El pasado 25 de mayo en la unión europea entró en vigencia el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD).

Y aunque muchos  emprendedores de países pertenecientes a Latinoamérica no han querido involucrarse en la implementación de esta ello no quiere decir necesariamente que están totalmente ajenos a la norma.

Lo cierto es que, esta norma no es de obligatorio cumplimiento para todos los negocios en Latam, pero tampoco puede ser ignorada, más aún si tu web trata temáticas globales, como emprendimiento, redes sociales, marketing y demás y aunque me sientas como el grinch navideño que llega a arruinar el clima de ilusión y fantasía, siento ser yo la que te tenga que poner los puntos claros en esto, pero por tu bien debo hacerlo.

Debo aplicar el GDPR en mi negocio ubicado en Latinoamérica.

Para empezar esta ley debe ser considerada aplicarse tanto en negocios que se desarrollan digitalmente, como en negocios convencionales que no cuentan con estrategia digital, pero evidentemente es poco probable que un negocio convencional sin estrategia digital en latinoamérica desarrolle vínculos comerciales con personas geolocalizadas en la UE, así que asumo que si estás hoy leyendo esto es que sí usas una estrategia digital para tu negocio.

Pero a todo esto ¿qué dice exactamente la norma respecto a esto de la aplicación fuera de la UE?

El GDPR detalla en el artículo 3 el alcance territorial de la ley:

  1. El presente Reglamento se aplica al procesamiento de datos personales en el contexto de las actividades de un establecimiento de un controlador o procesador en la Unión, independientemente de si el procesamiento se realiza en la Unión o no.
  2. El presente Reglamento se aplica al procesamiento de datos personales de los interesados ​​que se encuentran en la Unión por un controlador o procesador no establecido en la Unión, donde las actividades de procesamiento están relacionadas con:

(a) la oferta de bienes o servicios, independientemente de si se requiere un pago del interesado, a dichos interesados ​​en la Unión; o

(b) la supervisión de su comportamiento en la medida en que se lleve a cabo dentro de la Unión.

  1. El presente Reglamento se aplica al tratamiento de datos personales por parte de un controlador no establecido en la Unión, pero en un lugar donde el derecho de los Estados miembros se aplica en virtud del derecho internacional público.

El artículo 3.1 establece que el GDPR se aplica a organizaciones que tienen su sede en la UE, incluso si los datos se almacenan o se utilizan fuera de la UE. El artículo 3.2 va más allá y aplica la ley a las organizaciones que no están en la UE si se cumplen dos condiciones: la organización ofrece bienes o servicios a personas en la UE o la organización controla su comportamiento en línea. (El Artículo 3.3 se refiere a escenarios más inusuales, como en las embajadas de la UE).

¿Qué quiere decir eso?

Entonces, si tu negocio se encuentra fuera de la Unión Europea no quiere decir que eso va a definir  o no su aplicación, porque el GDPR detalla que se protege los datos de personas ubicadas en la Unión europea lo cual quiere decir, que no tiene incidencia directa la nacionalidad de los visitantes de tu sitio web, por ejemplo:

Si un Carmen que tiene nacionalidad colombiana visita España y navega en mi sitio web geolocalizado en España,  estoy obligada a proteger sus datos, por el simple hecho de estar geolocalizado en un país perteneciente a la unión europea.

Otro ejemplo que puedo darte es:

Si Rocío que tiene nacionalidad Francesa viaja al Perú porque quiere conocer el Machupicchu, y accede a mi sitio web desde Cuzco-Perú, en ese caso no estoy obligada a proteger sus datos porque está geolocalizada en mi país, pero más allá de eso mi negocio se rige por las leyes peruanas, así que todas formas igual debo proteger su información.

Y este es otro punto importante, que olvidan los negocios en Latinoamérica, sino pecan de exceso pecan de escasez, hay quienes en su afán de cumplir con el RGPD deciden ignorar la legislación referida a la protección de datos de su propio país, pero ese es otro tema que te explicaré más adelante.

