RGPD en Latinoamérica, ¿qué es? El pasado 25 de mayo en la unión europea entró en vigencia el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD).
Y aunque muchos emprendedores de países pertenecientes a Latinoamérica no han querido involucrarse en la implementación de esta ello no quiere decir necesariamente que están totalmente ajenos a la norma.
RGPD en Latinoamérica.
Lo cierto es que, esta norma no es de obligatorio cumplimiento para todos los negocios en Latam, pero tampoco puede ser ignorada, más aún si tu web trata temáticas globales, como emprendimiento, redes sociales, marketing y demás y aunque me sientas como el grinch navideño que llega a arruinar el clima de ilusión y fantasía, siento ser yo la que te tenga que poner los puntos claros en esto, pero por tu bien debo hacerlo.
Debo aplicar el GDPR en mi negocio ubicado en Latinoamérica.
Para empezar esta ley debe ser considerada aplicarse tanto en negocios que se desarrollan digitalmente, como en negocios convencionales que no cuentan con estrategia digital, pero evidentemente es poco probable que un negocio convencional sin estrategia digital en latinoamérica desarrolle vínculos comerciales con personas geolocalizadas en la UE, así que asumo que si estás hoy leyendo esto es que sí usas una estrategia digital para tu negocio.
Pero a todo esto ¿qué dice exactamente la norma respecto a esto de la aplicación fuera de la UE?
El GDPR detalla en el artículo 3 el alcance territorial de la ley:
- El presente Reglamento se aplica al procesamiento de datos personales en el contexto de las actividades de un establecimiento de un controlador o procesador en la Unión, independientemente de si el procesamiento se realiza en la Unión o no.
- El presente Reglamento se aplica al procesamiento de datos personales de los interesados que se encuentran en la Unión por un controlador o procesador no establecido en la Unión, donde las actividades de procesamiento están relacionadas con:
(a) la oferta de bienes o servicios, independientemente de si se requiere un pago del interesado, a dichos interesados en la Unión; o
(b) la supervisión de su comportamiento en la medida en que se lleve a cabo dentro de la Unión.
- El presente Reglamento se aplica al tratamiento de datos personales por parte de un controlador no establecido en la Unión, pero en un lugar donde el derecho de los Estados miembros se aplica en virtud del derecho internacional público.
El artículo 3.1 establece que el GDPR se aplica a organizaciones que tienen su sede en la UE, incluso si los datos se almacenan o se utilizan fuera de la UE. El artículo 3.2 va más allá y aplica la ley a las organizaciones que no están en la UE si se cumplen dos condiciones: la organización ofrece bienes o servicios a personas en la UE o la organización controla su comportamiento en línea. (El Artículo 3.3 se refiere a escenarios más inusuales, como en las embajadas de la UE).
¿Qué quiere decir eso?
Entonces, si tu negocio se encuentra fuera de la Unión Europea no quiere decir que eso va a definir o no su aplicación, porque el GDPR detalla que se protege los datos de personas ubicadas en la Unión europea lo cual quiere decir, que no tiene incidencia directa la nacionalidad de los visitantes de tu sitio web, por ejemplo:
Si un Carmen que tiene nacionalidad colombiana visita España y navega en mi sitio web geolocalizado en España, estoy obligada a proteger sus datos, por el simple hecho de estar geolocalizado en un país perteneciente a la unión europea.
Otro ejemplo que puedo darte es:
Si Rocío que tiene nacionalidad Francesa viaja al Perú porque quiere conocer el Machupicchu, y accede a mi sitio web desde Cuzco-Perú, en ese caso no estoy obligada a proteger sus datos porque está geolocalizada en mi país, pero más allá de eso mi negocio se rige por las leyes peruanas, así que todas formas igual debo proteger su información.
Y este es otro punto importante, que olvidan los negocios en Latinoamérica, sino pecan de exceso pecan de escasez, hay quienes en su afán de cumplir con el RGPD deciden ignorar la legislación referida a la protección de datos de su propio país, pero ese es otro tema que te explicaré más adelante.
Todo esto que te acabo de mencionar en el idioma legal se le puede llamar el efecto extraterritorial, pues como el objetivo de esta norma es proteger los datos que pertenecen a ciudadanos y residentes de la UE.
La ley por sí misma se abre paso en países en los que incluso no se había previsto su aplicación.
¿Qué pasa con los dominios que google no geolocaliza?
Existe una serie de dominios que Google no geolocaliza automáticamente, o sea, que no le atribuye la pertenencia a un determinado país por defecto. Es interesante conocer estos dominios sobre todo si encontramos un dominio libre y queremos utilizarlo para crear una página web enfocada a otro país distinto que el del dominio.
