Enfoques
El 25 de mayo de 2018 entró en vigor el nuevo Reglamento General de Protección de Datos Personales de la Unión Europea (el “RGDP”), luego de un período de transición de dos años desde su sanción. Si bien el impacto principal de esta nueva legislación recae sobre los países de la Unión Europea y las empresas que residen en ella, una de las grandes novedades es su alcance extraterritorial y su consecuente impacto para las empresas extranjeras. El objetivo de este artículo es comprender cómo afecta este nuevo reglamento a las empresas residentes fuera de la Unión Europea y, en particular, a las empresas argentinas.
I. Aplicación extraterritorial
El artículo 3 del RGDP establece, entre otros supuestos, que el reglamento se aplica a empresas extranjeras cuando las mismas realicen un tratamiento de datos personales de “interesados” (así define el reglamento a los titulares de los datos personales) residentes de la Unión Europea y dicho tratamiento esté relacionado con
(a) la oferta de bienes o servicios a dichos interesados en la Unión Europea, independientemente de si a estos se les requiere su pago.
Al respecto, no existe una explicación específica sobre cómo determinar cuando existe, de parte de una empresa extranjera, una “oferta de bienes o servicios a miembros de la Unión Europea”. En los considerandos del RGDP se establece que para determinar si se cumple con este supuesto debe determinarse si es evidente que dicha empresa extranjera proyecta ofrecer servicios o bienes a miembros de la unión. Se mencionan factores determinantes tales como el ofrecimiento mediante el uso de un idioma distinto del propio y perteneciente a un país miembro de la Unión Europea o cuando se prevé la posibilidad de pagar los bienes o servicios en una moneda de un país miembro de la Unión Europea. Puesto en términos prácticos: si una empresa argentina de e-commerce ofrece sus productos en idioma Francés, prevé el envío a Francia y/o permite la realización de pagos en euros, se consideraría alcanzada por el RGDP.
(b) el control del comportamiento de los interesados, en la medida en que este tenga lugar en la Unión Europea.
II. Implicancias
La obligación principal para las empresas argentinas que se encuentren bajo el alcance del RGDP es la necesidad de designar un representante en la Unión Europea. Esto no es necesario si el tratamiento es ocasional o no implica, a gran escala, el procesamiento de datos sensibles o datos relativos a antecedentes penales, salvo que, aun cuando el tratamiento sea ocasional, el mismo pueda implicar un riesgo para los derechos y libertades de los miembros de la Unión Europea. El representante debe estar localizado en alguno de los países miembros de la Unión a los que se les ofrecen los bienes o servicios respectivos.
Otra obligación relevante que puede derivarse de encontrarse sujeto al RGDP es la obligación de designar un oficial de protección de datos personales en la Unión Europea. Esta obligación es aplicable cuando el tratamiento y/o procesamiento de datos personales de residentes de la Unión Europea se realice:
(i) por autoridades públicas (excepto autoridades judiciales en ejercicio de sus funciones);
(ii) por una empresa cuya actividad principal sea el procesamiento de datos personales que por su naturaleza, alcance y/u objeto, requieran el monitoreo sistemático y a gran escala de datos personales; o
(iii) por una empresa cuya actividad principal sea el procesamiento a gran escala de datos sensibles o vinculados con antecedentes penales.
Un concepto adicional que incorpora el RGDP y se constituye en una de las obligaciones principales para las empresas argentinas que se encuentren comprendidas bajo su alcance es el concepto de responsabilidad proactiva. Si bien es un concepto que en la Argentina aún no ha sido incorporado íntegramente en la legislación, se trata de una tendencia mundial en materia de compliance, prevención de lavado de activos, anti-corrupción, buenas prácticas y gobierno corporativo. Este principio se traduce en la necesidad de no sólo evitar incumplimientos a la normativa sino poder demostrar que la empresa se encuentra en cumplimiento de la misma. En la práctica, esto implica la obligación de (i) adoptar una política integral en materia de datos personales que incluya todos los detalles del tratamiento, las medidas de salvaguarda en caso de transferencias internacionales, las formas de acceso para los titulares de los datos, etcétera; (ii) realizar estudios previos de impacto y documentarlos cuando fueran a realizarse actividades que impliquen un alto riesgo de afectar los derechos y libertades de los titulares de los datos; (iii) llevar un registro de las actividades de tratamiento; (iv) implementar medidas de protección de datos personales desde el diseño y por defecto; (v) implementar las medidas de seguridad que la empresa considere adecuadas para garantizar un nivel de seguridad adecuado al riesgo; y (vi) notificar los incidentes de seguridad a la autoridad de aplicación. En conclusión, este nuevo principio asume una postura más madura sobre la responsabilidad empresaria que exige una actitud diligente y proactiva de parte de las empresas en lugar de actuar cuando los incumplimientos y el daño ya se produjeron.
Por último, las empresas argentinas que se encuentren dentro del alcance del RGDP deberán asegurarse de que el tratamiento de los datos personales se realice de conformidad con los principios contenidos en dicha normativa. Sobre este punto es importante destacar que la mayoría de los principios sobre el tratamiento contenidos en el RGDP –consentimiento previo e informado, licitud del tratamiento, derecho de acceso, modificación y supresión, etcétera- ya son conocidos y aplicados en el ámbito local por ser similares a los contenidos en la ley 25.326. Por ello, el impacto del RGDP en nuestro país es menor que en aquellos países que no contaban con una legislación específica y adecuada en la materia, sin perjuicio de lo cual es recomendable para las empresas argentinas que se encuentren dentro del alcance del RGDP realizar una revisión detallada de los nuevos principios para asegurar que sean consistentes con los implementados actualmente.
Las multas por incumplimientos al RGDP son elevadas y pueden tener un alto impacto sobre la economía de las empresas locales, pudiendo llegar al 4% de los ingresos globales anuales o 20 millones de euros (la suma que sea mayor). Este es un cambio relevante con respecto a los máximos hoy en día vigentes bajo la ley 25.326, que alcanzan la suma máxima de $ 100.000 (aproximadamente, 3.000 euros).
III. Conclusión
A los fines de analizar el impacto de la entrada en vigencia del RGDP es necesario que las empresas locales verifiquen en primera instancia el tipo de tratamiento realizado. En caso de verificar que dicho tratamiento se encuentra bajo los supuestos de aplicación extraterritorial aquí descriptos, es necesario analizar el estado de cumplimiento y protecciones en materia de datos personales que posee la empresa actualmente, para luego avanzar sobre las correcciones y actualizaciones que son necesarias a los fines de asegurar una práctica segura bajo el RGDP.
Adrián Furman
Francisco Zappa
María de los Milagros González Vizcaino
Estudio M. & M. Bomchil