El surgimiento de las nuevas tecnologías ha cambiado las reglas del juego para todos.
Una de las cosas que nos permiten, es que es posible duplicar y transmitir, casi sin costo, cualquier información o conjunto de datos de un sistema a otro, sin tener que sacar un solo expediente. Aunque esto creó nuevas oportunidades, también creó retos, como el de la protección de datos personales
El 27 de abril del 2016, el Parlamento de la Unión Europea presentó el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), aplicable el 25 de mayo del 2018, el cual prohíbe, salvo en ciertos casos, cualquier transferencia de datos a países fuera de la Unión Europea.
Para el GDPR, un dato personal es aquél que pueda ser usado para determinar la identidad de una o más personas físicas.
El tratamiento de datos personales en la Unión Europea está sujeto a principios que incluyen: limitación de tratamiento: los datos personales sólo se utilizarán mediante un aviso de privacidad; privacidad por diseño: los sistemas que se utilicen para el tratamiento, consideren medidas concretas para proteger la información; privacidad por defecto: cuando se den al particular varias opciones, la pre-llenada siempre será la que implique un mayor grado de protección; y responsabilidad proactiva: el responsable deberá poder demostrar que ha tomado las medidas necesarias para proteger los datos.
La GDPR también establece derechos en relación con el tratamiento de datos personales:
Acceso: Los titulares tienen derecho a saber qué datos tiene el responsable y para qué los utiliza;
Rectificación: Los titulares tienen derecho a solicitar al responsable que realice correcciones sobre los datos personales;
Explicación: Cuando los datos personales son tratados exclusivamente por medios informáticos y no interviene valoración humana, los titulares tienen derecho a que se les explique el razonamiento que hizo el programa;
Cancelación: Los titulares tienen derecho a solicitar que se eliminen sus datos de las bases de datos del responsable, es llamado “derecho a ser olvidado“ y
Oposición: Los titulares tienen derecho a requerir legalmente al responsable que deje de dar determinado tratamiento a sus datos y puede hacer responsable al sujeto de una sanción.
México tiene desde 2010 una Ley Federal de Protección de Datos en Posesión de Particulares. En ella ya se preveían muchas de las reglas que se requerirían para la adecuación del marco jurídico nacional, pero esta ley sólo les aplicaba a los particulares que trataban datos personales, y no a los entes públicos. En enero del 2017, se aprobó la Ley General de Protección de Datos en Posesión de Sujetos Obligados, estableciendo reglas uniformes para la protección de datos de cara a todos los niveles de gobierno.
México fue invitado en 2018 a firmar la Convención 108 del Consejo de Europa en materia de Protección de Datos, que puede ser un paso importante en el camino a armonizar las reglas mexicanas para permitir un intercambio sin barreras de entrada. Con ello, se tendrá que volver a evaluar el marco legal para analizar si se incorporan los cambios que el Reglamento supuso respecto de la Directiva, y luego acercarse a la Comisión Europea para buscar una decisión de adecuación.
Es importante que las empresas mexicanas que tratan datos personales no solo cuenten con una política de protección de datos y un aviso de privacidad que cumplan con la ley mexicana, sino que además consideren si los procesos de su negocio contemplan los principios antes mencionados. Es decir que desde el 25 de mayo, las empresas mexicanas que tengan relaciones con clientes que sean ciudadanos de la Unión Europea deberán procesar, almacenar y proteger los datos personales de estos clientes conforme al cumplimiento del GDPR.
Deja un comentario