La fuerza expansiva supranacional del Reglamento General de Protección de Datos de la Unión Europea

El desarrollo de las tecnologías de la información y la comunicación (TICs) ha permitido que por primera vez en la historia se pueda experimentar el mundo como una comunidad virtual, liberando a la humanidad de la relativa oscuridad que vivía respecto al acceso de información y evolucionando de manera constante en beneficio de sus usuarios. Por esta razón, en la actualidad, el mundo digital ha recibido en su regazo la mayoría de las actividades del mundo tradicional, desde la comercialización de productos a través de medios electrónicos y el internet banking hasta el e-government¸ con la digitalización de los servicios públicos.

Ahora bien, el rápido avance de las TICs demanda el amparo de las prerrogativas y los bienes jurídicos envueltos en su utilización. Y es que, el derecho a la intimidad, reconocido constitucionalmente en el artículo 44 de nuestra Carta Magna, es un flanco débil frente a la célere disrupción tecnológica puesto que esta, por sus características, incluye compartir los datos personales de sus usuarios. Esta información se ha convertido en uno de los activos más codiciados en la era de las TICs, por la ventaja competitiva que representa para los intereses económicos y sociales del mundo actual.

De manera que la protección de datos personales se refiere a la formulación de mecanismos tendentes a evitar el abuso o simplemente controlar el uso de las informaciones contenidas en los bancos de datos (Pierini,A.; Lorences, V.; Tornabene, M.I., 1998, P. 326) . Así las cosas, podemos entonces afirmar que “(…) la intimidad equivale a autodeterminación informativa, esto es, intimidad como facultad de decidir sobre el destino y función de las propias informaciones” (Serrano Pérez, M., 2017. P. 151). Esto, precisamente, basado en que la propia Constitución garantiza el respeto y la no injerencia en la vida privada, familiar, el domicilio y la correspondencia del individuo.

En la región, la mayoría de los países de América Latina, han adoptado desde la década de 1990 leyes comprensivas para el procesamiento de datos personales, reconociéndose el derecho a la protección de datos con carácter constitucional. En general, las constituciones de la región reconocen el derecho a la privacidad, pero también incluyen el hábeas data, que es el mecanismo mediante el cual se salvaguarda el derecho fundamental a la autodeterminación informativa, por tanto, se verifica la existencia de leyes que regulan el procesamiento automático y manual de datos personales tanto por el sector público y el privado (Ford Foundation, 2017).

 

En la República Dominicana, la protección de datos personales está regulada, principalmente, por la Ley No. 172-13 de Protección integral de datos personales, la cual surge en respuesta de nuestra ratificación del Convenio de Budapest sobre ciberdelincuencia en fecha 07 de febrero de 2013. Así pues, la Ley No. 172-13, organiza el tratamiento de la data asentada en los archivos de los bancos de datos, enfocándose en la regulación de las sociedades de información crediticia y la protección de los datos personales en las entidades de intermediación financiera, mediante un esquema correctivo, heredado de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal de España. Asimismo, la Ley No. 53-07 sobre crímenes y delitos de alta tecnología, juega un papel fundamental toda vez que tiene como  finalidad la protección integral de los sistemas que utilicen tecnologías de información y comunicación castigando las conductas que atenten contra los integridad de los datos personales.

Sin embargo, el manejo de datos personales es numerus apertus y así lo son también las conductas que pueden atentar contra estos. Es por ello que el Reglamento (UE) 2016/679 (en lo adelante RGPD) del Parlamento Europeo y del Consejo de fecha 27 de abril de 2016 que entró en vigencia el 25 de mayo del 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, ha sido diseñado como un modelo de prevención de riesgos que, lejos de ser un mero conjunto de reglas sancionadoras, va más allá en el alcance de sus disposiciones y busca garantizar la protección efectiva del bien jurídico en cuestión.  Este ha utilizado como eje el principio de accountability que justifica la responsabilidad proactiva de crear medidas garantistas del bien jurídico, recayendo tal obligación en quienes tratan (obtienen, reciben, conservan y gestionan) los datos personales.

