Título: RGPD Y SU IMPACTO EN LOS USUARIOS Y EMPRESAS MEXICANAS
Title: GDPR AND ITS IMPACT ON MEXICAN USERS AND COMPANIES
Sumario: Resumen; Abstrac; Introducción; I.- ¿Qué es el Derecho a la Protección de Datos? ¿Qué es un dato?; II.- Los nuevos principios de la protección de datos en el ciberespacio establecidos por el RGPD; III.- El ámbito de aplicación del RGPD; IV.- Los impactos del RGPD para los usuarios y las empresas mexicanas; V.-Reflexiones finales: de la necesidad de una convergencias de criterios de protección; VI.-Referencias bibliográficas.
Resumen: La presente investigación, en el marco del Verano de Investigación 2018 del Programa Delfín, bajo el tema “RGPD Y SU IMPACTO EN LOS USUARIOS Y EMPRESAS MEXICANAS”, se avocará al análisis comparativo de las soluciones jurídicas aportadas al problema de la protección de datos personales en el contexto de la Sociedad de la Información. Para tal, partimos del estudio del Reglamento General de Protección de Datos (25 de mayo 2018) de la UE que proponemos como un modelo de referencia para las futuras revisiones del cuerpo normativo mexicano en materia de protección de datos, en virtud de las implicaciones económicas y jurídicas que este RGPD trae para los usuarios y para las empresas mexicanas, lo que nos obligará a la armonización de los estándares mínimos de protección.
Palabras Clave: Datos, datos personales, tratamiento, consentimiento del interesado, fichero, empresa, usuario, representante, autoridad de control, derechos ARCO.
Abstract: The present research paper, within the framework of the Research Summer 2018 of the “Programa Delfin", under the theme "GDPR AND ITS IMPACT ON MEXICAN USERS AND COMPANIES", will focus on the comparative analysis of the legal solutions provided to the problem of the protection of personal data in the context of the Information Society. For such, we start from the study of the General Regulation of Data Protection (May 25, 2018) of the EU that we propose as a reference model for future revisions of the Mexican regulatory body in the field of data protection, due to the economic and legal implications that this GDPR brings for users and for Mexican companies, which will force us to harmonize the minimum standards of protection.
Key words: Data, personal data, treatment, consent of the interested party, file, company, user, representative, regulatory body, AREO rights.
Introducción.
Fundamentos de la Investigación:
La presente Investigación está fundada en el nuevo Reglamento General de Protección de Datos de la Unión Europea que entró en vigor el veinticinco de mayo del presente año dos mil dieciocho de la cual se abordarán los temas relevantes que surgen al publicarse este nuevo reglamento.
Planteamiento del problema:
La investigación que me propongo realizar en el cuadro del Programa Delfín 2018 , bajo el tema “RGPD Y SU IMPACTO EN LOS USUARIOS Y EMPRESAS MEXICANAS”, se avocará al análisis comparativo de las soluciones jurídicas aportadas al problema de la protección de datos personales en el contexto de la Sociedad de la Información. Para tal, partimos del estudio del Reglamento General de Protección de Datos (25 de mayo 2018) de la UE que proponemos como un modelo de referencia para las futuras revisiones del cuerpo normativo mexicano en materia de protección de datos, en virtud de las implicaciones económicas y jurídicas que este RGPD trae para los usuarios y para las empresas mexicanas, lo que nos obligará a la armonización de los estándares mínimos de protección.
Justificación y delimitación del tema:
En un mundo globalizado con economías en transición a la Sociedad de la Información, donde el acceso a la misma se hace a través de diversas plataformas, los individuos y las empresas están, básicamente, expuestos a múltiples violaciones y rupturas en materia de protección de datos. En particular, estos riesgos se potencian por el uso masivo de las redes sociales (mismo que, por un lado, constituye un logro en el área de la comunicación y acceso a la información) y, por los flujos transfronterizos de datos.
