Reglamento Europeo de Protección de datos personales y su impacto en Colombia
Andres Felipe Contreras P. Con la reforma a la ley de protección de datos personales de la unión europea, la ya conocida Directiva 95/46/CE de la Unión Europea (UE), se crea un escenario en el que los Estados, las empresas y cualquier organización u entidad que trate datos personales, deben modelan sus prácticas de tratamiento de información, para obtener un blindaje técnico, jurídico y administrativo, frente a los diferentes incidentes que puedan llegar a afectar los intereses de los titulares o dueños de la información personal. La noticia sobre la entrada en vigencia de esta normativa no podría ser más pertinente. Con los escándalos mediáticos que propician cadenas de noticias sobre fugas de información y el mal manejo que se da a los datos personales por cuenta de los responsables de su uso o almacenamiento (caso de Facebook y Cambridge Analytica), se pone en entredicho la capacidad de disponibilidad de información que se le concede a empresas sin una determinada jurisdicción aplicable; redes globales e industrias que les son inherentes la demanda de datos personales por ser su mayor activo y capital productivo. Para las empresas que emplean bases de datos personales de clientes, usuarios, proveedores, trabajadores, etc., dicho régimen es sumamente importante de cara a sus obligaciones y efectos. La nueva reglamentación aumenta los derechos de los titulares de los datos personales, y por consiguiente, las obligaciones de las organizaciones que ofrezcan servicios a los ciudadanos de la UE, que reciban (por transmisión o transferencia) datos cuyo tratamiento se haya iniciado dentro de las fronteras de la UE o que en virtud de algún tratado internacional como los TLC, se les exija adoptar la reglamentación europea. Siendo que la información se desplaza a través de múltiples nodos, varios de ellos ubicados en la UE, es loable suponer que, para atender los mínimos requisitos que trae dicha normativa y continuar haciendo uso de dichos nodos, la nueva directiva sea tomada como un referente global para alinear las políticas y leyes internas de cada legislación a los estándares mundiales. Esto es apenas lógico si se piensa que, una de las principales prorrogativas que implementa tal disposición, es la de que no puede haber exportación de datos personales fuera de la UE, si no hay una garantía de que los estándares de seguridad se cumplen en estos terceros países: Article 44: Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation[1]. Conforme a ello, las leyes e incluso, el vínculo contractual en el que se estipule mediante la aplicación del reglamento europeo en materia de protección de datos, es válido y generara sus efectos respecto a las cargas imperativas del mismo, así como sobre las sanciones que originan su incumplimiento. Dentro de la gama de modificaciones que hace esta nueva directiva, una de las más importantes es el denominado Right to erasure, right to be forgotten o derecho al olvido (artículo 17), el cual se traduce en que las organizaciones ,solo podrán almacenar y procesar datos personales cuando un individuo lo consienta y no podrá retenerlos por más tiempo de lo necesario, lo que a su vez implica, disponer de medidas razonables, incluidas medidas técnicas, para que se eliminen de cualquier enlace, copia o reproducción, dichos datos personales. Se tiene como unas de las excepciones para este borrado inmediato y completo de la información, el ejercicio del derecho a la libertad de expresión e información, así como el ejercicio o defensa de reclamos legales. Igualmente se encuentran exigencias en cuanto a la portabilidad de la información de una empresa a otra (artículo 20), la creación automatizada de perfiles de los titulares (artículo 22) y la notificación obligatoria de las brechas de seguridad que se presenten (artículo 33). El incumplimiento de tales medidas, implica sanciones de hasta 20 millones de euros o el 4% de la facturación anual global de la empresa si llegara superar dicho monto, que, para el caso que nos ocupa, pueden imponerse a empresas colombianas que se hagan responsables de la información en la calidad de controlador o procesador de la información personal, en los términos del GDPR. El 25 de mayo de 2016 entró en vigor el GDPR y comenzará a aplicarse el 25 de mayo de 2018. Las empresas deben poder mostrar que para esta fecha, están listas para cumplir con el nuevo reglamento. [1] En español: Toda transferencia de datos personales que se tramiten o estén destinados a su tratamiento después de su transferencia a un tercer país o a una organización internacional tendrá lugar solo si, de conformidad con las demás disposiciones del presente Reglamento, se cumplen las condiciones establecidas en este capítulo. con el controlador y el procesador, incluidas las transferencias posteriores de datos personales desde el tercer país o una organización internacional a otro tercer país u otra organización internacional.