El nuevo Reglamento General de Protección de Datos (RGPD) ha sido sancionado en mayo de 2016 en la Unión Europea y será aplicable a partir de mayo de 2018.
En ese período de transición los responsables y encargados del tratamiento de datos personales deberán preparar y adoptar las medidas necesarias para estar en condiciones de cumplir con las exigentes previsiones del RGPD en el momento que empiece su vigencia.
El principal efecto disuasivo para el incumplimiento del RGPD radica en las graves sanciones previstas, que alcanzan multas de €20.000.000 o 4% del volumen anual del negocio, lo que resultare mayor, así como la reparación de daños y perjuicios a los interesados por los responsables y encargados del tratamiento que se aparten de las normas del RGPD.
Para las empresas establecidas en Argentina la cuestión deviene relevante puesto que el RGPD les puede resultar aplicable. Esto es así, porque el ámbito de aplicación del RGPD no se limita al territorio europeo, como sucede con la directiva actual(1) que rige en la materia, sino que tiene un alcance bastante más amplio por tres razones fundamentales: i) extensión del criterio de establecimiento privado, ii) incorporación del principio del propósito, iii) inclusión del monitoreo de ciudadanos en la UE desde fuera del territorio.
La extensión del principio de establecimiento privado bajo RGPD surge al no sólo considerar el lugar de establecimiento de los responsables del tratamiento de los datos sino que lo extiende al del encargado(2) del tratamiento de los datos, que en caso de estar localizados en la Unión Europea apareja la aplicación del RGPD, independientemente del lugar donde se lleva a cabo el tratamiento de los datos (por ejemplo lugar de ubicación de los servidores). A manera de ejemplo, una compañía con subsidiarias locales en la UE debe cumplir con el RGPD, respecto a la actividad de tratamiento de datos realizada por sus subsidiarias independientemente que los servicios se ofrezcan fuera de la UE.
La incidencia del principio del propósito surge al resultar aplicable el RGPD al tratamiento de datos personales de personas físicas ubicadas en la UE, por parte de responsables o encargados no ubicados en la UE cuando el tratamiento de los datos está vinculado al ofrecimiento de bienes o servicios, ya sea gratuitos u onerosos, a personas físicas ubicadas en la UE. Como consecuencia de este principio, una empresa argentina sin presencia alguna en la Unión Europea, que venda sus productos o servicios a clientes europeos es posible que se encuentre obligada a cumplir con el RGPD. A tales efectos se deberá evaluar la situación particular de cada oferta que se realice, a fin de determinar si está dirigido a ciudadanos europeos. A tales efectos puede resultar relevante el idioma empleado en el sitio del oferente, la moneda de pago que se ofrece utilizar, entre otros criterios.
Asimismo el monitoreo de ciudadanos europeos, a través de elementos tan comunes como las tecnologías de cookies o de huellas en Internet y la confección de perfiles en virtud de sus preferencias, puede aparejar la aplicación del RGPD, independientemente del lugar donde esté establecida la compañía encargada del tratamiento de datos.
En el caso de resultar aplicable el RGPD, se desprenden ciertas consecuencias prácticas, como la necesidad de cumplir con ciertas nuevas obligaciones.
Se deja expresa constancia que este informe no pretende ser una guía exhaustiva de todas las consideraciones que deberán ser tenidas en cuenta. Asimismo se advierte sobre la inviabilidad de adoptar una receta única para las diversas situaciones bajo las cuales podrían encontrarse diferentes empresas con particularidades especiales bajo cada caso a ser analizado.
Hay dos principios nuevos incorporados al RGPD que resultan inescindibles para interpretar la procedencia de la adecuación al referido marco normativo así como la forma en que debe llevarse a cabo. Esos principios son el de responsabilidad proactiva y el de enfoque de riesgo.
