El nuevo Reglamento de Protección de Datos de la Unión Europea (más conocido como GDPR) entrará a regir el próximo 25 de mayo en toda la Unión Europea (UE). Aplica principalmente a las empresas ubicadas en la UE. Pero viene con novedades:
Su alcance y aplicación puede extenderse a empresas establecidas en cualquier otra parte del mundo. Los dueños de bases de datos o entidades que presten servicios a estos serán alcanzados por la GDPR cuando:
- Se ofrezcan bienes o servicios – pagos o gratuitos- a personas que estén en la UE.
- Se monitoree el comportamiento de los individuos en la UE (por ej. rastreo por internet para perfilamiento.)
- Se procesen datos por cuenta y orden de un dueño de base de datos ubicado en la UE. Por ejemplo, un call center ubicado en cualquier parte del mundo que preste servicios a una entidad ubicada en la UE.
- Se presten servicios de procesamiento o sub procesamiento de datos a cualquier empresa que aún sin estar ubicada en la UE, quede alcanzada por la GDPR en virtud de alguna de las hipótesis mencionados en los puntos anteriores.
La protección de la GDPR alcanza a los datos personales de individuos que estén en la UE, sin ninguna consideración a su nacionalidad. No aplica a los datos de ciudadanos europeos situado en cualquier otra parte del mundo.
Necesidad de designar un representante
Cuando una empresa ubicada fuera de la UE quede alcanzada por la GDPR debe designar un representante situado en un Estado miembro, bajo riesgo de ser pasible de sanciones.
Esta obligación tiene excepciones. Por ejemplo, cuando el tratamiento de los datos es ocasional, cuando no implique el procesamiento datos personales sensibles y cuando sea improbable que entrañe un riesgo para los derechos de las personas.
Indicios que pueden determinar su aplicación
La sola compra de bienes o servicios por personas de la UE no debería ser un factor que desencadene la aplicación de la GDPR, en la medida que ese no sea el objetivo de la empresa que los ofrece y no estén presentes ciertos indicios dentro de los que destacamos:
- Si se tiene una base de datos con una proporción relativamente alta de clientes que viven en la UE;
- Si los productos o servicios se ofrecen en euros;
- Si se utiliza el idioma de un Estado miembro de la UE, por ejemplo, francés o alemán.
Significativas sanciones
La GDPR establece sanciones que pueden llegar hasta los 20 millones de euros o el equivalente al 4% del volumen de negocio total anual global de una empresa, lo que resulte superior.