Al escribir este artículo, faltan menos de 12 horas para que entre en vigor el nuevo Reglamento General de Protección de Datos (UE) 2016/679 (conocido como GDPR por su denominación en inglés General Data Protection Regulation), el cual deroga la Directiva 95/46/CE que aplicaba anteriormente a todos los miembros de la Unión Europea (UE).

Publicado el 27 de abril de 2016, este Reglamento establece que su aplicación iniciará a partir del 25 de mayo de 2018[1] y ha hecho famoso porque establece sanciones de hasta 10 millones de euros (aproximadamente 460 millones de pesos mexicanos… sí, yo también me sorprendí) o al tratarse de empresas, el equivalente a hasta 4% del volumen de negocio total anual global del ejercicio financiero anterior.[2] 

He leído en estos últimos días varios artículos referentes a la potencial aplicación de esta ley a empresas mexicanas, básicamente porque una novedad importante de este reglamento es que busca no limitarse a los países miembros de la Unión y extender sus tentáculos de protección a los datos que tratan aquellas empresas ubicadas fuera del territorio de la UE.

En efecto, el documento refiere que el reglamento será aplicable a cualquier empresa fuera de la UE si lleva a cabo el tratamiento de datos personales para ofertar en forma evidente bienes o servicios, sin que sea necesario que medie un pago por dichos bienes o servicios, es decir, la simple oferta es suficiente para que le sea aplicable la ley.[3]

El uso evidente que refiere el Reglamento se dará si la organización extranjera: (i) hace uso de una lengua generalmente utilizada en uno o varios estados miembros y la posibilidad de solicitar los productos o servicios en dicha lengua (ojo, el español es aplicable); (ii) hacer uso de monedas en Euros; o (iii) mencionar clientes o usuarios residentes de la UE.[4]

El tema se potencializa si consideramos que muchas empresas mexicanas buscan abarcar el mercado europeo incluyendo en sus sitios web (en español) ofertas dirigidas específicamente a esta región.

En mi opinión, esta disposición tiene dedicatoria clara y se llaman Microsoft, Facebook, Twitter y Google, y seguramente serán las más vigiladas por parte de las diferentes autoridades de protección de datos de los países miembros de la UE, sin embargo, también son las que ya están invirtiendo en cumplir con esta regulación que se antoja la más estricta en materia de protección de datos de todo el mundo.

No creo que las empresas mexicanas vayan a ser el objetivo principal de la autoridad europea, más aún si consideramos la complejidad que representa ejecutar en México una resolución emitida por una autoridad en Europa, sin embargo, no dudo que será una herramienta muy útil para aquellos europeos interesados en que sus datos personales sean debidamente protegidos (sea o no este el objetivo legítimo y principal de su acción de protección de datos).

México cuenta con la Ley Federal de Protección de Datos Personales y un Reglamento que se basan en las Directrices de la OECD sobre protección a la privacidad y flujos transfronterizos de datos personales, documento que al haber sido creado en 1980, en estrecha cooperación con la Comunidad Europea, contiene la terminología y los principios originalmente establecidos por le UE y que también se contienen en el nuevo GDPR, lo que provoca que muchos de los conceptos de nuestra ley sean similares a los referidos en este nuevo reglamento europeo y por tanto sea más comprensible para nosotros en comparación con otros países.

Nadie sabe aún cómo evolucionará el tema, pero lo cierto es que las autoridades europeas son muy proactivas y no dudarán en aprovechar cualquier oportunidad para hacer valer su ley y su influencia en cualquier parte del mundo, por lo que vale la pena cumplir con la regulación mexicana en materia de protección de datos y tomar en consideración las nuevas disposiciones europeas en materia de protección de datos. No está por demás, no vaya a ser que nuestra empresa se convierta en el conejillo de indias y tenga que soportar el peso de una sanción económica considerable (por no decir impagable) y lo que puede ser peor, el cargo reputacional que acarrea y que las autoridades de protección de datos se han hecho expertas en explotar.

 

[1] Art. 99(2) GDPR

[2] Art. 83(2) GDPR

[3] Considerando 23 del GDPR

[4] Idem

 

ACTUALIZACIÓN 29/05/2018 12:05 HORAS: Esta versión actualiza las cifras del segundo párrafo.