Todo esto que te acabo de mencionar en el idioma legal se le puede llamar el efecto extraterritorial, pues como el objetivo de esta norma es proteger los datos que pertenecen a ciudadanos y residentes de la UE.

La ley por sí misma se abre paso en países en los que incluso no se había previsto su aplicación.

Suscríbete a mi canal

 

¿Qué pasa con los dominios que google no geolocaliza?

Existe una serie de dominios que Google no geolocaliza automáticamente, o sea, que no le atribuye la pertenencia a un determinado país por defecto. Es interesante conocer estos dominios sobre todo si encontramos un dominio libre y queremos utilizarlo para crear una página web enfocada a otro país distinto que el del dominio.

Existen una serie de dominios genéricos, los llamados “Generic Top Level Domains (gTLDs)”, que son las siguientes extensiones:

  • .aero
  • .biz
  • .cat
  • .com
  • .coop
  • .edu
  • .gov
  • .info
  • .int
  • .jobs
  • .mil
  • .mobi
  • .museum
  • .name
  • r.net
  • .org
  • .pro
  • .tel
  • .travel

Siendo las más conocidas y utilizadas las extensiones .com, .net, .org, .edu y .gov. Estos dominios aparecen en cualquier país, por lo tanto es muy probable que cualquier país incluyendo los de la UE estos dominios sean visibles, con lo cual no es posible asegurar que este tipo de dominios no serán visitados por ciudadanos ubicados en esa zona.

¿En qué influye tener un dominio global?

Si vamos a utilizar un dominio de un país que Google no considera genérico, para el buscador ese dominio va a estar dirigido a ese país. De hecho en Google Webmaster Tools para los dominios de país que Google no considera genéricos, no se puede cambiar la Segmentación geográfica del dominio (aunque si que se puede cambiar de distintos directorios y subdominios dentro del mismo).

Este es un ejemplo de un dominio .es verificado en Google Webmaster Tools y al que no se le puede cambiar la orientación geográfica

Ahora que ya hemos visto que los dominios no geolocalizados pueden ser visitados en la unión europea, podrás darte cuenta que no hay nada que te asegure que no tengas la obligación de adaptar tu web a la normativa de la UE.

Así que, este es una de las pequeñas implicancias que tiene la globalización a la que nos conduce la era digital, por eso no puedes decir que tu web está completamente excluida de cumplir con esta normativa, sin mencionar que si tienes en tus analíticas el registro de visitas en países pertenecientes a la UE debes poner tu negocio online en modo alerta.

Ahora después de haber analizado el panorama llega la pregunta clave.

¿Cuáles son las sanciones y procesos a seguir en las sanciones?

A través de un nuevo Real Decreto-ley, aprobado en Consejo de Ministros el viernes 27 de julio y publicado en el BOE se trata de alguna forma adaptar la normativa española al Reglamento General de Protección de Datos de la UE, Aquí se establece además el régimen de prescripción de las sanciones previstas en el texto europeo (Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (RDL).

Como novedades destacables del citado RDL podemos subrayar las siguientes:

