RGPD: Cara B / Pista 1

RGPD: Cara B / Pista 1

 

Este no será un artículo de advertencia sobre el poco tiempo que le queda a las empresas para adaptarse al Reglamento General de Protección de Datos (RGPD). De esto ya se ha escrito demasiado.

El borrador del RGPD se publicó en enero de 2012, y no se publicó oficialmente hasta finales de abril de 2016. Más de 4 años llevó a nuestros representantes europeos componer, limar y encajar todas las piezas de un puzle que parecía que nunca llegaría a ver la luz del sol.

Después de tantos años, cualquiera esperaría que un documento de 88 páginas fuese perfecto y deslumbrase a propios y a extraños con su claridad, su lógica y su eficacia (más aún, tratándose de una norma sancionadora). ¿Es el caso? Evidentemente, no.

Como ya hiciéramos antaño con nuestro recopilatorio de los Grandes Éxitos de la LOPD (I, II, III y IV), queremos desempolvar nuestro espíritu crítico y analizar algunos detalles oscuros del RGPD quedeberían causar cierto sonrojo en nuestros legisladores europeos (bueno… suponiendo que esta modesta publicación llegase a sus ojos).

Anticipamos la petición del perdón de los Fundamentalistas de la Protección de Datos por si alguno de estos artículos hiriese su sensibilidad.

Y sin más dilación, empecemos por una de las principales “novedades” del RGPD: Su aplicación extraterritorial (entrecomillamos la palabra novedades, porque con posterioridad a la concepción del borrador del RGPD, las autoridades europeas ya consiguieron aplicar la normativa europea de protección de datos a gigantes estadounidenses como Google y Facebook, aunque con argumentos un tanto… discutibles).

En concreto, el artículo 2.3 del RGPD prevé la aplicación de la norma a entidades no ubicadas en la UE, cuando traten datos de residentes en la UE (siempre que dicho tratamiento consista en la oferta de bienes o servicios, incluso gratuitos, o en el control de su comportamiento en la UE).

Es decir, ya no será necesario retorcer la normativa europea para poder sancionar a las grandes tecnológicas del otro lado del charco.

Lector: ¿Y qué hay de malo en ello? Estoy harto de que los Facebook, los Google, y demás se hagan millonarios a mi costa.

Redactor: Claro, si no tiene nada de malo…Más allá del problema que supone para cualquier empresa del mundo que opere en internet el verse inmerso de repente en una norma que no conoce y que puede que ni siquiera tenga sentido en su cultura nacional. Desde el punto de vista del viejo continente, culturizar a los bárbaros extranjeros siempre está bien… pero ¿qué pasaría si fuese a la inversa?

L: ¿A qué te refieres?

R: ¿qué diría una empresa española con una tienda online que da servicio a todo el mundo, si de repente una autoridad de otro país quisiese imponerle una sanción económica por incumplir con su ley nacional de protección de datos y tratar datos de sus ciudadanos?

L: Bueno, pero en un futuro eso ya se verá…

R: Ya hay países, como Costa Rica, que también prevén la aplicación extraterritorial de sus normativas de protección de datos a entidades que traten datos de sus ciudadanos. Y sus normas, aunque similares, tienen peculiaridades propias de su cultura y su experiencia (algunas que incluso son claramente incompatibles con el cumplimiento de la normativa europea).

L: Pues vaya problemón… ¿entonces si publico una tienda online con servicio a todo el mundo, tengo que conocer todas las normativas de protección de datos y asegurarme de que no tienen aplicación extraterritorial?

R: No necesariamente. El propio RGPD, la misma norma que prevé su aplicación extraterritorial fuera de la UE, establece en su Considerando 115 que:

Algunos países terceros adoptan leyes, reglamentaciones y otros actos jurídicos con los que se pretende regular directamente las actividades de tratamiento de personas físicas y jurídicas bajo jurisdicción de los Estados miembros […]. La aplicación extraterritorial de dichas leyes, reglamentaciones y otros actos jurídicos puede ser contraria al Derecho internacional e impedir la protección de las personas físicas garantizada en la Unión en virtud del presente Reglamento.”

L: Ah… pero si el RGPD tiene aplicación extraterritorial… ¿cómo puede rechazar la aplicación extraterritorial de las normas de otros países?

R: Pues con muy poca vergüenza, amigo Lector… con muy poca vergüenza. Es un nuevo Reglamento propio de la Europa más vieja.

L: Qué curioso… cuéntame más.

R: Si te esperas unos días, te pongo la Pista 2 de esta peculiar antología de la Cara B del Reglamento Europeo de Protección de Datos.

 

José Carlos Moratilla

Departamento Legal

Áudea Seguridad de la Información

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.