La responsabilidad proactiva implica una actitud consciente, diligente y proactiva por parte de las organizaciones respecto al tratamiento de datos personales que lleven a cabo, que trae aparejado la necesidad de adopción de medidas técnicas y organizativas apropiadas para garantizar y demostrar (“accountability”) el tratamiento de los datos conforme el RGPD. Este principio requiere analizar a qué datos le da tratamiento la organización, con qué fines y qué tipo de operaciones de tratamiento llevan a cabo.
Recién efectuado ese primer diagnóstico se podrá encarar el enfoque de riesgo, merituando aquellas medidas adecuadas a ser aplicadas puntualmente a cada organización atento la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible (3) o volúmenes importantes de datos sobre cada afectado puede no resultar necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.
IDENTIFICACION DE LA BASE LEGAL SOBRE LA QUE SE REALIZA EL TRATAMIENTO DE DATOS
Como paso inicial resulta imprescindible documentar e identificar claramente la base legal (4) sobre la que se desarrollan los diversos tratamientos de datos personales. A tales fines se debe incluir la base legal sobre la que se desarrolla el tratamiento al proporcionar la información en el momento de recoger los datos de los interesados
ADECUACION DE LOS CONSENTIMIENTOS OBTENIDOS Y A OBTENER DE LOS INTERESADOS
Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:
No se podrá seguir obteniendo consentimientos por omisión y debiendo revisarse esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del RGPD.
La adaptación puede llevarse a cabo:
AMPLIACION DE LA INFORMACION A SUMINISTRAR A LOS INTERESADOS
Se establece una lista exhaustiva de la información que debe proporcionarse a los interesados y que comprende, entre otras cuestiones:
La información a los interesados deberá facilitarse por escrito, incluidos los medios electrónicos cuando sea apropiados.
Todos los responsables han de cumplir con esta obligación de transparencia, con independencia de su tamaño como organización. Por ello, los responsables han de asegurarse de que disponen de esa información y han previsto los medios adecuados para ofrecerla a los interesados.
EJERCICIO DE DERECHOS DE LOS INTERESADOS
Los derechos previstos y garantizados en el RGPD a favor de los interesados son: i) derecho de acceso, ii) derecho al olvido, iii) limitación al tratamiento y iv) derecho de portabilidad.
El responsable debe prever mecanismos para facilitar el ejercicio de derechos y la respuesta a las solicitudes. Estos mecanismos dependerán de las entidades, pero pueden ser tan simples como establecer una dirección de correo electrónico específica que sea operativa y que permita identificar a los interesados y atribuir a una persona de la organización que se responsabilice de tramitar todas las solicitudes que eventualmente se reciban. No obstante, es importante que estos mecanismos, por sencillos que sean, estén claramente establecidos. El modo de ejercer los derechos forma parte de la información que debe proporcionarse a los interesados.
Se deberá informar al interesado sobre las actuaciones derivadas de su petición en el plazo de un mes (podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas y deberá notificar esta ampliación dentro del primer mes). Si el responsable decide no atender una solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.
Adicionalmente se prevén cuestiones específicas para el ejercicio de cada uno de estos derechos puntuales, como ser: i) los responsables podrán atender al derecho de acceso facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales; ii) respecto al derecho al olvido los responsables que hayan hecho públicos los datos personales deberán adoptar medidas técnicas para informar a otros responsables de la solicitud del interesado de borrar su información personal; iii) El derecho a la portabilidad se cumple transmitiendo directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible.
VERIFICACION DE LAS RELACIONES CON LOS ENCARGADOS (5) DE TRATAMIENTO
El responsable del tratamiento de datos deberá asegurarse de que los encargos de tratamientos de datos delegados en terceros estén siempre amparados en un contrato de encargo.
Igualmente, debe verificar que los contratos de encargo de tratamiento con prestadores de servicios incluya todos los aspectos que establece el RGPD (6), especialmente en lo relativo a que el encargado sólo tratará los datos para los fines que le encomiende el responsable, que aplicará las medidas de seguridad adecuadas y que mantendrá estricta confidencialidad sobre la información tratada.