Para contrarrestar los riesgos inherentes a la S.I.C. y a la era del Big Data, la UE derogó su Directiva de Protección de datos (95/46/CE) y “reconstruyó”, a través del nuevo Reglamento General de Protección de Datos de la Unión Europea (RGDP) una nueva formulación de principios generales y de “soberanía funcional. Tal, ha generado incertidumbre en otros contextos geográfico-políticos y, por lo tanto, en este trabajo de investigación pretendo estudiar su impacto sobre las empresas mexicanas y sobre los usuarios mexicanos que comercian o interactúan con redes en la Unión Europea, ya que al tener que sujetarse a esta nueva regla, estarán en la práctica “sujetos” a legislación extranjera.
Preguntas de investigación:
1. ¿Qué es el Derecho a la Protección de Datos? ¿Qué es un dato?
2. ¿Cuáles son los límites de los derechos ARCO en el ciberespacio y como son ampliados y reformulados por el RGPD /Unión Europea?
3. ¿Cómo se define el nuevo principio general del “right to be informed”?, RGPD Considerando (71)
4. ¿Cuál es el ámbito de aplicación del RGPD?
5. ¿Cuáles son los impactos del RGPD para los usuarios y las empresas mexicanas?
Objetivo general:
El objetivo general de esta investigación es analizar las innovaciones introducidas por el RGPD, al ampliar los principios generales de la protección de datos a los nuevos contextos de tratamiento masivo por software inteligente y a las condiciones de los flujos transnacionales de datos y su impacto sobre los usuarios y empresas mexicanas.
Objetivos específicos:
1. Analizar la introducción de nuevos principios generales, como el del “right to be informed”, del derecho a tratamiento restringido (right to restricted processing), para allá de los derechos ARCO (1ª generación) y de los derechos al olvido, al anonimato y a la portabilidad (segunda generación). Asimismo, se analizará la relación de ampliación o de autonomía del “right to erase” con relación al derecho al olvido (right to be forgotten”).
2. Conocer el ámbito de aplicación al interior del espacio soberano de la UE y el ámbito de aplicación, en base al criterio de la personalidad, que aplica la UE sobre sus ciudadanos expatriados.
3. En consecuencia del ámbito de aplicación arriba considerado conocer cuáles son las implicaciones jurídicas y afectaciones tanto económicas como comerciales referentes a los ciudadanos y a las empresas mexicanas cuando usuarios/clientes o consorcios comerciales con organizaciones europeas.
4. Proponer una reforma del corpus normativo vigente en México para armonización de estándares mínimos de protección entre las dos áreas soberanas en referencias con disposiciones específicas de reconocimiento de los nuevos derechos de tercera generación incluidos en el RGPD.
I.- ¿Qué es un dato? ¿Qué es el Derecho a la Protección de Datos?
Usaremos dos definiciones, una definición general y operativa, que es la PENZIAS, un dato es todo aquello que puede ser transcrito a un código binario. Y, en un segundo nivel su “interpretación” jurídica, tal como está plasmada en el RGPD, art. 4, Definiciones, párrafo 1: “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”
En las legislaciones mexicanas encontramos el concepto de datos personales en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, en el artículo 3, fracción V, nos da un concepto relativo a datos personales el cual a la letra dice: “Cualquier información concerniente a una persona física identificada o identificable”.
Y en el Decreto por el que se expide la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, en el artículo 2, fracción IX, nos amplia un poco el termino de datos personales a lo cual dice que es “Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información”.
Por el solo hecho de existir, cada persona tiene garantías que le brindan una protección y respeto, estos derechos o garantías están constituidas en un ordenamiento jurídico en un determinado territorio que rigen a los individuos que en ellos habitan.
Este Reglamento General de Protección de Datos de la Unión Europea tiene por objeto la protección de las personas físicas en lo que respecta al tratamiento de protección de datos personales, además protege los derechos y libertades fundamentales, así como también la libre circulación de datos personales.
La protección de datos es la facultad que otorga la Ley para que decidas quiénes podrán hacer uso de tus datos personales y realizar tratamientos con tu información, cómo y para qué; este derecho te permite acceder, rectificar, cancelar y oponerte al tratamiento de tu información personal.
