Oscar Montezuma
Director de Niubox
El nuevo Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) es la mayor reforma en protección de datos personales en el mundo. Entrará en vigencia en toda Europa el próximo 25 de mayo. De hecho, la ley peruana tomó mucho de la Directiva Europea de Protección de Datos de 1995, antecesora al GDPR. El GDPR nace en un contexto de sucesos mundiales de amplia discusión como Cambridge Analytics y un sinnúmero de brechas e incidentes de seguridad que han afectado a corporaciones multinacionales y han expuesto millones de datos personales.
GDPR ha sido anunciado como “el estándar normativo de protección de datos personales más robusto a nivel internacional”. Algunas de sus novedades son: (i) cualquier incidente de seguridad que exponga datos personales debe ser notificado a las autoridades dentro de las siguientes 72 horas y a las partes afectadas, (ii) la norma exige la designación de un oficial de cumplimiento de datos personales (“Data Protection Officer”) en la organización, (iii) refuerza los derechos de los individuos respecto su información personal, regulando el polémico y controvertido “derecho al olvido” y la portabilidad de los datos personales, es decir, la posibilidad de solicitar a cualquier organización que trata mis datos personales que entregue mi información cuando finalice mi relación con ella; y, finalmente (iv) las multas pueden ser de hasta 20 millones de euros o 4% de la facturación bruta anual. Lo anterior es una muestra rápida de algunas nuevas obligaciones, sin embargo, la implementación del GDPR viene exigiendo un trabajo de adecuación minucioso de sus programas de cumplimiento y el plazo límite para hacerlo es el próximo 25 de mayo.
¿Por qué es importante para el Perú?
Básicamente, porque la norma tiene un alcance global y se aplica incluso fuera del territorio europeo. En ese sentido, podría aplicar a cualquier negocio peruano que cuente con un establecimiento en territorio europeo. Para una organización peruana no establecida en territorio europeo, el GDPR le sería aplicable al tratamiento de datos personales relacionado con actividades que impliquen la oferta de bienes o servicios a individuos ubicados en territorio europeo o el monitoreo de individuos ubicados en territorio europeo (por ejemplo, actividades de “profiling” de clientes) . En ambos casos, resulta poco claro -incluso para las propias autoridades europeas- como podrán extender la estricta observancia de la norma a jurisdicciones que escapan a su control. Sin embargo, es un tema muy relevante para el Perú en vista que nuestro país mantiene un Tratado de Libre Comercio con la Unión Europea y, a cinco años de su vigencia, según la Cámara de Comercio de Lima, son más de 2,500 empresas peruanas que exportan a la Unión Europea.
Si bien nuestra Ley de Protección de Datos Personales data del año 2013 y ya cuenta con más de una modificación (y otras en curso), es altamente probable que el GDPR tendrá un efecto muy importante en Perú y la región. De hecho Argentina, el primer país latinoamericano en implementar una ley de protección de datos personales el año 2000, se encuentra en un proceso de revisión normativa que definitivamente será influenciado por las discusiones globales que está teniendo el GDPR de manera previa a su entrada en vigencia y, con seguridad, con posterioridad a ella.
Niubox es una firma de servicios legales, consultoría en asuntos públicos y regulatorios e innovación legal. Conoce nuestros servicios en Perú y Ecuador: tecnología y negocios digitales, innovación legal y legaltech, protección de datos personales y ciberseguridad, asuntos públicos y regulatorios, transformación digital, digitraining, telecomunicaciones y competencia, consumidor y propiedad intelectual.