En estos supuestos, siempre es aconsejable recurrir a los modelos aprobados por la Comisión Europea o presentados por las autoridades de protección de datos.
Por su parte los encargados deben cumplir con obligaciones específicas como mantener un registro de actividades de tratamiento, determinar las medidas de seguridad aplicables a los tratamientos que realizan, designar un delegado de protección de datos en los casos previstos por el RGPD.
Sin perjuicio de las medidas básicas señaladas existen otras de mayor complejidad y que resultan aplicables cuando hay un mayor grado de complejidad en el tratamiento o cuando hay involucrados datos sensibles, entre otros supuestos.
MEDIDAS DE RESPONSABILIDAD ACTIVA
Todos los responsables deberán realizar una valoración del riesgo de los tratamientos de datos a su cargo, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo.
Dicho análisis variará en función de diferentes consideraciones como ser: i) los tipos de tratamiento involucrados, ii) la naturaleza de los datos, iii) el número de interesados afectados, iv) la cantidad y variedad de tratamientos que una misma organización lleve a cabo.
Las autoridades españolas recomiendan (7) que la reflexión deberá dar respuesta a cuestiones como las que se exponen a continuación y que cuanto mayor sea el número de respuestas afirmativas mayor sería el riesgo que podría derivarse del tratamiento. En tanto que si la respuesta a estas preguntas y otras del mismo tipo fuera negativa, es razonable concluir que la organización no realiza tratamientos que generen un elevado nivel de riesgo y que, por tanto, no debe poner en marcha las medidas previstas para esos casos.
OBLIGACIONES QUE DEBERAN ADOPTAR LOS RESPONSABLES CON ELEVADO NIVEL DE RIESGO
Bajo el RGPD el sistema de transferencia internacional de datos no ha recibido alteraciones significativas respecto a la actual legislación europea vigente. A tales fines las transferencias internacionales solamente están permitidas en los siguientes supuestos: cuando los destinatarios están localizados en países sobre los que la Comisión ha adoptado una decisión reconociendo que la legislación aplicable ofrece un nivel adecuado de protección; en base a cláusulas contractuales aprobadas por la autoridad de aplicación, normas corporativas vinculantes, códigos de conductas o esquemas de certificación.
Tanto las resoluciones sobre la consideración como adecuada de las legislaciones y las cláusulas contractuales que se encuentren vigentes seguirán siendo válidas en tanto las autoridades no las revoquen.
Si bien la Ley de Protección de Datos Personales Nro 25.326 pertenece al selecto grupo de legislaciones consideradas como adecuadas bajo el régimen de la UE (9), la intención del gobierno de encarar la reforma legislativa de dicha ley a fin de actualizarla a los tiempos que corren puede implicar la necesidad de un nuevo análisis por parte de las autoridades europeas a fin de verificar la adecuación de la futura nueva legislación a los parámetros del RGPD.
Aquellas empresas argentinas pasibles de verse alcanzadas por el extendido ámbito de aplicación del RGPD, y que realizan actividades de tratamiento de datos personales de clientes localizados en la Unión Europea deben encarar un exhaustivo análisis sobre la situación particular que presentan respecto a los datos que poseen u obtienen.
En caso de resultar alcanzadas por la aplicación de la RGPD deberán agudizar el estudio para determinar, en virtud de las particularidades propias de las actividades desarrolladas con los datos bajo su control y no en virtud de recetas o fórmulas genéricas, las adecuaciones que deberán llevarse a cabo a fin de evitar colocarse en situaciones de riesgo que generarán significativos costos de defensas legales, así como de multas y contingencias por responsabilidad de daños y perjuicios a interesados afectados. Dicha variedad de actividades deberán programarse para ser ejecutadas durante el corriente año dada la inminencia del inicio de la vigencia del RGPD. Esta ardua tarea no solamente requiere de abogados con especialidad en la protección de datos personales sino a la vez que estén informados y continuamente actualizados en las novedades que aparecen en la normativa europea que rige la materia.
