El GDPR por defecto: una buena práctica para las empresas que exportan tecnología en Latam

Back to All Thought Leadership

Los datos personales son uno de los principales insumos empresariales en la actualidad, particularmente, en el ámbito de los negocios digitales, ya que la economía del conocimiento es “data-driven”. Esto ha dado lugar al nacimiento de una nueva área legal – la privacidad o protección de datos personales –, con un “mapa de calor” en lo que respecta a su incidencia y desarrollo, que difiere según las regiones: rojo en Europa, en los que la exigencia de cumplimiento y la protección al titular de los datos es máxima; bastante verde en EE. UU. y amarillo lentamente tendiendo a rojo en Latinoamérica. En este post, comentaremos la situación de las normativas de datos en nuestra región y explicaremos por qué el GDPR actúa como una “safe harbour” para las empresas que comercializan productos digitales en Latam.

¿Cuál es la situación de la privacidad de datos en Latam?

Históricamente y de forma general, los países de la región no han evidenciado demasiada preocupación por la protección de los datos de sus ciudadanos; la mayoría de estos países disponen de leyes formales de protección de datos pero, en general, bastante obsoletas (inspiradas en normas europeas hoy derogadas, como la Ley Orgánica n.º 15/99 española) y con niveles muy bajos de “enforcement”, es decir, de exigencia en su cumplimiento por parte de las autoridades públicas.

No obstante lo anterior, casi todos los países de la región han iniciado procesos parlamentarios para actualizar su normativa de protección de datos, y algunos ya los han completado, como es el caso de Brasil y Ecuador. La intención, en general, es aumentar el control y las sanciones vinculadas al mal uso de los datos personales.

¿Qué es el GDPR?

El Reglamento General de Protección de Datos (“GDPR” según sus siglas en inglés) es la nueva normativa de la Unión Europea (“UE”) en materia de protección de datos. Está en aplicación desde mayo de 2018 y establece los mayores estándares de protección en esta materia, así como, recíprocamente, las mayores obligaciones y responsabilidades para las empresas que operan con datos (i.e., prácticamente todas).

¿Por qué usar el GDPR en Latam?

Una primera aclaración es que el cumplimiento del GDPR es solo obligatorio en caso de que estén involucrados datos de personas físicas residentes en la UE. Sin embargo, las empresas que exportan soluciones fundadas en tecnología en Latam quedan sujetas a la normativa de protección de datos de cada uno de los países en los que tienen actividad, incluyendo, por ejemplo, la de aquellos desde los que reciben tráfico significativo en sus páginas web y aplicaciones. La forma más sencilla de asegurarse el cumplimiento de la normativa de protección de datos de todos los países en los está comercialmente activo, especialmente la de aquellos en los que se opera en forma remota, es aplicando parámetros y criterios del GDPR.

Asimismo, como se dijo, la mayoría de los países de la región están atravesando procesos de reforma a fin de actualizar sus leyes de privacidad de datos, todos siguiendo, en mayor o menor medida, los lineamientos del GDPR. Por tanto, tomar como referencia al GDPR garantiza el cumplimiento de las leyes no solo actuales sino futuras, sin necesidad de ir adaptando los procedimientos empresariales a los cambios normativos de cada país.

¿Y a qué obliga básicamente el GDPR?

Los dos pilares centrales de la privacidad de datos son la información y el consentimiento. El tomador de los datos debe informar obligatoriamente, como mínimo, los fines para los que se toman los datos, la información del responsable de los mismos  (y si hay, la del DPD), la forma de ejercicio de los “derechos ARCO” (Acceso, Rectificación, Cancelación, Oposición) y si realizará transferencias internacionales de esos datos, y el titular de los datos debe dar su aprobación de forma expresa.

El GDPR, además de añadir nuevos derechos (como la portabilidad de datos o el derecho al olvido), incluye un tercer pilar que es el de la responsabilidad proactiva; el responsable de los datos debe realizar una autoevaluación de los riesgos y tomar medidas trazables para mitigarlos, es decir, la gestión de esos riesgos debe estar documentada. Esto se refuerza con nuevos principios como los de la privacidad desde el diseño y, por defecto, exigen, por ejemplo, que la función predeterminada de cualquier aplicación sea la menos invasiva en relación con los datos que solicita para su funcionamiento. Finalmente, el GDPR incluye otras herramientas útiles como las Normas Corporativas Vinculantes (“BCR” según siglas en inglés), que permiten transferencias internacionales de datos entre filiales del mismo grupo de forma legalmente segura.

¿Debo aplicar todo el GDPR?

No necesariamente dado que, además, se usa solo como guía al no ser normativa vigente en el continente. Como se dijo, el GDPR reposa sobre la autoevaluación; las empresas deben revisar el modo en que utilizan los datos en sus procesos y aplicar medidas de protección adecuadas. Si los procesamientos de datos que realiza la empresa implican un riesgo medio o bajo para los derechos del titular de los datos, con algunos protocolos estándar será suficiente.

¿Cómo realizo la autoevaluación de riesgo de mi empresa?

En general, se comienza mediante formularios tipo checklist que permitirán conocer los usos y la gestión de datos por parte de la empresa. Algunos modelos de estos formularios están disponibles online (por ejemplo, puede accederse al de la página de la Agencia Española de Protección de Datos en este link: https://www.aepd.es/sites/default/files/2019-11/guia-listado-de-cumplimiento-del-rgpd.pdf). Con los resultados de este test, deberán adoptarse las medidas correctivas apropiadas.

Sign In

[login_form] Lost Password