Dentro de los cuerpos normativos internacionales encontramos una evolución normativa y, a su vez doctrinal de la emergencia de un derecho autónomo a la protección de datos a partir del derecho a la intimidad y del derecho a la privacidad que, en seguida y de forma muy resumida paso a exponer:
La Declaración Universal de los Derechos del Hombre; su importancia y efectos socio-jurídicos hacia el futuro fueron decisivos en la normatización o reafirmación en los derechos y libertades fundamentales a nivel interno de los Estados, pues algunos elevaron a rango constitucional los Derechos de la Intimidad, de Habeas Data, de Autodeterminación Informática, de Acceso a la Información, de Expresión y del libre desarrollo de la persona.
El convenio de Roma para la protección de los Derechos Humanos y las Libertades Fundamentales; el contenido del convenio es similar a la Declaración de los Derechos Humanos con diferencias puntuales, pero tiene la virtualidad de ser un instrumento jurídico con efectos vinculantes entre los Estado miembros del Consejo de Europa. El convenio protege el derecho a la intimidad de las personas y de la familia, llámese familia legítima e ilegítima según el tribunal Europeo de Derechos Humanos. De otro lado, establece que el derecho a la Intimidad siendo un derecho fundamental y autónomo no es absoluto, lo cual quiere decir que puede ser limitado y restringido su ejercicio, jamás hacerlo nugatorio, siempre que se den unas causales expresamente previstas.
El Pacto Internacional de Derechos Económicos, Sociales y Culturales; en este documento de la ONU se reconoce el fundamento socio-jurídico y los elementos del derecho a la intimidad, así como la obligación del Estado y los mismos particulares de su respeto y protección. En efecto, se reconocen los elementos integrales como el fundamento del Derecho a la Intimidad, paradójicamente sin hacer mención explícita a la vida privada.
El Pacto Internacional de los Derechos Civiles y Políticos; reconoce expresamente el derecho a la vida privada, su contenido textual es casi idéntico al artículo 12 de la Declaración Universal de los Derechos del Hombre, sin embargo el marco jurídico en el que está inmerso es totalmente diferente.
La Convención Americana sobre los Derechos Humanos o Pacto de San José; reitera la calidad de derecho inherente a la calidad de la persona humana el que llama derecho al respeto de su honra y al reconocimiento de su dignidad. El pacto quiere profundizar más en el Derecho a la intimidad (que lo rige llamando vida privada como coletilla inseparable de la intimidad), reconoce el derecho a la libertad de pensamiento y expresión.
La recomendación de la OCDE de 1980 y el Convenio Europeo de Estrasburgo de 1981, sobre protección de las personas con respecto al Tratamiento automatizado de Datos de carácter personal; la OCDE en 1980 propone la recomendación de 23 de enero de 1980, en el ámbito de los países miembros (Estados Americanos, Europeos, Asiáticos y Australia) por lo cual se formulan directrices en relación con el flujo internacional de datos personales, la protección de la intimidad, y las libertades fundamentales, basadas en parecidas motivaciones del Consejo de Europa.
Las Directivas 95/46/CE y 97/66/CE, del Parlamento y Consejo de Europa relativas al tratamiento y circulación de datos personales, la transmisión electrónica o telemática de datos y la protección al derecho de la intimidad; en 1995 y 1997, las autoridades legislativas y ejecutivas de la Unión Europea, conscientes de la importancia creciente que tienen tanto la protección de los derechos y libertades fundamentales, en particular el derecho a la intimidad; como de la necesidad de viabilizar todo procesamiento, tratamiento, circulación y teletransmisión de los datos personales con miras al mejoramiento de la sociedad y las economías de los estados miembros publican respectivamente las directivas.
Finalmente, el 27 de abril del 2016 se publica el Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), que entró en vigor el 25 mayo del 2018 y que establece el “Espacio Común europeo de Protección de Datos”, a fin de, tal como lo establece en su considerando (13): “Para garantizar un nivel de protección de las personas físicas en toda la Unión Europea y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos, incluidas las microempresas y las pequeñas y medianas empresas, y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros”.