En ese sentido, el nuevo RGPD procura la protección de derechos y libertades de las personas físicas en lo relativo al tratamiento de sus datos personales, otorgando un igual nivel de amparo en todos los Estados miembros de la Unión Europea (en lo adelante “UE”). En ese tenor, las innovaciones presentadas en el Reglamento en cuanto a la forma de almacenar y procesar datos personales de residentes en la UE, ha provocado que tanto el sector público como privado deban someterse a la nueva norma, con fines de devolver a los residentes en la UE mayor control sobre la información que existe referente a su persona. Y, en cuanto al manejo que los terceros tienen sobre sus datos, el RGPD implica un tratamiento de la privacidad mucho más rigurosa, extendiéndose su poder de alcance y afectando también a empresas que ofrecen bienes o servicios a residentes en la UE (materializándose así la extraterritorialidad del alcance de este reglamento), así como también a empresas que monitorean y siguen su comportamiento.

 

Siendo así, dentro de los cambios más trascendentales que introduce este Reglamento se encuentran la demostración de la licitud en la obtención y el tratamiento de datos personales (artículos 6 y 24). Por tanto, el Reglamento añade expresamente el elemento inequívoco con respecto a la aceptación y consentimiento del tratamiento de los datos del interesado, que la regulación anterior – Directiva 95/46/CE –no contemplaba. De igual manera, se incorporó la obligación de realizar evaluaciones de impacto de la privacidad de forma regular, y el requerimiento de seguir protocolos más estrictos para reportar brechas de seguridad a las autoridades de control competentes de cada país, así como el reconocimiento de los derechos como la portabilidad de los datos y el derecho al olvido.

 

Una de las disposiciones más controversiales que fue incorporada en el RGPD es la extensión del alcance de sus efectos a países que no son miembro de la UE. Esta particularidad se fundamenta en el principio general de las transferencias de datos personales a terceros países, estableciéndose de entrada, la necesidad de una especie de adecuación del ordenamiento jurídico, a esta nueva norma, de los países o territorios que quieran hacer uso de datos de residentes europeos. Es decir, el RGPD extiende la protección de tratamiento de los datos de las personas residentes en la UE tanto dentro como fuera de los territorios pertenecientes a la misma, protegiendo y otorgando derechos de manera específica e intuito personae hacia aquellos que tienen esta condición de residentes. De modo que, con la adopción de este Reglamento, los países fuera de la UE serán objeto de evaluación por parte de la Comisión Europea, midiendo el nivel de protección en la materia para que éstos puedan realizar transferencia de datos.

 

En ese orden, el RGPD en su artículo 45.1 establece que: “podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica”. Para tales fines, existe todo un personal en cada país de la UE que sirve de enlace para dar cumplimiento a esta disposición, siendo el Comité Europeo de Protección de Datos (CEPD) el de más alto nivel jerárquico.

 

Para poder ejecutar este control garantista de protección de tratamiento de datos, la estructura de cumplimiento que presenta este Reglamento identifica tres funcionarios importantes que ejecutan la labor de exigencia en la materia de protección de datos personales, identificándose como neurálgicos: el responsable de los datos personales, el encargado del tratamiento y el Delegado de protección de datos. Este último, es la figura, conocida popularmente como DPO (por sus siglas en inglés, Data Protection Officer), que constituye una de las novedades claves del RGPD, ya que funge como garante de cumplimiento de la normativa de protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las autoridades de control. De manera que cuando exista una comunicación de datos a un destinatario ubicado fuera de la UE, el responsable del tratamiento podrá hacer uso del derecho de acceso, informando al interesado de los destinatarios y las categorías de niveles de protección de datos de los destinatarios internacionales.

 

En ese sentido, el RGPD establece que sólo podrán realizarse trasferencias internacionales de datos si el responsable o el encargado de tratamiento de datos personales puede asegurar que el nivel de su protección está garantizado mediante la decisión de adecuación adoptada por la Comisión de la UE o las garantías adecuadas de protección de datos. El primer punto se ejecuta cuando la Comisión de la UE certifica a un Estado con el aval garantista de intercambio de información personal que le permite tanto al sector público como privado de esos países certificados realizar transferencias de datos personales sin mayores restricciones en atención al marco legislativo y las compatibilidades con el RGPD de la UE.

