TOTAL: {[ getCartTotalCost() | currencyFilter ]} Update cart for total shopping_basket Checkout

Latin America Dashboard Digest | Notas de la directora general IAPP América Latina, 8 mayo 2018 Related reading: Notas de la directora general IAPP América Latina, 16 octubre 2018

rss_feed

DPC18_Web_300x250-COPY

Estimados Lectores,

Estamos a sólo unos días del 25 de mayo de 2018, día en que el Reglamento General de Protección de Datos (RGPD) tendrá plena aplicación. Como muchos lo han experimentado, los últimos dos años han sido de estudio y, sobre todo, de trabajo arduo en su implementación.

Incluso profesionales en nuestra región se han dado a la tarea de estudiar a detalle el ordenamiento, puesto que el mismo prevé supuestos en los que resultaría aplicable a responsables o encargados del tratamiento establecidos fuera de la Unión Europea.

En este sentido, el apartado 2 del artículo 3 del RGPD, relativo al ámbito territorial, indica que el mismo “se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

a)    la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

b)    el control de su comportamiento, en la medida en que éste tenga lugar en la Unión.

Aunque existen factores que hay que analizar a detalle y caso por caso, debemos tener en mente estos supuestos a fin de determinar si a las empresas que asesoramos, o para las que trabajamos, les resultaría aplicable como encargados o responsables fuera de la Unión Europea.

En términos generales podemos decir que los tratamientos de datos personales por un responsable o encargado no establecido en la Unión Europea, que quedan sujetos al cumplimiento del RGPD, son aquellos que implican un vínculo estrecho, bien sea por el ofrecimiento de bienes o servicios sin importar que haya un pago o no, o de que se realice un control del comportamiento de los interesados. En caso de que no se produzca ninguno de estos dos supuestos, el RGPD no sería aplicable.

Si el RGPD resultara aplicable se tendrá que cumplir con las obligaciones previstas en el mismo, por un lado, la obligación de designar a un representante (salvo que se aplique una de las excepciones, a saber, que el tratamiento de datos personales sea ocasional, no incluye el tratamiento a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales o es improbable que el tratamiento implique un riesgo para los derechos y libertades de las personas físicas) y, por otro, las demás obligaciones establecidas en el RGPD, por ejemplo: aplicar medidas técnicas y organizativas para cumplir con la obligación general de responsabilidad (“accountability”) que tiene el responsable del tratamiento; llevar un registro de las actividades de tratamiento; notificar una vulneración de seguridad a la autoridad de control; elaborar evaluaciones de impacto relativas a la protección de datos cuando el tratamiento implique un alto riesgo para los derechos y libertades fundamentales de las personas físicas; nombrar un delegado de protección de datos, etc.

Es así que aún y cuando una empresa se encuentre fuera de la Unión Europea, debe analizar sus procesos de tratamiento de datos personales a fin de determinar si está obligado en términos del artículo 3 del RGPD.

La IAPP tiene varios recursos y material de estudio que les puede resultar muy útil para entender y aplicar, en su caso, el RGPD. Visiten la página www.iapp.org para mayor información.

Saludos,
Rosa María

 

 

 

 

 

Comments

If you want to comment on this post, you need to login.