Existen una serie de dominios genéricos, los llamados “Generic Top Level Domains (gTLDs)”, que son las siguientes extensiones:
- .aero
- .biz
- .cat
- .com
- .coop
- .edu
- .gov
- .info
- .int
- .jobs
- .mil
- .mobi
- .museum
- .name
- r.net
- .org
- .pro
- .tel
- .travel
Siendo las más conocidas y utilizadas las extensiones .com, .net, .org, .edu y .gov. Estos dominios aparecen en cualquier país, por lo tanto es muy probable que cualquier país incluyendo los de la UE estos dominios sean visibles, con lo cual no es posible asegurar que este tipo de dominios no serán visitados por ciudadanos ubicados en esa zona.
¿En qué influye tener un dominio global?
Antes de preocuparte por las multas por el RGPD debes de tener en cuenta que ya existen obligaciones con base legal dentro de tu país, más aún si tu país esta afiliado a la REDIPD, por lo tanto primero asegúrate que cumples con las normas de tu país y seguro que al mismo tiempo de hacer eso aplicas criterios comprendidos en el RGPD.
También toma en cuenta que, si vamos a utilizar un dominio de un país que Google no considera genérico, para el buscador ese dominio va a estar dirigido a ese país. De hecho en Google Webmaster Tools para los dominios de país que Google no considera genéricos, no se puede cambiar la Segmentación geográfica del dominio (aunque si que se puede cambiar de distintos directorios y subdominios dentro del mismo).
Este es un ejemplo de un dominio .es verificado en Google Webmaster Tools y al que no se le puede cambiar la orientación geográfica
Ahora que ya hemos visto que los dominios no geolocalizados pueden ser visitados en la unión europea, podrás darte cuenta que no hay nada que te asegure que no tengas la obligación de adaptar tu web a la normativa de la UE.
Así que, este es una de las pequeñas implicancias que tiene la globalización a la que nos conduce la era digital, por eso no puedes decir que tu web está completamente excluida de cumplir con esta normativa, sin mencionar que si tienes en tus analíticas el registro de visitas en países pertenecientes a la UE debes poner tu negocio online en modo alerta.
Ahora después de haber analizado el panorama llega la pregunta clave.
Convenios internacionales
Por otro lado, hay varios países de latinoamérica, que se encuentran obligados a cumplir con ciertos estándares de protección de datos por estar suscritos a la Red Iberoamericana de Protección de Datos (REDIPD).
¿Esto qué quiere decir?
Pues que México Andorra, España Argentina, Cabo Verde, Chile, Colombia, Costa Rica Salvador, Guatemala, Honduras, nicaragua, Panamá, Ecuador, Paraguay, Perú Santo Tomé y PRincipe, República Dominicana, Brasil, Uruguay, Portugal; Están obligados a tener normativa aplicable con el RGPD
Por lo tanto, no hace falta que quieras aplicar, te corresponda o no tomar en cuenta el RGPD, porque tu país ya cuenta con normativa aplicable y compatible con el RGPD, por lo tanto también tiene sanciones de multa.
Así que, no tienes excusa, porque en pocas palabras si aplicas el RGPD te aseguro que también estas guarfdando la normativa de tu país y cuidando tu negocio de multas.
¿Cuáles son las sanciones y procesos a seguir en las sanciones?
A través de un nuevo Real Decreto-ley, aprobado en Consejo de Ministros el viernes 27 de julio y publicado en el BOE se trata de alguna forma adaptar la normativa española al Reglamento General de Protección de Datos de la UE, Aquí se establece además el régimen de prescripción de las sanciones previstas en el texto europeo (Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (RDL).
Como novedades destacables del citado RDL podemos subrayar las siguientes:
- Se establecen los plazos de prescripción de las infracciones: (i) tres años cuando nos encontremos ante alguno de los supuestos sancionados por el RGPD con multas de hasta 20 millones de euros o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior y (ii) dos años cuando nos encontremos ante alguno de los supuestos sancionados por el RGPD con multa de hasta 10 millones de euros o de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
- Se establecen los plazos de prescripción de las sanciones una vez impuestas, esto es, el período del que dispone la Administración para requerirnos su pago: (i) un año las sanciones con importe igual o inferior a 40.000 euros, (ii) dos años para las sanciones cuyo importe oscile entre 40.0001 euros y 300.000 euros y (iii) tres años para las sanciones por importe superior a 300.000 euros.
- Se recoge expresamente la posibilidad de que la AEPD redirija una reclamación al Delegado de Protección de Datos de un responsable o encargado para que este responda en el plazo de un mes a la reclamación planteada (en caso de no contar con dicha figura se podrá redirigir directamente al responsable o encargado del tratamiento).
- Se establece la validez de contratos de encargado de tratamiento: vía disposición transitoria el RDL decreta la validez de todos los contratos de encargado de tratamiento que se hayan formalizado con anterioridad al 25 de mayo de 2018 conforme a lo establecido en la Ley Orgánica 15/1999 de protección de datos de carácter personal hasta que finalice la vigencia de dichos contratos. En caso de que dichos contratos sean indefinidos los mismos tendrán que adaptarse al RGPD antes del 25 de mayo de 2022.