 

Sin embargo, existen excepciones que le ofrecen estas garantías a los residentes de la UE frente a aquellas entidades del sector público y privado fuera de territorio europeo que no cuentan con una aprobación por parte de la Comisión Europea a nivel estatal, pero que sí se reconocen como protección a su seguridad para la transferencia de datos a terceros países. De esta manera el RGPD indica que “a falta de decisión con arreglo al artículo 45, apartado 3, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas”, pudiendo ser aportadas estas garantías por parte de los terceros países, sin que se requiera ninguna autorización expresa de una autoridad de control. En efecto, se permite la adopción de medidas adecuadas, aunque no necesariamente idénticas a las del Reglamento, como es el caso de Estados Unidos de América mediante el uso del Escudo de Privacidad (Privacy Shield) que, aunque anteriormente había sido suspendido, la Comisión Europea lo ha aceptado nueva vez tras su readecuación.

 

No obstante, entre las garantías que pueden ser suministradas a modo excepcional para la transferencia de datos con terceros países sin esta aprobación son la adopción de un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos , cuestión que ocurre con España y su Ley Orgánica 03/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, normas corporativas vinculantes de conformidad con el artículo 47 del RGPD, pertenencia a un grupo de empresas con normas corporativas vinculantes aprobadas por la autoridad de control, cláusulas contractuales  de protección de datos con el responsable, encargado o destinatario de los terceros países u organizaciones internacionales, adhesión a un código de conducta aprobado por la autoridad de control, la posesión de un certificado, sello o marca de protección de datos expedido por un organismo de certificación acreditado y la autorización específica de la autoridad de control obtenida mediante la presentación de una solicitud para realizar la transferencia internacional (LOPD).

 

Asimismo, dichas garantías se cumplen cuando el interesado otorgue explícitamente su consentimiento, tras haber sido informado fehacientemente de los riesgos debido a la ausencia de garantías adecuadas de protección de datos, así como también para los casos de interés legítimo del responsable o encargado del tratamiento, bajo la condición de que  la transferencia no sea repetitiva y afecte un número limitado de interesados, el interés legítimo del responsable no quede anulado por los intereses o derechos y libertades del interesado y que se realice una evaluación de impacto poniéndose en práctica garantías adecuadas de protección.

 

En ese orden, el Tribunal Constitucional español, en la vanguardista Sentencia No. 76/2019 de 22 de mayo del 2019 estableció que “las garantías adecuadas deben velar por que el tratamiento de datos se realice en condiciones que aseguren la transparencia, la supervisión y la tutela judicial efectiva, y deben procurar que los datos no se recojan de forma desproporcionada y no se utilicen para fines distintos de los que justificaron su obtención”.

 

De igual manera, el Tribunal Constitucional español consideró que “el nivel y la naturaleza de las garantías adecuadas no se pueden determinar de una vez para todas, pues, por un lado, deben revisarse y actualizarse cuando sea necesario y, por otro lado, el principio de proporcionalidad obliga a verificar si, con el desarrollo de la tecnología, aparecen posibilidades de tratamiento que resultan menos intrusivas o potencialmente menos peligrosas para los derechos fundamentales” reconociendo la responsabilidad activa de garantizar la efectiva protección de los datos personales en la medida que aparezcan riesgos nuevos y sobre todo incluyendo un manejo prudente y menos invasivo de los datos personales.

 

De ahí que el Reglamento detalla distintas herramientas para las autoridades de protección de datos en caso de incumplimiento de las normas que comprenden sanciones incluso de carácter pecuniario. De forma tal que el RGPD contiene en su capítulo VIII una lista de recursos, aspectos relevantes en cuanto a la responsabilidad y sanciones, que le otorga al interesado el derecho de presentarse ante la autoridad de aplicación si considera demandar en ocasión del tratamiento inadecuado que se le habría podido otorgar a sus datos, infringiendo el Reglamento. Así como también pueden recurrir por ante los tribunales para solicitar la tutela judicial efectiva en caso de que los derechos que le otorga el RGPD hayan sido vulnerados como consecuencia de un mal uso de sus datos personales.