(1) Directiva UE 95/46 de Protección de Datos.
(2) Los encargados son aquellas entidades encargadas del tratamiento de datos personales en nombre del responsable de los datos.
(3)De conformidad con el artículo 9, estas incluyen datos personales que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas o la pertenencia a sindicatos, así como el tratamiento de datos genéticos, datos biométricos para la identificación exclusiva de personas físicas, datos relativos a la salud o datos referentes a la vida sexual o la orientación sexual de las personas.
(4) Las diferentes bases legales bajo el RGPD son: Consentimiento. • Relación contractual. • Intereses vitales del interesado o de otras personas. • Obligación legal para el responsable. • Interés público o ejercicio de poderes públicos. • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
(5) Cuando el responsable del tratamiento encomienda parte de las operaciones, como puede ser el almacenamiento de la información o la realización de determinadas tareas sobre la base de los datos personales, la entidad que presta esos servicios es un encargado de tratamiento.
(6) El contenido mínimo de los contratos de encargo, deben preverse aspectos como: • Objeto, duración, naturaleza y la finalidad del tratamientos • Tipo de datos personales y categorías de interesados • Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable • Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones • Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados.
(7) Guía del Reglamento General de Protección de Datos para responsables de tratamiento elaborado por Agencia Española de Protección de Datos, Autoridad Catalana de Protección de Datos y Agencia Vasca de Protección de Datos.
(8) La protección por defecto implica adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.
(9) C(2003) 1731 del 30 de junio 2003 – OJ L 168, 5.7.2003. Disponible click aquí
Agustín Allende
Socio de Allende Larreta & Asociados
Abogado, asesor regulatorio y en compliance
Los puntos de vista del autor expresados en esta publicación no necesariamente reflejan el punto de vista de la Asociación Argentina de Etica y Compliance y/o sus miembros.
Esta Comisión tiene por finalidad identificar, analizar y evaluar estrategias para el diseño e implementación de un programa de cumplimiento, con la particularidad de poner el foco en el ser humano. Los programas de compliance son cada vez más sofisticados y, en teoría, perfectos, pero requieren un cambio corporativo cultural en el que el factor humano es central, pero naturalmente imperfecto. Las neurociencias complementadas por otras disciplinas como la psicología, la genética, la biología, la medicina, el derecho, la antropología y otras, son herramientas que permiten evaluar diferentes opciones a la hora de tender puentes entre un programa de compliance y el ser humano.
Reviví las actividades de esta comisión aquí
Esta Comisión se propone analizar aquellos aspectos de compliance vinculados a los datos personales y la privacidad, así como explorar los problemas morales vinculados a los datos, los algoritmos y las prácticas correspondientes, buscando las mejores soluciones tanto desde el punto de vista organizacional, como desde una perspectiva ética.
Reviví las actividades de esta comisión aquí
Esta Comisión surge con el fin de visibilizar y generar conciencia sobre las múltiples temáticas que refieren a la diversidad. Su objetivo es generar espacios de aprendizaje conjunto, reflexión, intercambio, debate y análisis de estas cuestiones, con foco principal en aspectos concernientes a ética y compliance, así como también promocionar y promover una cultura de respeto por la diversidad dentro de nuestra sociedad.
Esta Comisión se propone como objetivo incentivar y motivar a los concurrentes a una discusión entre pares sobre temas de defensa de la competencia, con foco en compliance y sobre la base de la normativa vigente.
Se propone un espacio para compartir experiencias y conocimiento, generando encuentros con dinámicas y temáticas atractivas, brindando, además, herramientas para la mejor implementación de los principios de competencia en el área de compliance.
