Saltar al contenido
GDPR PDF

¿Que és la GDPR?

GDPR

Cuando intercambiamos un bien tangible como una casa o un automóvil es fácil sentirnos seguros de que existe toda una regulación jurídica que no sólo respalda nuestra transacción, sino que además nos protege y ampara en casos de estafa o violación de nuestros derechos; pero ¿qué pasa cuando el intercambio se realiza a través de internet y el objeto de la transacción son nuestros datos personales o información digital?

El intercambio de datos personales a través de internet es una actividad que diariamente desarrollamos a través de plataformas digitales, en estas podemos participar conjuntamente con empresas de redes sociales como Facebook, twitter, Instagram, Gmail, entre otras; pero también pueden verse involucradas plataformas de mayor riesgo como las destinadas a actividad bancaria, tributaria, de seguros e intercambio de divisas. Es por ello que, los usuarios de la web necesitamos sentir la certeza de que la información que suministramos será debidamente resguardada ante amenazas de infiltración y usurpación.

Por esta razón, y con la finalidad de incorporar al ordenamiento jurídico europeo las nuevas modalidades de intercambio de información, se ha creado la Regulación General de Protección de Datos (G.D.P.R. por sus siglas en inglés), la cual consiste en un conjunto de normas, principios y directrices cuyo objetivo principal es regular con eficiencia todo lo relacionado al intercambio de datos personales en internet.

Con su entrada en vigencia, la Regulación General de Protección de Datos busca otorgar a los usuarios de la Unión Europea, un entorno jurídicamente seguro para realizar sus transacciones virtuales. De manera que se le pueda garantizar a los particulares que existe no sólo una legislación sino también una infraestructura institucional especializada para dirimir los conflictos jurídicos suscitados por el intercambio de datos digitales.

Reglamento General de Protección de Datos

El cuerpo legislativo de la Regulación General de Protección de Datos está compuesto principalmente por el Reglamento General de Protección de Datos de la Unión Europea, el cual entró en vigor el veinticinco (25) de mayor del año dos mil dieciocho (2018) quedando entonces derogada la Directiva de Protección de Datos de la UE (1995). Este reglamento es aplicable en todos los países que actualmente forman parte de la Unión Europea, y el objeto de su regulación son los datos personales.

Para los efectos de este reglamento, se entiende como dato personal, toda información que recopilada que identifique o ayude a identificar a una persona. Esta información puede comprender cualquier tipo de formato, bien sea escrito, imágenes fotográficas e incluso audios. Es importante mencionar que quedan excluidos del ámbito de aplicación de este reglamento, los datos referentes a personas que han fallecido y personas jurídicas. Además de aceptar cualquier formato, el reglamento alcanza, cualquier método de almacenamiento de información, por lo que quedan entonces igualmente protegidos tanto los datos conservados en forma digital, como aquellos contenidos en papel.

El objetivo principal de esta norma es crear seguridad jurídica alrededor del intercambio de datos personales. De manera que los particulares sientan la certeza de que existe actualmente una regulación vigente para velar por la protección de estos derechos. De igual forma, partiendo del atractivo valor comercial que tienen los datos personales para las empresas internacionales como, por ejemplo, Facebook, esta norma busca regular el tratamiento que estas entidades dan a la información suministrada por usuarios, de manera que no pueda ser utilizada para beneficio propio, manipulación de contenidos o incluso para luego ser transferida a terceros.

Sujetos regulados por el Reglamento General de Protección de Datos

Se puede decir que los sujetos regulados por este reglamento, además de los particulares como “parte interesada”, son los operadores y controladores de datos, incluso cuando no tengan su sede dentro de la Unión Europea, siempre y cuando el interesado cuyos datos sean tratados, sea residente de uno de los países que conforman la unión. La reglamentación es, entonces, uniforme en toda la UE, sin embargo, por mandato de este reglamento cada uno de estos países debe poner en funcionamiento un órgano autónomo que se encargue de recibir y tramitar las denuncias, así como de iniciar las investigaciones pertinentes y oponer las sanciones a las que hubiere lugar.