 

Este nuevo modelo de responsabilidad proactiva que impone al responsable del tratamiento de los datos personales estar en condiciones de probar que cumple con las previsiones normativas para garantizar la salud del bien jurídico protegido, no solo ha creado un sistema de garantías preventivas para salvaguardar el derecho a la intimidad y la protección de datos personales del individuo, sino que la gestión responsable del tratamiento de datos se ha convertido en una ventaja competitiva en el mundo de los negocios.

 

Cada día más los Estados, las empresas multinacionales y las domésticas con aspiraciones de internacionalización han creado programas de cumplimiento exclusivamente con el objetivo de brindar una protección oportuna de los datos de sus usuarios, puesto que evadir esta responsabilidad podría derivar en un riesgo reputacional a gran escala que afecte a todo un país o un sector determinado unido a la posibilidad de aplicación de una orden o una limitación, temporal o definitiva, del tratamiento, así como la suspensión de los flujos de datos por parte de la autoridad supervisora de uno o varios países de la UE.

 

Es importante destacar que, en fecha 01 de noviembre del 2018, la Junta Monetaria emitió la Resolución JM181101-02 que autoriza el Reglamento de Seguridad Cibernética y de la Información, el cual establece parámetros para la creación de políticas con el objetivo de ordenar el tratamiento de datos personales en las entidades intermediación financiera. Sin embargo, la gestión de los datos personales no solo se circunscribe a estas entidades, un ejemplo de ello son las aseguradoras, quienes gestionan datos personales de sus clientes como parte de su actividad comercial. Por lo tanto, aun cuando esto constituye un gran avance para la materia, la necesidad de reforma de la Ley No. 172-13 es indiscutible.

 

En consecuencia, es momento de que la República Dominicana avance hacia una legislación que responda a las nuevas necesidades que han generado las TICs de cara a la vulnerabilidad de los datos personales, apegándose al nuevo modelo de responsabilidad activa tanto del sector público, principalmente con la implementación de la República digital como del ámbito privado a nivel comercial. Puesto que es menester rechazar la idea de continuar conservando legislaciones provectas que afecten la salvaguarda de las prerrogativas de los ciudadanos, así como el avance económico y social del país.

 

Pamela Delgado Jiménez es Abogada asociada a la firma Jorge Prats abogados & consultores.

 

 

Más en Dossier Legal

El Tribunal Constitucional, Pro Consumidor y la potestad sancionadora

El síndrome del miembro fantasma de Pro Consumidor

La Ley mordaza de los partidos, agrupaciones y movimientos políticos.

Tribunal Constitucional y protección del derecho fundamental de propiedad ante expropiaciones irregulares.

El Tribunal Superior Administrativo y la libertad de comunicación

Observaciones al borrador de decreto sobre Eficiencia de la Actividad Regulatoria.

Delitos financieros, autorregulación, gobierno corporativo y compliance en los mercados financieros

encuesta

¿Cree usted que la Junta Central Electoral permitirá a Leonel Fernández inscribirse como candidato presidencial por su nuevo partido o cualquier otro partido?

Cargando ... Cargando ...

Participa en el debate

No aceptamos comentarios ofensivos ni denigrantes.
Estamos interesados en el debate de las ideas, no auspiciamos ninguna ofensa contra nadie. Los comentarios que contengan mensajes denigrantes, ofensivos, difamatorios, injuriosos, por razones de raza, de política, de religión o de cualquier otra índole serán eliminados y sus autores excluidos de continuar comentando.

© 2011 - 2019 Editora Acento SAS. Todos los derechos reservados.
Esta obra está bajo una Licencia Creative Commons Atribución-NoComercial 4.0 Internacional.

Se un periodista ciudadano - Comparte las incidencias de tu comunidad.