Cumplir la normativa de privacidad de terceros países

Una cuestión que siempre se plantea a la hora de establecer el cumplimiento de la normativa de privacidad, es la necesidad de tener en cuenta la normativa de privacidad en países donde operan las empresas. En este artículo ofrecemos las claves para determinar cuándo debemos cumplir y cómo hacerlo de forma eficiente.

Pongamos un ejemplo práctico para poder ilustrar las diferentes decisiones a tomar; una empresa ubicada en España que se dedica a la touroperación, recoge datos de residentes europeos y los remite a una filial suya en México para servicios DMC. La empresa ubicada en ultramar está constituida en México y opera únicamente en ese país, albergando su información también en su región.

En primer lugar, recordemos cuando se consideran transferencias internacionales, de forma que podamos identificar el ámbito territorial del RGPD. La norma define su ámbito territorial para el tratamiento de datos personales cuando:

⁃ Las actividades se desarrollen en el contexto de actividades de un establecimiento del responsable o encargado en la Unión, con independencia de que dicho tratamiento se realice en la Unión o no. Por ejemplo, una empresa ubicada en Australia y ofrece servicios a europeos, albergando sus datos en el propio país australiano.

⁃ Dichas actividades deben estar relacionadas con la oferta de bienes y servicios a los interesados en la Unión.

En resumidas cuentas, y siempre con el ejemplo que hemos expuesto, la empresa española deberá cumplir con el RGPD como es obvio pero la empresa mexicana no será objeto de aplicación de la norma. Entendemos que los servicios que presta se realizan en territorio de México, a pesar que sus clientes o parte de ellos sean europeos.

Ahora bien, ¿deberá tener en la empresa matriz el cumplimiento de la Ley Federal de Protección de Datos Personales en posesión de los particulares? Para su filial mexicana es de obligado cumplimiento, ya que operan en ese país aunque sea para un público europeo. No será el caso para la empresa matriz, quien a pesar de transferir los datos a su filial mexicana, no opera directamente allí como tal. En cualquier caso, existe una relación directa entre ambas empresas ya que hay un trasvase de datos entre ellas. Esta relación se regulará a través de lo estipulado en el RGPD en su Capítulo V y ya fue analizado en otro artículo.

Es común en empresas multinacionales que la gestión esté centralizada, por ejemplo sus sistemas de información, operativa, normativa interna, etc. y este caso refleja el primer escollo en la gestión. Si debemos cumplir la normativa de protección de datos de ambos países, ello sugiere una carga de trabajo importante para los servicios jurídicos y de IT para poder dar cumplimiento a los requerimientos normativos. Para ser más eficientes y eficaces en el cumplimiento, es recomendable los siguientes pasos:

⁃ Realizar un registro de actividades unificado para ambas empresas, independientemente que no sea requisito para la Ley Federal en este caso.

⁃ Dibujar un flujo de datos personales para determinar exactamente quiénes son los responsables del cumplimiento de las normativas y en qué medida. Los flujos pueden ser complejos al principio, pero son de gran utilidad para ver de forma gráfica cómo viajan los datos personales entre empresas y países.

⁃ “Mapear” el cumplimiento de ambas normas. Este paso no es baladí y requiere de un estudio profundo que dará sus resultados en términos de eficiencia en las acciones a realizar por las empresas. Dicha comparación dará como resultado cuáles son los requerimientos que se han de cumplir en los distintos niveles (jurídico, organizativo y técnico). Cabe decir que los requerimientos jurídicos extraña vez encuentran similitudes, como por ejemplo los elementos mínimos para una cláusula de información. En cambio, donde cobra mayor relevancia, es en la parte organizativa y tecnológica.

⁃ Alinear las políticas, normas y procedimientos internos al cumplimiento de ambas normas. Pongamos el caso de una política de gestión de contraseñas, donde establecemos nuestros requisitos mínimos y máximos para ellas. Una vez analizados los requerimientos técnicos de las normas, aumentaremos o ajustaremos nuestros procedimientos para dar cabida a estos requisitos. Con ello no tendremos la necesidad de elaborar distintos documentos para cada caso concreto, con el peligro de incumplir las normas por incidentes en su aplicación.

Para finalizar quería anotar dos cuestiones; el RGPD es considerada la norma de protección de datos y privacidad más completa (y compleja) de las existentes a nivel internacional. Su implantación nos permite dar cumplimiento en porcentajes muy elevados a otras normas similares, lo que nos da cierta ventaja si queremos incorporar más legislaciones.

Por último, a medida que incorporamos más países y sus diversas legislaciones, aumenta la complejidad del citado “mapeo”, no nos vamos a engañar. Aún así, creemos que vale la pena sentarse a realizar el análisis para no duplicar o triplicar la carga de trabajo en un futuro.

Xavier Ferretjans

Responsable de Nuevas Tecnologías, BINAURAMONLEX