07 JUN EL IMPACTO DEL

REGLAMENTO GENERL DE
PROTECCIÓN DE DATOS
(GDPR) EN MÉXICO.
Posted at 12:09h in Sin categoría by Admin  0 Comments

Con la entrada en vigor del nuevo REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UNIÓN

EUROPEA(en adelante identificado –por sus siglas en inglés –GDPR), que tendrá efecto el 25 de

mayo de 2018, los responsables que obtengan y traten datos personales de personas físicas que

radiquen en la Unión Europea (en adelante, UE), deberán cumplir con diversas disposiciones legales,

aún y cuando su domicilio esté fuera de la UE (por ejemplo, México).


1. Aplicación del GDPR y Tratamiento de Datos Personales.

 Con el fin de garantizar la plena protección de los datos personales de los ciudadanos de la UE, las

nuevas disposiciones del GDPR extienden su aplicación fuera del territorio de la UE. Es fundamental

que las compañías que cuentan con filiales, subsidiarias o sucursales fuera de la UE  tomen en

consideración estas nuevas disposiciones e implementen las medidas requeridas por el GDPR,

pues no hacerlo, acarrea un riesgo económico y reputacional importante para los grupos

empresariales.

  A continuación se abordarán los supuestos en los que el GDPR  es aplicable fuera del territorio

europeo:

Empresa Perteneciente a un Grupo Empresarial.

Si una empresa constituida bajo las leyes de alguno de los Estados miembros de la UE  (en lo

sucesivo, Estados Miembros), cuenta con una subsidiaria o filial con domicilio fuera de la UE, y le

ejerce control para hacer cumplir normas de protección de datos personales, se entiende que

compone -junto con la subsidiaria- un “Grupo

Grupo Empresarial”.
Empresarial En razón de ello, tanto a la compañía

constituida en el Estado Miembro como las subsidiarias o filiales les es aplicable el GDPR  –

independientemente de donde estén ubicadas– , de acuerdo con lo dispuesto en su Considerando

37 del GDPR.

Tratamiento de Datos Personales para Ofertar Bienes o Servicios.

De acuerdo con el considerando 23  del GDPR, una compañía ubicada fuera del territorio de la

UE estará obligada al cumplimiento de sus disposiciones si lleva a cabo el tratamiento de datos

personales para ofertar bienes o servicios, independientemente de que medie o no pago.

El considerando 23 del GDPR  dispone que, para determinar si el responsable o encargado ofrece

bienes o servicios, se deberá analizar si es evidente que la oferta se hace en uno o varios Estados

Miembros. Se entiende que la oferta es evidente cuando cumple con alguno de los siguientes

criterios:

Uso de una lengua generalmente utilizada en uno o varios Estados Miembros y la posibilidad de

solicitar los productos o servicios en dicha lengua

solicitar los productos o servicios en dicha lengua.

Uso de una moneda generalmente utilizada en uno o varios Estados Miembros.

Mención de clientes o usuarios que residen en la UE .

Observación de Comportamiento de Interesados Residentes de la UE.

Una empresa establecida fuera del territorio de la UE  estará sujeta al GDPR  si lleva a cabo

actividades consistentes en observar el comportamiento de titulares de datos personales

residentes de la UE. Para determinar si se lleva a cabo esta actividad, debe evaluarse si: (i)las

personas físicas son objeto de seguimiento en internet; (ii)si se lleva a cabo una elaboración de

perfil de una persona física con el fin de adoptar decisiones sobre él o ella; o (iii)si se elaboran

perfiles para analizar o predecir preferencias personales, comportamientos y actitudes. Todo

anterior, de acuerdo con el considerando 24 del GDPR.

Por lo tanto, las empresas que pretendan realizar negocios con la información de personas dentro

de la UE, o que utilicen datos personales para elaborar perfiles por medio de herramientas de

seguimiento -como las cookies– son considerados responsables por el GDPR. En consecuencia, si

no cumplen con sus disposiciones, pueden verse involucrados en supuestos de sanción.

