que se encuentran los países que cumplen con los estándares de protección de datos adecuados según los criterios colombianos.
México
La Ley Federal Mexicana de Protección de Datos Personales en Posesión de los Particulares, vigente desde 2010, es la base de un sistema de privacidad integral que rige el tratamiento de datos personales, incluyendo su obtención, uso, transferencia y almacenamiento. Las leyes actuales otorgan derechos de acceso, rectificación, cancelación u oposición al tratamiento de datos personales a los titulares de los datos.
La autoridad de protección de datos más activa en América Latina.
Los titulares de datos personales están cada vez más conscientes de sus derechos en este contexto y los ejercen activamente. Entre enero de 2012 y junio de 2017, la autoridad mexicana de protección de datos (conocida como “INAI”) conoció de: (a) 820 Procedimientos de Protección de los Derechos ARCO y; (b) 2,094 reclamaciones presentadas por titulares de datos personales, que han resultado en 1,520 procedimientos y 208 procedimientos de verificación. Además, el INAI es probablemente la autoridad de protección de datos más activa en América Latina, ya que entre enero de 2012 y junio de 2017, impuso sanciones a las empresas que operan en México en 147 casos, por un monto de aproximadamente $16.7 millones de dólares.
Si bien las leyes mexicanas ofrecen flexibilidad y la posibilidad de autorregulación, es probable que México adopte, hasta cierto punto, disposiciones de protección de datos personales y seguridad comparables a las regulaciones europeas. Por ejemplo, México se adhirió recientemente a la Convención Europea para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (“Convención 108”) y su Protocolo Adicional relativo a las Autoridades de Control y a los Flujos Transfronterizos de Datos. El Convenio 108 impone obligaciones a los Estados Parte, tales como la inclusión de principios y disposiciones para el tratamiento de datos personales a su legislación local.
Dado que México está plenamente consciente de la importancia de cumplir con las disposiciones de privacidad en la mayor medida posible, se esperan en el corto plazo reformas importantes a la ley de privacidad actual para alinear la legislación mexicana con el GDPR y el Convenio 108.
Perú
En 2011, Perú promulgó la Ley No. 29,733, cuyas disposiciones buscan una protección amplia y otorgan derechos a los titulares de los datos en caso de que las empresas que tratan sus datos personales no cumplan con sus obligaciones.
La ley de protección de datos de Perú se ha actualizado recientemente para ampliar las disposiciones legales para el tratamiento de datos y fortalecer su régimen de protección de datos personales. Se han incorporado algunas disposiciones relevantes relacionadas con la transferencia de datos, tales como:
- El responsable del tratamiento está obligado a notificar cualquier transferencia de datos que resulte de una fusión y/o adquisición de una empresa y de registrar las transferencias internacionales de datos en un registro nacional peruano.
- Nuevas excepciones para obtener el consentimiento para el tratamiento de datos personales, principalmente para prevenir el lavado de dinero y el financiamiento del terrorismo.
El cumplimiento con los estándares más altos es importante, ya que la UE juega un papel importante en muchos mercados e industrias de América Latina. Las reformas a las actuales leyes locales de protección de datos personales podrán mejorar la relación con los socios comerciales europeos y podrán proporcionar un mayor reconocimiento internacional. Esta es la oportunidad para que América Latina dé a conocer su presencia global en un mundo impulsado por la protección datos personales.
Deja una respuesta