Reviví las actividades de esta comisión aquí
Esta Comisión nuclea profesionales vinculados con estas actividades (incluyendo bancos, compañías financieras, bursátiles y aseguradoras), para trabajar en diversas temáticas tales como prevención de lavado de dinero, fintech, cumplimiento regulatorio, gobierno corporativo y toda otra cuestión que pudiera surgir a nivel contextual y tengan efectos o impacto en alguna de las industrias mencionadas.
Esta Comisión tiene por objetivo identificar las áreas de riesgo, analizar el contexto normativo y las tendencias doctrinarias y jurisprudenciales, a efectos de brindar pautas de conducta que permitan a directores, gerentes y oficiales de cumplimiento adoptar acciones para prevenir y/o mitigar las consecuencias penales de su actividad. Además, se analizan y desarrollan temáticas inherentes al ámbito del derecho penal, siempre desde una perspectiva eminentemente práctica y vinculadas con cuestiones de compliance (vg. investigaciones internas, procesos judiciales, validez probatoria en juicio, etc.).
Esta Comisión invita a profesionales de compliance y funcionarios a explorar las alternativas de aplicación de las buenas prácticas de compliance corporativo en el ámbito estatal. La comisión es, a su vez, un espacio de reflexión teórica sobre public compliance y un grupo de estudio sobre las mejores prácticas en la materia, en organismos públicos y empresas estatales. Asimismo, funciona como un ámbito de networking genuino e intercambio de experiencias entre expertos en anticorrupción y compliance, practicantes recién llegados a la disciplina y funcionarios de todos los niveles y poderes del Estado.
Esta Comisión aborda los temas concernientes a compliance en la industria farmacéutica y dispositivos médicos, en un ámbito profesional de confianza que auspicia el debate abierto de problemáticas de interés común.
Reviví las actividades de esta comisión aquí
Esta Comisión propone ser un lugar de encuentro de los profesionales que se desarrollan en prácticas vinculadas con la prevención, detección y respuesta al fraude en las organizaciones. La comisión trabaja activamente para desarrollar y compartir entre pares las mejores prácticas del mercado en materia anti-fraude y anti-corrupción.
Esta Comisión propone una dinámica teórico-práctica, cuyo alcance se vincula con las cuestiones metodológicas que coadyuvan a la implementación de un sistema de gestión, mediante la aplicación de uno o más estándares tales como –por ejemplo- ISO 19600, ISO 31.000, la implementación de una nueva normativa, o el diseño e implementación de planes de acción específicos. La Comisión se focaliza en aspectos de la gestión y en la resolución de los diversos problemas que se presentan en la realidad de las empresas (ya sean públicas o privadas y sin importar la actividad a la cual se dedican).
El Propósito de esta Comisión es permear la perspectiva de Sostenibilidad en la gestión estratégica del Compliance, profundizando la interrelación virtuosa que existe entre ambas disciplinas. Pretende ser un espacio no sólo de difusión y divulgación de temas vinculados a la Sostenibilidad, sino además -y especialmente- un catalizador de iniciativas que la promuevan entre todos los grupos de interés del ecosistema de la AAEC.
Esta Comisión invita a todas a aquellas personas con interés en promover buenas prácticas de Sostenibilidad a ser parte e involucrarse activamente en las distintas acciones que se lleven adelante.
Reviví las actividades de esta comisión aquí
El objetivo de esta comisión consiste en tomar temas de interés o estudio de la AAEC y presentarlos para conversación, discusión y reflexión, desde la perspectiva de distintos marcos conceptuales, integrando los puntos de vista de varias comisiones de estudio. En este sentido, esta comisión propone una actividad con la característica de transversalidad.
La Comisión contribuirá de este modo a generar espacios de actualización, reflexión, o debate sobre diversos temas que son de interés de la AAEC por encontrarse dentro del marco conceptual de su trabajo. Los temas podrán ser cuestiones sobre las que la AAEC desea generar conciencia o cultura ética o temas de actualidad de la agenda del país, de la región o incluso a nivel mundial.