RGPD: Cara B / Pista 1
Este no será un artículo de advertencia sobre el poco tiempo que le queda a las empresas para adaptarse al Reglamento General de Protección de Datos (RGPD). De esto ya se ha escrito demasiado.
El borrador del RGPD se publicó en enero de 2012, y no se publicó oficialmente hasta finales de abril de 2016. Más de 4 años llevó a nuestros representantes europeos componer, limar y encajar todas las piezas de un puzle que parecía que nunca llegaría a ver la luz del sol.
Después de tantos años, cualquiera esperaría que un documento de 88 páginas fuese perfecto y deslumbrase a propios y a extraños con su claridad, su lógica y su eficacia (más aún, tratándose de una norma sancionadora). ¿Es el caso? Evidentemente, no.
Como ya hiciéramos antaño con nuestro recopilatorio de los Grandes Éxitos de la LOPD (I, II, III y IV), queremos desempolvar nuestro espíritu crítico y analizar algunos detalles oscuros del RGPD quedeberían causar cierto sonrojo en nuestros legisladores europeos (bueno… suponiendo que esta modesta publicación llegase a sus ojos).
Anticipamos la petición del perdón de los Fundamentalistas de la Protección de Datos por si alguno de estos artículos hiriese su sensibilidad.
Y sin más dilación, empecemos por una de las principales “novedades” del RGPD: Su aplicación extraterritorial (entrecomillamos la palabra novedades, porque con posterioridad a la concepción del borrador del RGPD, las autoridades europeas ya consiguieron aplicar la normativa europea de protección de datos a gigantes estadounidenses como Google y Facebook, aunque con argumentos un tanto… discutibles).
En concreto, el artículo 2.3 del RGPD prevé la aplicación de la norma a entidades no ubicadas en la UE, cuando traten datos de residentes en la UE (siempre que dicho tratamiento consista en la oferta de bienes o servicios, incluso gratuitos, o en el control de su comportamiento en la UE).
Es decir, ya no será necesario retorcer la normativa europea para poder sancionar a las grandes tecnológicas del otro lado del charco.
Lector: ¿Y qué hay de malo en ello? Estoy harto de que los Facebook, los Google, y demás se hagan millonarios a mi costa.
Redactor: Claro, si no tiene nada de malo…Más allá del problema que supone para cualquier empresa del mundo que opere en internet el verse inmerso de repente en una norma que no conoce y que puede que ni siquiera tenga sentido en su cultura nacional. Desde el punto de vista del viejo continente, culturizar a los bárbaros extranjeros siempre está bien… pero ¿qué pasaría si fuese a la inversa?
L: ¿A qué te refieres?
R: ¿qué diría una empresa española con una tienda online que da servicio a todo el mundo, si de repente una autoridad de otro país quisiese imponerle una sanción económica por incumplir con su ley nacional de protección de datos y tratar datos de sus ciudadanos?
L: Bueno, pero en un futuro eso ya se verá…
R: Ya hay países, como Costa Rica, que también prevén la aplicación extraterritorial de sus normativas de protección de datos a entidades que traten datos de sus ciudadanos. Y sus normas, aunque similares, tienen peculiaridades propias de su cultura y su experiencia (algunas que incluso son claramente incompatibles con el cumplimiento de la normativa europea).
L: Pues vaya problemón… ¿entonces si publico una tienda online con servicio a todo el mundo, tengo que conocer todas las normativas de protección de datos y asegurarme de que no tienen aplicación extraterritorial?
R: No necesariamente. El propio RGPD, la misma norma que prevé su aplicación extraterritorial fuera de la UE, establece en su Considerando 115 que:
“Algunos países terceros adoptan leyes, reglamentaciones y otros actos jurídicos con los que se pretende regular directamente las actividades de tratamiento de personas físicas y jurídicas bajo jurisdicción de los Estados miembros […]. La aplicación extraterritorial de dichas leyes, reglamentaciones y otros actos jurídicos puede ser contraria al Derecho internacional e impedir la protección de las personas físicas garantizada en la Unión en virtud del presente Reglamento.”
L: Ah… pero si el RGPD tiene aplicación extraterritorial… ¿cómo puede rechazar la aplicación extraterritorial de las normas de otros países?
R: Pues con muy poca vergüenza, amigo Lector… con muy poca vergüenza. Es un nuevo Reglamento propio de la Europa más vieja.
L: Qué curioso… cuéntame más.
R: Si te esperas unos días, te pongo la Pista 2 de esta peculiar antología de la Cara B del Reglamento Europeo de Protección de Datos.
Áudea Seguridad de la Información