II.-Los nuevos principios de la protección de datos en el ciberespacio establecidos por el RGPD.
Dentro de este RGPD (UE) encontramos una serie de principios, mismos que hacen de este reglamento un documento normativo de referencia para otras legislaciones. La intención del legislador se encuentra, claramente , explicitada en los considerandos 16, 39, 44, 58, 59, 60, 61, 63, 64, 65, 66, 67, 68, 70, 71, 72, 73, 75, 76, 78, 79, 142, 143, 154 y 156 . Estas consideraciones son, a su vez, transcritas en la redacción del capítulo II, art. 5 referente a los principios del tratamiento de los datos y, complementadas por los que siguen, a saber arts. 6 , 7 , 8, 9 del RGPD. Además del principio de licitud, lealtad y transparencia; ya existente en los textos previos, se reconfiguran o se crean los siguientes: limitación de finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; responsabilidad proactiva.
Los seis nuevos principios, adaptados a la sociedad de la información son:
1.-Principio de limitación de la finalidad. El principio en cuestión introduce innovaciones con respecto al texto de la directiva que deroga. Este principio de la limitación de la finalidad obliga a proveedores, gobiernos, personas físicas y morales a establecer en su aviso de confidencialidad que los datos serán “recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.” Además, de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con “fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos”, si bien tiene que ser notificado de forma independiente al titular “no se considerara incompatible con los fines iniciales”. Es importante, también hacer referencia a las disposiciones del art. 6, cap. II, que delimita la finalidad lícita del tratamiento de los datos personales recogidos y que establece los casos de excepciones al “principio de la finalidad”, en particular a lo dispuesto en el apartado 1, inciso f, cuando el tratamiento realizado lo es por la “autoridad pública”, en el ejercicio de sus funciones”. También es de referirse que, en todo momento, el responsable del tratamiento tiene que estar en condiciones de poder demostrar que el titular “ha dado su consentimiento a la operación de tratamiento”, tal como lo encontramos, explícitamente redactado en la razón 42 .
2.-Principio de minimización de dato. Este principio, inscrito en el art. 5 arriba citado, apartado 1, inciso C puede ser interpretado como siendo una nueva redacción de lo “que conocíamos como el Principio de Proporcionalidad.” La “minimización” se entiende, entonces como tratamiento(s) de los datos personales “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. De resaltar, la importancia del principio de la minimización de dato cuando en el contexto del principio general de transferencias establecido en el art. 44 , mismo que se conecta con las razones (considerandos) 101 y 102. En ningún caso, “el responsable y el encargado del tratamiento” de datos personales que serán objeto de transferencia a terceros países u organizaciones, estará exento de verificar el cumplimiento de “las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.
3.-Principio de exactitud: los datos personales serán exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
4.-Limitación del plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado.
5-Principio de integridad y confidencialidad: los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
6.-Principio de responsabilidad proactiva: El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo.
DERECHOS ESTABLECIDOS POR EL RGPD.
Aunado a los principios ya mencionados encontramos ocho derechos que este reglamento establece, comprendiendo que algunos son parte de una segunda generación; como el derecho al olvido y el de portabilidad de datos, derecho a la información y derecho a la limitación; los cuales abarcaremos solo estos últimos cuatro derechos aumentándose a los derechos ARCO ya reconocidos como primera generación de los derechos de protección de datos.
ARCO; se le conoce así por ser un conjunto de cuatro principios los cuales son el Acceso, Rectificación, Cancelación y Oposición.
A partir de algunas resoluciones emitidas por el Tribunal de Justicia de la Unión Europea (TJUE) como lo es “el caso Costeja”, dictando sentencia el 13 de mayo de 2014, se otorga importancia a un derecho de segunda generación como lo venimos mencionando, el cual en el RGPD se toma de gran importancia; el derecho al olvido, la relevancia de éste proviene de un derecho fundamental que es el de la dignidad humana.