- En relación con este punto, todo responsable o encargado debe ser especialmente cauteloso puesto que podemos encontrarnos en supuestos en los que nuestra contraparte se encuentre sometida a la jurisdicción de otro Estado miembro en el cual no se haya establecido jurídicamente este periodo transitorio para la regularización de los contratos de encargado de tratamiento y, por tanto, se deberá actualizar su contenido (el propio RDL indica que cualquiera de las partes podrá exigir su actualización a la otra su actualización).
- Finalmente, el RDL reitera algo que ya dispone el RGPD, y es que la responsabilidad puede recaer tanto en los responsables del tratamiento, como en los encargados del tratamiento, como incluso en los representantes en la Unión Europea de empresas ubicadas fuera de la UE. Adicionalmente, se añaden como sometidas a procedimientos y sanciones las entidades de certificación y las encargadas de supervisar códigos de conducta.
Por otra parte, el RDL viene a regular expresamente otros aspectos que si bien no estaban recogidos expresamente en ninguna normativa ya resultaban de aplicación, ya sea por teoría general del derecho o por interpretación doctrinal, por ejemplo, expresamente se reconoce la inviolabilidad del domicilio en actuaciones inspectoras de la AEPD o que el delegado de protección de datos no es sujeto sometido al régimen sancionador.
Sin duda este nuevo RDL viene a atender las necesidades trasladadas desde sectores jurídicos en cuanto a la inseguridad jurídica en materia de prescripción de infracciones y sanciones, si bien, deberemos esperar a la nueva Ley Orgánica de Protección de Datos Personales para poder considerar que el territorio español se encuentra adaptado completamente al RGPD.
Ejemplos de multas de protección de datos en Perú
Administrador del blog “Defensa de los Derechos Humanos Laborales” ubicado en el sitio web http://ddhhlaborales.blogspot.pe/ se le impuso 1UIT y esto fue básicamente por:
- Exhibir ellos datos personales de una persona que manifestó haber solicitado que no se usen sus datos, pero el administrador hizo caso omiso y presentó un reclamo.
Como consecuencia del reclamo fue obligado a bloquear y suprimir dentro del plazo máximo de diez (10) días el número del DNI y la imagen del reclamante contenidos en el enlace http://ddhhlaborales.blogspot.pe/2014/01/andina-plast-srl.html del banco de datos personales ubicado en el sitio web http://ddhhlaborales.blogspot.com/, a fin de que cese definitivamente el tratamiento sin su consentimiento. Como puedes ver ahora el blog ya no está disponible.
Como te habrás podido dar cuenta aunque uses un dominio gratuito y no estés cobrando dinero, estás obligado a cumplir con las normas de protección de datos en Perú.
Existen otras empresas que han sido multadas como el caso de:
- Google Inc. o Google Peru S.R.L. en total 65UITs, por no atender, impedir u obstaculizar, en forma sistemática, el ejercicio de los derechos del titular de datos los personales reconocidos (35UITs) y dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente LPDP (30UITs).
Y aquí quiero que tomes en cuenta algo: las multas no distinguen el tamaño de la empresas son impuestas según la gravedad de la falta, aunque en los ejemplos que te he presentado coincide que efectivamente google es una gran empresa y el administrador de un blog gratuito tiene una menor multa no puede ser siempre así.
Puede haberse dado perfectamente que si la multa de google no era tan grave tenía otro tipo de multa, menos onerosa.
Y para no hacer el cuento más largo el año 2019 se impusieron cerca de S/. 1,700,000.00 soles en multas, así que, no es juego; por eso, si necesitas ayuda, puedes escribirme aquí y separar una sesión para que juntos analicemos qué es lo que tienes que hacer para cuidar tu negocio de estos y otros inconvenientes
Bueno esto ha sido todo por hoy, te mando un fuerte abrazo y nos vemos en el próximo post. Por cierto me olvidaba, gracias por haberte paseado por aquí, me gustaría saber ¿Qué te pareció el post de hoy? cuéntame en los comentarios que estaré al pendiente de ellos para responderte.
Si llevas tiempo procrastinando la parte legal de tu negocio ¿Sientes que necesitas ayuda para implementar todo lo que aquí te enseño? Recuerda que puedes agendar una sesión estratégica GRATIS dónde podremos conversar de las necesidades legales que enfrenta tu negocio ahora mismo y cotizarte mis servicios, sin ningún compromiso. Por otro lado, si lo que quieres es conversar conmigo directamente, puedes agendar una sesión de consultoría aquí.
3 Pasos para pagar menos impuestos, sin problemas legales
Si quieres un negocio digital protegido frente a las inclementes multas y ahorrar muchísimo dinero en impuestos, ingresa a la Masterclass ahora.