  • Se establecen los plazos de prescripción de las infracciones: (i) tres años cuando nos encontremos ante alguno de los supuestos sancionados por el RGPD con multas de hasta 20 millones de euros o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior y (ii) dos años cuando nos encontremos ante alguno de los supuestos sancionados por el RGPD con multa de hasta 10 millones de euros o de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
  • Se establecen los plazos de prescripción de las sanciones una vez impuestas, esto es, el período del que dispone la Administración para requerirnos su pago: (i) un año las sanciones con importe igual o inferior a 40.000 euros, (ii) dos años para las sanciones cuyo importe oscile entre 40.0001 euros y 300.000 euros y (iii) tres años para las sanciones por importe superior a 300.000 euros.
  • Se recoge expresamente la posibilidad de que la AEPD redirija una reclamación al Delegado de Protección de Datos de un responsable o encargado para que este responda en el plazo de un mes a la reclamación planteada (en caso de no contar con dicha figura se podrá redirigir directamente al responsable o encargado del tratamiento).
  • Se establece la validez de contratos de encargado de tratamiento: vía disposición transitoria el RDL decreta la validez de todos los contratos de encargado de tratamiento que se hayan formalizado con anterioridad al 25 de mayo de 2018 conforme a lo establecido en la Ley Orgánica 15/1999 de protección de datos de carácter personal hasta que finalice la vigencia de dichos contratos. En caso de que dichos contratos sean indefinidos los mismos tendrán que adaptarse al RGPD antes del 25 de mayo de 2022.
  • En relación con este punto, todo responsable o encargado debe ser especialmente cauteloso puesto que podemos encontrarnos en supuestos en los que nuestra contraparte se encuentre sometida a la jurisdicción de otro Estado miembro en el cual no se haya establecido jurídicamente este periodo transitorio para la regularización de los contratos de encargado de tratamiento y, por tanto, se deberá actualizar su contenido (el propio RDL indica que cualquiera de las partes podrá exigir su actualización a la otra su actualización).
  • Finalmente, el RDL reitera algo que ya dispone el RGPD, y es que la responsabilidad puede recaer tanto en los responsables del tratamiento, como en los encargados del tratamiento, como incluso en los representantes en la Unión Europea de empresas ubicadas fuera de la UE. Adicionalmente, se añaden como sometidas a procedimientos y sanciones las entidades de certificación y las encargadas de supervisar códigos de conducta.

Por otra parte, el RDL viene a regular expresamente otros aspectos que si bien no estaban recogidos expresamente en ninguna normativa ya resultaban de aplicación, ya sea por teoría general del derecho o por interpretación doctrinal, por ejemplo, expresamente se reconoce la inviolabilidad del domicilio en actuaciones inspectoras de la AEPD o que el delegado de protección de datos no es sujeto sometido al régimen sancionador.

Sin duda este nuevo RDL viene a atender las necesidades trasladadas desde sectores jurídicos en cuanto a la inseguridad jurídica en materia de prescripción de infracciones y sanciones, si bien, deberemos esperar a la nueva Ley Orgánica de Protección de Datos Personales para poder considerar que el territorio español se encuentra adaptado completamente al RGPD.

Bueno esto ha sido todo por hoy, te mando un fuerte abrazo y nos vemos en el próximo post. Por cierto me olvidaba, gracias por haberte paseado por aquí, me gustaría saber ¿Qué te pareció el post de hoy? cuéntame en los comentarios que estaré al pendiente de ellos para responderte,

Sé que llevas tiempo procrastinando la parte legal de tu negocio ¿Sientes que necesitas ayuda para implementar todo lo que aquí te enseño? recuerda que siempre puedes agendar una sesión de consultoría estratégica completamente GRATIS dónde podremos conversar de las necesidades legales que enfrenta tu negocio ahora mismo, para poner manos a la obra en la protección de tu negocio.
Por otro lado si lo que quieres es conversar conmigo directamente puedes encontrarme aquí o escribirme a través de este formulario.

 

Sobre mi:

¡Hola! Soy Meliza;

Abogada, autora detrás de este blog,  y cofundadora de PaicoMogollon.com, y me apasiona ayudar a emprendedores de negocios con presencia en internet a proteger sus sueños, inversión y esfuerzo mediante la legalidad. Por eso te ayudo a conectar tu negocio con las leyes para hacerlo crecer sin problemas legales, me puedes escribir en hola@melizamogollon.com o podemos conversar reservando una sesión online conmigo aquí.

Si quieres saber un poco más de mi historia, puedes echarle un vistazo aquí.

Charlemos un ratito, dejame saber ¿Qué te pareció el post de hoy?

error: