¿Hace negocios en la UE? Conozca su legislación de protección de datos

Internet se ha convertido en la espina dorsal del mundo moderno. Una gigantesca cantidad de información se intercambia entre computadoras, celulares, servidores y, con la introducción del Internet de las cosas, entre casi cualquier artefacto, desde un electrodoméstico hasta un carro.

Mucha de la información consiste en datos de las personas: nombres, edades, direcciones electrónicas y de calle, números de cuentas bancarias y de tarjetas de crédito, respuestas a cuestionarios, datos sobre su estado de salud o sobre patrones de consumo. La digitalización avanza y convierte cualquier actividad en un dato que puede almacenarse, analizarse y compartirse.

Gran parte del esfuerzo de mercadeo de las empresas se basa en identificar consumidores potenciales. ¿Puede una compañía vender o intercambiar los datos de sus clientes a otra empresa? ¿Dónde queda la privacidad de las personas?

Estas son las materias que regula la más reciente disposición de la Unión Europea: el Reglamento General de Protección de Datos (GDPR, en inglés), aprobado por el Parlamento Europeo en abril de 2016 y vigente desde el 25 de mayo de 2018.

Si bien el GDPR tiene alcance en Europa, sus implicaciones son globales, pues cualquier empresa que obtenga datos de residentes de la Unión Europea (ciudadanos o no) está sometida a sus disposiciones, independientemente de si la empresa tenga o no sede en la Unión.

Manejo responsable de los datos

La clave del GDPR está en si una empresa recolecta información sobre personas que vivan en la Unión Europea. No importa si la empresa opera fuera de Europa, al otro lado del Atlántico: si en su página web existe, por ejemplo, un formulario, y una persona en Europa lo completa, la empresa es responsable por el buen manejo de sus datos.

La responsabilidad se extiende a los “procesadores de datos”: organizaciones que usan los datos provistos por un tercero (el “controlador de datos”). Así, una empresa en Latinoamérica está sujeta al GDPR si usa datos de residentes europeos provistos por otra organización.

Podría ser el caso de un centro de llamadas con sede en Colombia que preste servicios a un banco europeo o de una organización en Panamá que maneje las operaciones de nómina de un tercero en la Unión Europea, por ejemplo.

Hacer negocios con europeos

El Reglamento no se aplica si un ciudadano europeo se encuentra temporal o permanentemente fuera de la Unión. Es decir, si un ciudadano de cualquier país de la Unión se encuentra de paso o vive en Colombia y, al visitar una página web, se recogen datos de él, el GDPR no lo protege. El sentido de esto es que la legislación europea no puede aplicarse fuera de la Unión.

El GDPR tampoco es válido para las acciones de mercadeo no dirigidas específicamente a cualquier de los países miembros de la Unión. Si una empresa guatemalteca usa Google Adwords, por ejemplo, y una persona en España llega a su web, el GDPR no protege al usuario, porque la empresa no buscaba clientes específicamente en ese país.

El Reglamento sí es válido si una empresa latinoamericana acepta la moneda de cualquier país de la Unión, tiene un sufijo de dominio específico de ese país u ofrece envíos a él.

También se aplica si una empresa colombiana emplea su página web para vender productos o servicios en la Unión Europea y recoge datos de personas que vivan allí. Podría ser el caso de una agencia de turismo que venda paquetes para disfrutar en Cartagena o San Blas.

La importancia del consentimiento

Lo importante es asegurarse de que el usuario dé su consentimiento expreso para que usen sus datos, que incluyen no solo los ofrecidos por él, sino los que se crean automáticamente al navegar por la web, como cookies o direcciones IP. También incluye comentarios en redes sociales o localizaciones obtenidas por dispositivos móviles.

Es decir, ya no son válidos como forma de consentimiento los formularios precompletados por diseño ni la inactividad por parte del usuario. También debe haber una manera fácil para que las personas cancelen ese consentimiento.

Además, a las personas debe informárseles qué se hará con los datos que aporten y no mostrarles esos larguísimos documentos en letra pequeña de “Términos y Condiciones”. Un punto relacionado con esto es que las personas tienen el derecho a saber qué datos se guardan de ellas, a modificarlos y a borrarlos, para lo cual las empresas deben establecer mecanismos claros y fáciles de emplear.

Si las empresas reciben un ataque informático o alguien ha accedido a los datos de las personas, tienen un plazo de 72 horas para notificar a los usuarios y a las autoridades europeas de la vulneración.

Cuidado con las sanciones

Las más graves violaciones del GDPR son castigadas con multas de hasta 20 millones de euros o de hasta 4% de la utilidad neta de la empresa. Asimismo, a una empresa también se le puede prohibir que siga recogiendo o analizando datos.

El GDPR ha simplificado los mecanismos por los que una persona puede denunciar el mal uso de sus datos por parte de una empresa (que incluye su derecho a saber qué información se almacenó y a borrarla si lo solicita). Además, el GDPR unificó la legislación de protección de datos de todos los países europeos, con el objetivo de que la protección sea más efectiva para los residentes de la Unión.

¿Cómo se asegura la Unión Europea de que una empresa con sede fuera de su territorio sea sancionada? Para ello se vale del derecho internacional y de los tratados de asistencia legal mutua. Es decir, la Unión puede requerir de un Estado fuera de su territorio que sancione a una empresa por haber violado derechos de residentes europeos.

En este sentido, se puede esperar que un Estado de cualquier continente, respetuoso del derecho internacional y con excelentes relaciones con la Unión Europea y sus países miembros coopere con la Unión en materia de protección de los datos.

En todo caso, Europa es un mercado valiosísimo para perderlo por creer que sus leyes no se aplican directamente en nuestra región. De hecho, las empresas más grandes del mundo con sede fuera de la Unión están cambiando sus políticas para adaptarse al GDPR, pues están conscientes de que, si no mañana, en el futuro cercano la privacidad de la información sí tendrá alcance global, puesto que Internet no tiene fronteras.

Es decir, por ahora se deben cumplir muchos procesos para que una empresa fuera de la Unión Europea sea sancionada por una violación de la privacidad de los datos de residentes europeos. Pero, si hay una denuncia, está quedará registrada.

Podría esperarse, por ejemplo, que se le prohíba la entrada a Europa a los representantes de una organización (latinoamericana o de cualquier otro continente) denunciada o, si entran a territorio europeo, que se les exija que respondan a las denuncias. En un Estado de derecho nadie puede escaparse de la justicia.

El Reglamento europeo es una oportunidad

El GDPR es una legislación de avanzada en materia de protección de datos. Las empresas fuera de Europa deberían aprovechar sus disposiciones para mejorar el manejo de la información.

El mensaje es claro: las empresas, grandes o pequeñas, pueden obtener muchas ventajas de sus bases de datos de clientes, pero en última instancia los dueños de la información son las personas.

Aparte de las sanciones, la protección de datos es una oportunidad para mejorar la imagen de la empresa frente a proveedores y clientes. Una empresa que proteja la privacidad de sus datos es una organización confiable con la que las personas querrán hacer negocios.

Recuerda:

Es importante que las empresas se aseguren de obtener el consentimiento del usuario para el uso de sus datos, que incluyen no solo los ofrecidos por él, sino los que se crean automáticamente al navegar por la web, como cookies o direcciones IP. La nueva legislación para protección de datos no sólo es un nuevo reglamento, es una oportunidad para mejorar la imagen de la empresa frente a proveedores y clientes. Una empresa que proteja la privacidad de sus datos es una organización confiable con la que las personas querrán hacer negocios.