1.- El derecho al olvido permite que ciertas informaciones del pasado no sean actualmente difundidas cuando son capaces de provocar más daños que beneficios. En este derecho se hace referencia a los principios de cancelación y oposición, ya que para que el derecho al olvido pueda llevarse a cabo se necesita hacer uso de estos. Es decir, lo que busca este derecho es suprimir la afectación hacia la persona física cuando sus datos han sido violentados.
El interesado tendrá derecho a obtener sin dilatación indebida del responsable del tratamiento la supresión de los datos que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las de las circunstancias que el Art. 17 del RGPD disponga en sus apartados.
2.- Otro derecho que ha cobrado importancia en este reglamento es la portabilidad de datos, este permite transmitir tus datos personales de un responsable a otro responsable, para esto el interesado tiene que otorgar su consentimiento y realizar el trámite correspondiente, este derecho será sin perjuicio al derecho al olvido.
En el caso de las redes sociales este derecho abre el preámbulo de que si te quieres cambiar de red social, solo necesitas hacer una transferencia de datos, es decir no tienes que cargar y volver a subir fotos o rellenar información personal, la operación debe hacerse entre ambas redes sociales si son técnicamente operativo, para así abandonar una compañía que no te conviene.
3.- El derecho a la información, se encuentra estipulado en el artículo 13 el RGPD, este hace mención de que el responsable del tratamiento facilitará al interesado datos relativos a él, como la identidad y los datos de contacto del responsable y en su caso del representante, los fines del tratamiento a que se destinarán los datos personales, los destinatarios o las categorías de destinatarios de los datos personales, en su caso; la intención del responsable de transferir datos personales a un tercer país u organización internacional, facilitará al interesado en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente, etc., etc.
4.- Por último el derecho a la limitación del tratamiento el artículo 18 del RGPD dice “El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
2. Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro. L 119/44 ES Diario Oficial de la Unión Europea 4.5.2016 3.
Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes del levantamiento de dicha limitación”.
III.- El ámbito de aplicación del RGPD.
Algo que marca gran importancia dentro del RGPD es el ámbito de aplicación, éste cambia el paradigma sobre el tratamiento de los datos personales del cuándo, dónde y por qué debe aplicarse, encontramos en este citado reglamento dos ámbitos de aplicación: uno material y otro territorial.
1.- En el ámbito material cabe mencionar que los considerando 14, 15, 16, 17, 18, 19, 20, 21 y 27 establecen la regulación del artículo 2 de este reglamento, que hace mención de la aplicación de este reglamento para las personas físicas, establece que no regula el tratamiento de datos relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas.
El considerando dieciocho del RGPD alude al tratamiento de datos personales, pero hace referencia que no se aplicará al curso de una actividad exclusivamente personal o doméstica, hacemos pues mención de que las redes sociales y la actividad en línea se consideran actividades domésticas o personales, esto quiere decir que no será regulado por el RGPD, sin embargo este reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas.
Además el presente Reglamento no se aplica a la protección de datos personales de personas fallecidas. Los Estados miembros son competentes para establecer normas relativas al tratamiento de los datos personales de estas.
2.- El ámbito territorial se encuentra regulado por el artículo 3 del RGPD y por los considerandos 22, 23, 24 y 25. Expresamente el considerando número catorce establece que este reglamento “debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia” así mismo “de que independientemente el tratamiento tenga lugar en la Unión”. Esto hace hincapié de que no es necesariamente ser ciudadano de alguno de los Estados miembros de la Unión Europea para que se esté bajo este reglamento o residir en ese espacio geográfico, con el simple hecho de que tu empresa realice operaciones en la EU es suficiente.
Además encontramos que las empresas u organizaciones no establecidas en la Unión Europea pero que ofrecen bienes y servicios a los ciudadanos de esta, se encuentran dentro del ámbito de aplicación del RGPD, que establece el considerando 23.