De esta forma, las empresas y demás entidades que funcionen como operadoras y controladoras de datos personales, no sólo deberán aplicar por sí mismas el tratamiento debido a la información que manejan (con sistemas de seguridad y métodos de encriptación), sino que deberán velar activamente por su salvaguarda, conservando métodos de seguridad para evitar filtraciones de datos por parte de terceros. Nace así la responsabilidad principal de estas empresas, en materia de protección de datos, la cual es, notificar de inmediato al órgano competente según el lugar, de cualquier amenaza, sospecha o filtración sufrida por sus archivos.

La obligación de notificar la filtración o amenaza comienza a regir desde el momento en que la empresa tiene conocimiento de la violación de sus barreras de seguridad electrónica, y se extiende hasta un lapso de 72 horas. Una notificación extemporánea puede desencadenar sanciones civiles, administrativas, y en algunos casos, penales.

Para garantizar el cumplimiento de esta y las demás obligaciones estipuladas en el reglamento, la misma norma establece una serie de sanciones aplicables que pueden variar desde el pago de una multa administrativa, cuyo monto puede alcanzar hasta los veinte millones de euros, así como también un importe que dependerá de la gravedad de la infracción y del volumen de ingresos de la empresa. Asimismo, la entidad infractora podrá ser sometida a auditorías regulares de protección de datos y a advertencias escritas.

Ahora bien, cuando la violación de datos desencadena el detrimento de otros derechos, la investigación del órgano rector podrá luego transformarse en un proceso civil, cuando la víctima considere que la vulneración le ha causado daños susceptibles a valoración monetaria.

Derechos de los interesados

Se entiende por “interesado” a toda persona natural viva, cuya información personal sea otorgada a una compañía operadora o controladora de datos. Los derechos de estas personas incluyen, entre otros, el derecho a ser olvidado, el derecho de acceso, el derecho a oponerse, a la rectificación, y a la portabilidad.

En primer lugar, el derecho a ser olvidado comprende la potestad del interesado de solicitar a la compañía que elimine por completo los datos que hayan almacenado sobre su persona. Esta solicitud puede realizarse por vía de habeas data, el cual es una acción jurisdiccional mediante la que el interesado acude a un tribunal para que sea éste quien ordene a la empresa la eliminación.

Mientras que el derecho de acceso se refiere a la facultad del interesado de revisar, cuando considere pertinente, su información almacenada por una de estas compañías. Por otra parte, el derecho a oponerse trata sobre el poder que tiene la persona de negar a la empresa su información o rechazar su procesamiento. Asimismo, tienen los interesados el derecho a la rectificación y portabilidad. El primero consiste en poder solicitar que la compañía corrija los datos inexactos o desactualizados; mientras que el segundo se refiere a la facultad del interesado de solicitar que sus datos almacenados por una empresa sean trasladados a otra.

Clasificación de los datos personales

En general, se habla de datos personales al referirse a cualquier información tendiente a identificar a una persona, sin embargo, entre estos se pueden distinguir varias categorías, las cuales son: datos de identificación, datos de contacto, datos laborales, datos sobre características físicas, datos académicos, patrimoniales y biométricos.

Entre los datos de identificación se incorporan nombres, apellidos, firmas autógrafas y electrónicas, edad, fotografía, nacionalidad, fecha de nacimiento y estado civil. Mientras que, entre los datos de contacto se encuentran el correo electrónico, número telefónico, dirección de domicilio y dirección IP de su ordenador. Por otra parte, los datos laborales comprenden la fecha de ingreso y egreso del trabajo, así como el salario, entre otros. Mientras que los datos sobre características físicas pueden abarcar el color de piel, iris o cabello, estatura, peso u otros rasgos particulares que sirvan para identificar la fisionomía de un individuo.

