Buenos Aires, Jueves, 29 de Julio
8 marzo, 2021 23:08 Imprimir

¿Hace negocios con Europa? – Flash legal sobre RGPD y protección de datos de carácter personal en el espacio económico europeo – Lic. Rosa Fernández (desde España)

 

 

Si usted o sus clientes hacen negocios con Europa o con personas que residan en este espacio común europeo, esto le interesa.

Le interesa porque le evitará riesgos de sanciones y porque sabrá de primera mano todo lo que debe cumplir para trabajar legal en el espacio europeo RGPD.

Soberanía del Dato en el espacio europeo:

Desde Mayo de 2016 el GDPR (General Data Protection Regulation) o el RGPD (Reglamento General de Protección de Datos) nace como respuesta a la necesidad, dentro de la sociedad digital, no sólo de regular los datos sensibles o críticos manejados por las empresas u organizaciones, sino, y sobre todo tal y como establece en su Considerando ,  el propio RGPD 679/2016: “La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.”

Así como en su Considerando 2, establece que: “Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular el derecho a la protección de los datos de carácter personal. El presente Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas.” Sentando las bases para el concepto de Soberania del Dato.

¿Qué es una Transferencia Internacional de Datos?

La Transferencia Internacional de Datos (TID) supone un flujo de datos de carácter personal desde el territorio europeo a destinatarios establecidos en países fuera del Espacio Económico Europeo (EEE = los países de la Unión Europea +Liechtenstein, Islandia y Noruega).

Por tanto, el RGPD 679/2016 es aplicable tanto a las empresas europeas como a aquellas de fuera de la UE, pero que gestionan datos de los ciudadanos de Europa.

A estos efectos, desde el BREXIT, UK es considerado un país fuera del EEE.

Alcance del GDPR/RGPD 679/2016:

El Art 3 del RGPD 679/2016 define el ámbito de aplicación de dicho Reglamento, a cuyo tenor: “1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.”

Es decir, si su cliente o su empresa tiene una actividad de comercio electrónico que hace transacciones con clientes europeos, tiene la obligación de cumplir con el RGPD.

¿Quiénes intervienen en una TID?

Dos partes: una será el Responsable del Tratamiento y otra el Encargado por cuenta de aquél. Una de ellas estará establecida en el ámbito de la Unión Europea o en el territorio del Espacio Económico Europeo y la otra estará en un tercer país o será una organización internacional.

¿Qué tengo que hacer para cumplir con el RGPD?

Entre otras tareas:

ü  Verificar que su país es uno de los considerados por Europa con un nivel de protección adecuado.

ü  Identificar los tratamientos de datos.

ü  Formalizar las cláusulas contractuales.

ü  Revisar los contratos de encargado del tratamiento.

ü  Revisar la actualización de los Registros de Actividades del Tratamiento.

ü  Documentar las medidas de seguridad adoptadas.

ü  Realizar un inventario de actividades.

ü  Verificar el cumplimiento de Protección de Datos de ambas partes (Responsable y Encargado del Tratamiento).

ü  Verificar si se necesita una autorización del TID.

ü  Garantizar el ejercicio de los derechos reconocidos en el RGPD 679/2016

 

Es decir, revisar el cumplimiento de los requisitos exigidos por el RGPD 679/2016 que es quien guía la legalización de los negocios con países del EEE en materia de protección de datos de carácter personal contenidos en el Capítulo V, Transferencias de datos personales a terceros países u organizaciones internacionales.

¿Qué pasa si no se cumplen los requisitos exigidos por el RGPD 679/2016 en materia TID?

Trabajar sin cumplir en esta materia, implicaría una infracción que, en el caso de una empresa del sector privado, podría ser sancionada con una sanción económica para el Responsable o Encargado del tratamiento de veinte millones de euros (20.000.000 €) o una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio económico anterior, aplicándose siempre la de mayor cuantía.

Dos datos capitales a efectos de cumplimiento:

  • El RGPD 679/2016 establece la inversión de la prueba, es decir, es el Responsable del Tratamiento quien tienen que demostrar que cumple la normativa vigente.
  • El RGPD 679/2016 establece la co-responsabilidad en caso de incumplimiento al Encargado del Tratamiento.
  • La legalización afecta a actividades out line y on line.

 

Caso práctico

Empresa radicada en Miami que ofrece servicios a aerolíneas de países europeos.

Necesidad: Sus clientes le pedían garantías de que cumplía la normativa europea de RGPD.

Objetivo: garantizar que las transferencias de datos cumplían el RGPD 679/2016.

Nuestra propuesta (PropuestaFutura Soluciones): desarrollar toda la documentación necesaria para dar garantías a sus clientes y que la empresa (nuestro cliente) tuviera un compliance integral.

Resultado: empresa adaptada al RGPD 679/2016 con la documentación y las evidencias necesarias, pudiendo presentar garantías como proveedores de servicio a sus clientes.

Nota: este artículo está destinado a un uso orientativo y como instrumento documental. La autora del artículo no se hace responsable del uso que le dé el lector del mismo. No sustituye a la legislación. Su contenido no garantiza que el lector cumpla con las leyes o normativas vigentes.

 

Lic. Rosa Fernández

Webs: futurasoluciones.es

zonavigilada.net

marzo 2.021

 

AS/COA y la CAC preparan el Council of the Americas 26 julio, 2021 20:56

AS/COA y la CAC preparan el Council of the Americas

Other News