Es decir, que cualquier empresa mexicana que inclusivamente tenga su sede en territorio mexicano, pero que realice sus servicios u operaciones dentro de algún Estado de la Unión Europea, estará bajo el RGPD, esto implica que estas empresas realicen cambios en la normativa de tratamiento de datos con respecto a los usuarios que con ella estén asociados, como vemos esto significa un gran avance en este ámbito del derecho pero a su vez presupone un gran reto para todos, porque de no acatar lo establecido en este reglamento se han establecido sanciones administrativas significativas de hasta 20 000 000 Euros y tratándose de empresas el 4% de los ingresos anuales, cosa que repercute económicamente en ella para así reparar el daño establecido.
IV.- Los impactos del RGPD para los usuarios y las empresas mexicanas.
Hasta ahora hemos analizado en qué consisten los nuevos principios, derechos, el ámbito material y territorial de este RGPD, pero ¿en qué afecta todo esto a las empresas y usuarios mexicanos, dado que se supone que este es un reglamento que rige el territorio de la Unión Europea?
Por lo que respecta a lo anterior, hemos explicado que este reglamento no aplica a las personas fallecidas, a las personas jurídicas o empresas constituidas por personas jurídicas, y tampoco aplica a las personas físicas en sus actividades personales y domésticas, sin embargo realiza una serie de determinaciones donde muestra su aplicación. Es aquí el punto que nos interesa abordar dado que este reglamento tiene un ámbito material y territorial que traspasa las fronteras de su lugar de aplicación, en este caso nos precisa hablar de los usuarios y empresas mexicanas que tienen comercio con la UE así mismo con los usuarios mexicanos en el cual el tratamiento de sus datos personales se llevan a cabo en la UE.
El RGPD establece que estos casos están dentro de su ámbito de aplicación, por tal razón impacta en el TLC entre México y la UE del cual las empresas mexicanas tienen que realizar un cambio en sus normativas para con los usuarios con los que tratan datos personales.
El dilema aquí, es que las empresas obligatoriamente aunque residan en territorio extranjero pero que realicen tratamientos en la UE tienen que acatarse al RGPD en lo que respecta a su ámbito de aplicación territorial, de lo contrario, si estas infringen alguno de los principios o derechos de usuarios de UE tendrán que acatarse a sanciones administrativas que la autoridad de control establezca.
Otro problema para las empresas mexicanas es la falta de comprensión de los datos con respecto a este nuevo reglamento cosa que dificulta el debido proceso de los tratamientos, estas lagunas de conocimiento y compresión llevaran a diferentes tipos de problemas que puedan ocasionar riesgos que podrían haberse evitado, lamentablemente se necesita hacer eficientemente una manera de informar correctamente y adecuada a todas estas empresas, a través de los distintos órganos de transparencia.
En el caso de los usuarios, este RGPD los ayudaría a controlar todos sus datos establecidos a su propio criterio, pudiendo ellos mismos otorgar su consentimiento expreso en cualquier forma de tratamientos si así lo desean, esto proporcionará en gran medida el uso adecuado de los datos personales y si llegase a ocurrir alguna intransigencia, el responsable del tratamiento notificará a las autoridades de control de manera inmediata acerca del suceso en un término de 72 horas.
Como vemos esto nos lleva a una serie de pros y contras sobre este reglamento, sin embargo todo proceso de cambio lleva cierto tiempo para mostrar realmente el avance o retroceso que esta puede ocasionar.
V.- Reflexiones finales: de la necesidad de una convergencia de criterios de protección.
El Estado mexicano por los motivos mencionados en el apartado anterior tiene que realizar una reforma a nuestras legislaciones en materia de protección de datos, para así estar a la par de los pactos internacionales que buscan una mejora en nuestros derechos humanos, sobre todo en este parámetro de la historicidad cibernética donde todo es parte del auge Big Data, donde la unión de esto a nivel mundial necesita ir a la par para realizar una unidad de criterios que puedan brindar protección para el usuario donde quiera que resida.
