Este artículo apareció en la sección "Página Quince" de La Nación de hoy (ver publicación).
Cumplido un período de vacancia de dos años luego de su promulgación en el 2016, el 25 de mayo pasado entró en vigencia la nueva “Regulación General sobre Protección de Datos” 2016/679 (“GDPR”, por sus siglas en inglés), que rige para toda la Unión Europea (UE) y el Área Económica Europea. La GDPR, como su nombre lo indica, es una regulación y no una directiva, lo que implica que no require que los países integrantes de la UE la ratifiquen internamente, sino que es directamente vinculante. De hecho, viene a reemplazar la obsoleta Directiva de Protección de Datos que regía desde 1995. La génesis de este nuevo ordenamiento se dio en enero del 2012, cuando la Comisión Europea acordó poner en marcha un plan para una reforma global de la protección de datos en el Viejo Continente, con el propósito expreso de adecuar a Europa a la era digital.
Autodeterminación informativa. A grandes rasgos, la GDPR es una normativa sobre protección de datos personales y privacidad para todos los ciudadanos y residentes de la UE. Además, regula la exportación de dichos datos fuera de esa área. Su objetivo primario es devolver a las personas el control sobre su información personal (es decir, a garantizar el derecho fundamental a la llamada “autodeterminación informativa”), así como simplificar el entorno regulatorio para las organizaciones y empresas internacionales, ofreciendo un marco unificado a lo largo y ancho de la UE, apropiado y actualizado de frente a los desafíos que plantea la actual sociedad de la información.
En efecto, no es ningún secreto que, en lo fundamental, casi todos los aspectos de nuestra vida diaria actualmente involucran la generación, recopilación, almacenamiento y tratamiento (“minería”) de datos personales. Los gobiernos, bancos, empresas y, en general, casi todos los servicios que empleamos nos exigen suministrar nuestro nombre, domicilio, teléfono, correo electrónico, datos financieros y de otros tipos, algunos de carácter sensible. Y, hasta ahora al menos (a pesar de que el tema no es novedoso, ni mucho menos), es poco o nulo el control que podemos tener sobre cómo y para qué se utiliza nuestra información.
Ya más específicamente, la GDPR contiene una serie de requerimientos relativos al procesamiento de información personalmente identificable. A partir de ahora, todos los procesos empresariales que utilicen datos personales deben estar diseñados e implementados presuponiendo una protección máxima de la intimidad, empleando técnicas de despersonalización, de manera que ninguna información pueda ser revelada externamente sin el consentimiento explícito de su titular (quien puede revocar esa autorización en cualquier momento) y que no pueda ser empleada para identificar a un individuo sin acudir a datos adicionales, almacenados separadamente.
Obligaciones impuestas. Todas las entidades que procesen datos personales deben revelar claramente qué información recopilan y cómo lo hacen, así como durante cuánto tiempo la retienen y si la comparten o no con terceros. Por su parte, las personas tienen derecho a obtener una copia de los datos en un formato común y, bajo ciertas circunstancias previstas en la normativa, pueden solicitar que su información sea suprimida, ejerciendo el llamado “derecho al olvido”. Otra importante novedad es que, ahora, tanto las autoridades públicas como las empresas cuya actividad fundamental sea el procesamiento de datos personales (como, por ejemplo, la creación de perfiles crediticios, información médica, etc.) están obligadas a tener lo que se denomina un Oficial de Protección de Datos (DPO, en inglés), quien es responsable de asegurar el cumplimiento de las nuevas disposiciones, incluyendo las acciones que se debe adoptar en caso de filtración de datos, tales como una oportuna notificación del hecho a las personas afectadas.
Solo están exceptuados de los alcances de la nueva regulación algunos supuestos puntuales, como las actividades de recolección y tratamiento de datos por motivos de seguridad nacional, policía o justicia, así como el análisis estadístico o científico o en supuestos como el procesamiento de información personal por personas físicas con motivos puramente domésticos.
Como adelantábamos, la GDPR aplica a todas las organizaciones que recopilen o procesen datos personales dentro de la UE o bien cuando dicha información se refiera a un ciudadano o residente de esa zona. Por ende, en determinados casos, afecta también a entidades o empresas ajenas a la UE, si los datos personales recopilados o procesados pertenecen o se refieren a personas situadas dentro de ella. Evidentemente, esto incluye a empresas tecnológicas internacionales muy grandes, incluyendo a las propietarias de redes sociales tales como Facebook, Twitter, Instagram, etc.
Sanciones. El incumplimiento de la GDPR puede someter a la organización responsable a una gama de posibles consecuencias y sanciones previstas, que van desde advertencias escritas en caso de la primera infracción o quebranto involuntario, hasta la realización de auditorías y la imposición de multas. Estas últimas pueden ser muy grandes, en el orden de los diez a veinte millones de euros o bien hasta un 4% de los ingresos anuales mundiales del último año financiero. Por eso, no es de sorprender que, en los últimos días, nuestros buzones de correo electrónico se hayan visto inundados de mensajes provenientes de proveedores de productos y servicios tecnológicos, declarando su cumplimiento de la GDPR.
La pregunta que finalmente cabe hacernos es si las empresas y organizaciones costarricenses que tienen negocios o realizan actividades con contrapartes europeas serán conscientes o no de los alcances e implicaciones de la GDPR. Es probable que esas últimas ya las hayan advertido oportunamente al efecto, pero si este no fuera el caso, sirvan estas líneas como una primera llamada de atención para que analicen el tema lo más pronto posible. Como lo indiqué, la nueva regulación ya entró en vigencia. Y en guerra avisada, no muere soldado.