Misiones Diplomáticas u Oficinas Consulares Sujetas al GDPR.

El GDPR también prevé el tratamiento de datos personales realizado por las embajadas, misiones

diplomáticas u oficinas consulares de los Estados Miembros en los denominados “terceros países”.

En este sentido, dichas instituciones deberían cumplir con el GDPR, a la luz del considerando 25 y el

artículo 3, párrafo 3, se transcriben a continuación:

“(25) Cuando sea de aplicación el Derecho de los Estados miembros en virtud del

Derecho internacional público, el presente Reglamento debe aplicarse también a todo

responsable del tratamiento no establecido en la Unión,

Unión como en una misión

diplomática u oficina consular de un Estado miembro.”

“Artículo 3

Ámbito territorial

(…)

El presente Reglamento se aplica al tratamiento de datos personales por parte de un

responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de


los Estados miembros sea de aplicación en virtud del Derecho internacional público.”
público
 Entonces, se entiende que las oficinas diplomáticas de la UE  se sujetarán a las disposiciones

del GDPR. Lo que adquiere importancia para las empresas en México

México, así como para los residentes

europeos dentro de su territorio.

Tratamiento en el Contexto de Actividades de un Establecimiento en la UE.

Es de suma importancia considerar que, de acuerdo con su artículo 3, párrafo 1, el GDPR  es

aplicable cuando el tratamiento de datos personales se encuentra dentro de las actividades de un

establecimiento del responsable o encargado en la UE, sin importar si dicho tratamiento se hace o

no dentro de su territorio. En el considerando 22  del GDPR  se define el concepto de

“establecimiento”, aclarando que engloba la actividad, sin importar si cuenta con la personalidad

jurídica de sucursal o de filial.

“(22) Todo tratamiento de datos personales en el contexto de las actividades de un

establecimiento de un responsable o un encargado del tratamiento en la Unión debe

llevarse a cabo de conformidad con el presente Reglamento, independientemente de

que el tratamiento tenga lugar en la Unión.. Un establecimiento implica el ejercicio de

manera efectiva y real de una actividad a través de modalidades estables.

estables La forma

jurídica que revistan tales modalidades, ya sea una sucursal o una filial con
filial  personalidad

jurídica, no es el factor determinante al respecto.”

De lo anterior se entiende la necesidad de que en México 

México se tomen previsiones, siendo de especial

importancia que estas sean consideradas por filiales, subsidiarias o empresas controladas de o por

grupos europeos. Lo anterior, tomando importancia en caso que se les encomiende el tratamiento

de datos personales de residentes de la UE

UE.

2. Nombramiento de Representante.

Cuando el responsable del tratamiento de datos personales tenga su establecimiento fuera de la

UE, aplica la obligación dispuesta en el artículo 27.

27 La cual, consiste en la designación por escrito de

un representante en alguno de los de los Estados Miembros de la UEen el que se estén tratando los

datos personales como lo refiere el artículo 3, párrafo 2. De la lectura del párrafo 2, inciso a) del

artículo 27, se entiende que la obligación será aplicable en los siguientes casos:

El tratamiento es constante, incluyendo a gran escala categorías de datos como:

 Origen étnico o racial.

Opiniones políticas.

Convicciones religiosas o filosóficas.

Afiliación sindical.

Datos genéticos o biométricos.

Datos relativos a la salud.

Datos relativos a la vida sexual.

Orientación sexual.

Condenas e infracciones penales.

El tratamiento es realizado por entidades privadas, es decir, se excluye de la obligación a

autoridades u organismos públicos.

El responsable o el encargado del tratamiento encomendará al representante que atienda, a

nombre y cuenta o en conjunto, las consultas de los titulares de los datos personales que se traten

en la UE. Se debe entender que el designar un representante no exenta al responsable o

encargado de que se interpongan acciones legales en su contra.

