Reglamento general de protección de datos (RGPD): ¿Qué implica para una empresa uruguaya?

Este 25 de mayo de 2018 entra en vigor el Reglamento Europeo 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, comúnmente denominado Reglamento general de protección de datos (RGPD). En la medida en que este Reglamento impacta la recopilación, tratamiento y conservación de datos personales de personas físicas en la Unión Europea, independientemente de donde se ubique quien recopile, utilice o conserve tal información, sus efectos pueden ser extraterritoriales implicando eventualmente entidades uruguayas.

En este Newsletter mencionaremos los principales aspectos a tener en cuenta si se está sujeto a este Reglamento, y qué medidas tomar para garantizar su cumplimiento.

El primer aspecto a considerar es saber si como parte de sus actividades Ud. recopila y trata datos personales de personas físicas ubicadas en la Unión Europea. A estos efectos, el Reglamento define como datos personales “toda información sobre una persona física identificada o identificable”. Por su parte, el tratamiento de esos datos es definido de la siguiente manera: “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

En caso de recopilar y/o tratar datos personales de personas físicas en la Unión Europea, la Comisión Europea recomienda tomar los siguientes pasos a efectos de garantizar el buen cumplimiento del Reglamento[1]:

  1. Comprobar si se está sujeto a la norma y en qué grado

Como explicáramos antes, el Reglamento se aplica en caso de que se recopilen y traten datos personales de personas en la Unión Europea. Asimismo, si el tratamiento de datos personales constituye la parte principal de su negocio, es un tratamiento de alto riesgo y su actividad se realiza a gran escala es probable requiera nombrar un Delegado de Protección de Datos. Por ultimo, es posible se le requiera realizar una evaluación de impacto relativa a la protección de datos si su tratamiento de datos supone un mayor riesgo para los datos personales.

  1. Identificar qué datos personales recopila y trata y con qué finalidad

Como indicáramos, datos personales a efectos del Reglamento es toda información sobre una persona física identificada o identificable. Por tanto en esta categoría entran datos como nombre, apellido, correo electrónico, teléfono, dirección, edad, sexo, etc. Es relevante realizar una lista de qué tipo de datos personales se recopilan y tratan así como también con qué finalidad. Las finalidades pueden ser de todo tipo, aunque es probable la mas común sea realizar una prestación de servicios en forma personalizada a las necesidades del titular de datos.

  1. Informar a aquellas personas físicas cuyos datos trate cuando recopile tal información

No es suficiente listar los datos y la finalidad por la cual se recopilan y tratan los datos, se debe informar al titular de tales datos que éstos serán recopilados y tratados con cierta finalidad. Se deberá también informar al titular de sus derechos, fundamentalmente el de rectificar e incluso eliminar sus datos.

  1. Conservar los datos personales recopilados mientras sea estrictamente necesario

Dadas las obligaciones derivadas del Reglamento, se recomienda a quienes recopilan y tratan datos personales a conservarlos solamente mientras sea necesario para cumplir la finalidad del tratamiento.

  1. Proteger los datos personales recopilados y tratados

Es responsabilidad de quien recopila y trata datos personales cuidar tales datos. Asegúrese que cuenta con los mecanismos de seguridad adecuados para que no haya una fuga de datos. De haber una fuga o pérdida ilícita de datos personales, el responsable debe inmediatamente, y a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente.

  1. Conservar información sobre tratamiento de datos

Otra obligación relevante derivada del Reglamento es la necesidad de contar con políticas internas de recopilación y tratamiento de datos personales. Estas políticas deben explicar detalladamente como actuar cuando se recopilan datos personales, como se tratan, como se guardan en el sistema. Esto implica no solo una organización en términos de tecnología, sino también una estandarización de conductas prácticas en lugares de trabajo (desde contar con reglas relativa a la impresión/distribución/destrucción de documentos que contengan datos personales hasta cómo usar un USB en la oficina). Es por esto que múltiples consultoras especialistas en la materia proponen crear una política interna hecha a medida para cada entidad que recopile y trate datos personales dentro de sus actividades.

  1. Asegurarse que todo subcontratista cumpla con las normas

Si trabaja con entidades o individuos subcontratados que reciben y tratan los datos personales, asegúrese que tal entidad o persona cumpla con la normativa aplicable. La mejor forma de hacerlo es exigirlo contractualmente, incluso si esa parte usa terceros para el tratamiento de datos, provea un modelo de contrato para garantizar el cumplimiento del Reglamento.

La aplicación y contralor de implementación del Reglamento, aprobado en 2016 y que empieza a regir a partir del 25 de mayo de 2018, estará a cargo de la autoridad de control competente designada por cada país miembro de la Unión Europea.

El Reglamento dispone que la autoridad de control podrá aplicar (dependiendo de la gravedad de la infracción) multas administrativas de hasta 20.000.000 de Euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Su efecto extraterritorial y la diseminación en el contralor otorgada a distintas entidades implica que su aplicación y control efectivo variará en cada caso, de país en país.

Documento elaborado por la Dra. Cecilia Faget

[1] Comisión Europea: “Siete pasos para que las empresas se preparen para el Reglamento general de protección de datos (RGPD), https://ec.europa.eu/commission/sites/beta-political/files/data-protection-factsheet-business-7-steps_es.pdf”.