Los datos académicos, en cambio, incluyen certificaciones, títulos profesionales, reconocimientos y otros. Los patrimoniales, por su parte, incluyen datos referentes a propiedades muebles o inmuebles, a historiales crediticios, actividades bancarias y de seguros. Por último, los datos biométricos hacen referencia a las huellas dactilares, la forma del iris, el patrón de las palmas de las manos y la voz, entre otros.

Prohibición de procesar datos personales y sus excepciones

Uno de los principios fundamentales establecidos por el Reglamento General de Protección de Datos, es que, más allá de recibir, recopilar y almacenar datos personales, estas compañías no pueden procesar esta información para beneficios propios, sin embargo, sí existen ciertas excepciones en las que las empresas pueden someter estos datos a procesamiento. Entre esas excepciones se encuentra en primer lugar, el caso de que el interesado haya otorgado expresamente su consentimiento para dicho procesamiento; asimismo, se permite esta actividad cuando el procesamiento es necesario a los fines de celebrar el contrato con el interesado.

Otro escenario en que se permite el procesamiento es cuando éste es menester para satisfacer una obligación legal, así como cuando de éste depende la protección de los intereses de los particulares. El interés público, es también una excepción al principio de no procesamiento, toda vez que el derecho de protección de datos personales no es un derecho absoluto y, por ende, puede ser relajado siempre que un derecho público o colectivo lo haga imperativo.

Importancia del consentimiento

Lo que busca la Regulación General de Protección de Datos es garantizar a los individuos la libre gestión de su información personal, de manera que sean los interesados quienes elijan libremente a quién facilitar sus datos, bajo qué condiciones y con qué alcance. Para que dicha libertad sea efectiva, debe partir del elemento esencial de consentimiento. En este sentido, debe siempre quedar suficientemente claro cuáles son los datos que la persona está dispuesta a compartir y qué fines persigue con dicho intercambio. Así, los individuos se aseguran de que las empresas respeten los límites de su privacidad, y las compañías se cuidan las espaldas de futuras denuncias.

Para los efectos de esta regulación, el consentimiento debe ser válido, por lo que no podrá estar sujeto a ningún tipo de engaño o manipulación previa. Además de que la persona que lo otorga deberá contar con las facultades imperantes para entender lo que está haciendo. Es por esta razón que, en los casos de niños menores de catorce años, este consentimiento deberá ser otorgado por sus padres, o quienquiera que ejerza su patria potestad o administración.

Este consentimiento debe ser expresamente determinado, o al menos susceptible de determinación, así pues, una compañía sometida a auditoría puede verse en la obligación de comprobar que ha obtenido válidamente los permisos pertinentes para el almacenamiento o procesamiento de datos. Cabe mencionar, además, que este tipo de autorización puede ser revocada, también de forma expresa, por aquellos interesados que lo consideren necesario.

La naturaleza evolutiva del Derecho como ciencia social, ha logrado que, en los diferentes ordenamientos jurídicos del mundo, sean incorporadas este tipo de regulaciones. Las cuales parten de una valoración primaria de transacciones tecnológicas como bienes jurídicos susceptibles de protección legal. Siempre que se determina que una situación específica es susceptible de protección por parte del Estado, se está también estableciendo que dicha situación puede ser objeto de ataques o violaciones por parte de terceros.

Es así como el reconocimiento del derecho a la protección de datos trajo consigo aparejada la creación de la Regulación General de Protección de Datos; la cual no sólo funciona como normativa a priori, a través del establecimiento de derechos, pautas, métodos y requisitos a cumplir por los sujetos regulados, sino que también es aplicada como norma a posteriori, toda vez que en el mismo reglamento se establecen las sanciones y acciones a las que hubiere lugar en caso de violación de los derechos ahí estipulados. Así, esta normativa, conjuntamente con los órganos que la hacen cumplir, representan el marco jurídico sustantivo y procedimental de recolección, almacenamiento y tratamiento de datos personales.