Esto ayudaría en gran manera a que cada usuario mexicano mantenga una protección de sus datos personales aún más eficiente, cabe mencionar que algunos derechos y principios están regulados ya en nuestros lineamientos legislativos y que se llevan a cabo a través de los órganos administrativos INAI, INFODF y 31 órganos Estatales reconocidos en nuestra Constitución Política de los Estados Unidos Mexicanos. Pero aun así, nos falta más por avanzar y llevar acabo, en México aún no hemos desarrollado una cultura correcta de legalidad, por tal razón necesitamos una convergencia de criterios que nos lleven a estándares adecuados para la protección de los datos personales.
Referencias bibliográficas.
Legisgrafía
Ley Federal de Protección de Datos Personales en Posesión de los Particulares. [Fecha de consulta: 5 de julio de 2018]. Disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados [Fecha de consulta: 5 de julio de 2018]. Disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a efectos del EEE), consultado en línea el 02 de julio 2018 en la URL https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32016R0679
Bibliografía
Guillén Catalán, R. (2015). Los Retos de la sociedad ante la Protección de Datos de los Menores. Revista Boliviana de Derecho, (20), 324-343. [Fecha de consulta: 5 de julio de 2018]. Disponible en: http://www.redalyc.org/articulo.oa?id=427539916013
Leturia I., F. (2016). Fundamentos jurídicos del derecho al olvido. ¿Un nuevo derecho de origen europeo o una respuesta típica ante colisiones entre ciertos derechos fundamentales? Revista Chilena de Derecho, 43 (1), 91-113. [Fecha de consulta: 5 de julio de 2018]. Disponible en: http://www.redalyc.org/articulo.oa?id=177046308005
Nueve cosas que debes saber sobre la nueva ley de protección de datos. (Fecha de consultado: 5 de julio de 2018) Disponible en: https://elpais.com/internacional/2018/05/24/actualidad/1527159920_297244.html
Maqueo Ramírez, M. (2016). Análisis comparativo de las resoluciones emitidas por el Tribunal de Justicia de la Unión Europea y el Instituto Federal de Acceso y Protección de Datos respecto del motor de búsqueda gestionado por Google y la protección de datos personales. Boletín Mexicano de Derecho Comparado, XLIX (145), 1/24-24/24. [Fecha de consulta: 5 de julio de 2018]. Disponible en: http://www.redalyc.org/articulo.oa?id=42744473003
Objeto y ámbito de aplicación del Reglamento General de protección de Datos (RGPD) [Fecha de consulta: 16 de julio de 2018]. Disponible en: https://www.iberley.es/temas/objeto-ambito-aplicacion-rgpd-62715
Ortega Giménez, Alfonso, & Gonzalo Domenech, Juan José. (2018). Nuevo marco jurídico en materia de protección de datos de carácter personal en la Unión Europea. Revista de la Facultad de Derecho, (44), 31-73. [Fecha de consulta: 6 de julio de 2018]. Disponible en: https://dx.doi.org/10.22187/rfd2018n44a2
Quintas Froufe, N. (2014). La publicidad como origen de la derrota a Google en el derecho al olvido. Anagramas Rumbos y Sentidos de la Comunicación, 13 (25), 95-106. [Fecha de consulta: 5 de julio de 2018]. Disponible en: http://www.redalyc.org/articulo.oa?id=491548259006
Teresa Da Cunha Lopes, Derecho a la Intimidad y Protección de Datos en Internet, [Fecha de consulta: 15 de julio de 2018]. Disponible en: https://issuu.com/teresadacunhalopes/docs/el_derecho_a_la_inti_interior_for_k
Troncoso Reigada, A. (2012). Las redes sociales a la luz de la propuesta de reglamento general de protección de datos personales. Parte una. IDP. Revista de Internet, Derecho y Política, (15), 61-75. [Fecha de consulta: 5 de julio de 2018]. Disponible en: http://www.redalyc.org/articulo.oa?id=78824862006
*Becaria del Programa Delfín, Verano de Investigación Científica, cursa Licenciatura en Derecho en la UAGro.
No hay comentarios:
Publicar un comentario