3. Transferencias Internacionales.

Se reconoce que en un mundo completamente conectado, existe la posibilidad de que datos

personales recabados y tratados dentro de los Estados Miembros sean transferidos a “terceros

países”, es decir, a Estados que no pertenecen a la UE. Para ello, el Reglamento 

Reglamento dispone

obligaciones y condiciones que, para efectos de evitar incumplimiento o la sujeción a procesos de

imposición de sanciones, deben ser consideradas.

En primer lugar, es importante mencionar que, de acuerdo con el considerando 48 del GDPR, los

responsables que forman parte de un grupo empresarial pueden acreditar interés legítimo para

transmitir datos personales dentro del grupo empresarial para fines administrativos internos,

incluido el tratamiento de datos personales de clientes o empleados. Sin embargo, los principios y

obligaciones generales deben cumplirse.

El GDPR dispone tres supuestos en los que una transferencia internacional a un “tercer país” se

justifica. A continuación se enlistan y se explican brevemente cada uno de ellos.

La transferencia se basa en una decisión de adecuación.

La transferencia tiene base en garantías adecuadas.

La transferencia se basa en una excepción dispuesta en el artículo 49 del GDPR.

Transferencia Basada en una Decisión de Adecuación. 

De acuerdo con el artículo 45del GDPR, una transferencia de datos personales a un país fuera de

la UEse sujetará a la evaluación de la Comisión Europea sobre

Europea  los siguientes aspectos, con el fin de
garantizar un nivel de protección adecuada.

El Estado de Derecho, el respeto de los derechos humanos y las libertades fundamentales, la

legislación pertinente, incluida la relativa a la seguridad pública, la defensa, la seguridad nacional y

la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la

aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las

medidas de seguridad, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos

personales estén siendo transferidos de derechos efectivos y exigibles y de recursos

administrativos y acciones judiciales que sean efectivos.

La existencia y el funcionamiento efectivo de una o varias autoridades de control.

Los compromisos internacionales asumidos y la participación en sistemas multilaterales o

regionales.

Transferencias Mediante Garantías Adecuadas.

Este supuesto corresponde a la falta de decisión por parte de la Comisión Europea y

Europea  se encuentra

dispuesto en el artículo 46 del GDPR. De esta manera, el responsable o encargado únicamente

podrá transferir datos personales a un tercer país si ofrece las garantías adecuadas y si los

interesados podrán hacer valer sus derechos.

Entonces, si se desean hacer transferencias sin que medie una decisión de la Comisión Europea,
Europea se

deberán ofrecer las garantías pertinentes. De acuerdo con el GDPR, existen dos clases de garantías,

a saber:

Excepciones del Artículo 49 del GDPR.

Las excepciones del artículo 49 permiten las transferencias de datos personales sin que se 
requiera una decisión de adecuación o alguna de las garantías mencionadas. En este sentido,

podrán realizarse libremente transferencias a terceros paísessiempre y cuando aplique alguno de

los siguientes supuestos:

 El interesado dio expresamente su consentimiento, tras haber sido informado de los posibles

riesgos.

La transferencia es necesaria para la ejecución de un contrato entre el interesado y el

responsable.

La transferencia es necesaria para la celebración o ejecución de un contrato en interés del

interesado, entre el responsable y otra persona.

La transferencia es necesaria por razones de interés público.

La transferencia es necesaria para el ejercicio o la defensa de reclamaciones.

La transferencia es necesaria para proteger los intereses vitales del interesado o de otras

personas, cuando el interesado no pueda dar su consentimiento.

La transferencia se realiza desde un registro público que esté abierto a la consulta pública.

Adicionalmente a lo anterior, cuando el responsable transfiera datos personales de residentes

europeos a terceros países, el GDPR dispone la obligación dellevar un registro de las actividades de

tratamiento efectuadas bajo su responsabilidad. De acuerdo con el artículo 30del GDPR, el registro

deberá contener lo siguiente:

El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del

representante del responsable, y del delegado de protección de datos.

Los fines del tratamiento.

Una descripción de las categorías de interesados y de las categorías de datos personales.

Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos

personales, incluidos los destinatarios en terceros países.

La identificación de transferencias de datos personales a un tercer país.

Los plazos previstos para la supresión de las diferentes categorías de datos.

Una descripción general de sus medidas técnicas y organizativas de seguridad.

Por otro lado, cuando los datos personales se obtengan para fines comerciales y de cooperación

internacional, las transferencias no deben menoscabar el nivel de protección garantizado en la UE.

Por lo que, además de cumplir con la regulación local, deben garantizar el cumplimiento del GDPR.

Esto de acuerdo con el Principio de General de Transferenciasy el Artículo 44 del GDPR, inserto a

la letra a continuación:

“Solo se realizarán transferencias de datos personales que sean objeto de

tratamiento o vayan a serlo tras su transferencia a un tercer país u organización

internacional si, a reserva de las demás disposiciones del presente Reglamento, el

responsable y el encargado del tratamiento cumplen las condiciones establecidas 

en el presente capítulo, incluidas las relativas a las transferencias ulteriores de

datos personales desde el tercer país u organización internacional a otro tercer

país u otra organización internacional.Todas

internacional. las disposiciones del presente capítulo
 se aplicarán a fin de asegurar que el nivel de protección de las personas físicas

garantizado por el presente Reglamento no se vea menoscabado.”

 Otras Consideraciones.

Es importante señalar que, de acuerdo con el artículo 48del GDPR, cualquier sentencia de un

órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exija que un

responsable o encargado del tratamiento transfiera o comunique datos personales únicamente

será reconocida si se basa en un acuerdo internacional.

Las sanciones dispuestas en el GDPR llaman la atención por su rigurosidad, por lo que es de suma

importancia que se tomen en consideración. Sobre todo, para aquellas empresas que se

encuentran fuera de la UE y que adquieran la calidad de responsable o encargado. Dado dicho

supuesto, el responsable tendría que cumplir con todas las obligaciones previstas en el GDPR.

De acuerdo con el artículo 83, la sanción por falta de cumplimiento a las obligaciones referidas

con las transferencias internacionales impondría una multa de carácter administrativo que podría

alcanzar los 20,000,000 EUR (Veinte millones de euros 00/100, moneda de curso legal en la

UE) como máximo; o bien, tratándose de una empresa, lo equivalente al 4% (cuatro por ciento)del

negocio anual global del ejercicio financiero anterior.

Independientemente de lo anterior, si las actividades de alguna compañía ubicada fuera de la

UEencuadran en los supuestos abordados en el apartado 1del presente, será considerado

responsable en términos del GDPR. En este sentido, deberá cumplir con todas las obligaciones que

el propio GDPR dispone. De lo contrario, podrá ser acreedor de sanciones que podría alcanzar los

10,000,000 EUR (diez millones de euros 00/100, moneda de curso legal en la UE) o los 20,000,000

EUR (veinte millones de euros 00/100, moneda de curso legal en la UE)como máximo; o bien,

tratándose de una empresa, lo equivalente del 2%  al  4% del negocio anual global del ejercicio

financiero anterior.

3. Continuidad en el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión

de los particulares:.

No está por demás señalar que las empresas consideradas responsables en México 
México deben cumplir

con las disposiciones aplicables a la protección de datos personales, como es la LFPDPPP, así 
como su Reglamento
Reglamento, los Lineamientos del Aviso de Privacidad,
Privacidad las Recomendaciones en materia

de Seguridad de Datos Personales y

Personales  demás legislación aplicable.
Fuentes de consulta:

Reglamento General de Protección de Datos.

José Luis Piñar Mañas, “Reglamento General de Protección de Datos. Hacia un nuevo modelo

europeo de Privacidad”.

Artículo elaborado por:

Socio: Luis Mario Lemus Rivero

Abogado: Mauricio Sánchez Lemus

 } W
Share Print page 0 Likes

NO COMMENTS


POST A COMMENT

Write your comment here...

Your full name

E-mail address

Website

SUBMIT