Documentos de Académico
Documentos de Profesional
Documentos de Cultura
REGLAMENTO GENERL DE
PROTECCIÓN DE DATOS
(GDPR) EN MÉXICO.
Posted at 12:09h in Sin categoría by Admin 0 Comments
Con la entrada en vigor del nuevo REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UNIÓN
EUROPEA(en adelante identificado –por sus siglas en inglés –GDPR), que tendrá efecto el 25 de
mayo de 2018, los responsables que obtengan y traten datos personales de personas físicas que
radiquen en la Unión Europea (en adelante, UE), deberán cumplir con diversas disposiciones legales,
1. Aplicación del GDPR y Tratamiento de Datos Personales.
Con el fin de garantizar la plena protección de los datos personales de los ciudadanos de la UE, las
nuevas disposiciones del GDPR extienden su aplicación fuera del territorio de la UE. Es fundamental
que las compañías que cuentan con filiales, subsidiarias o sucursales fuera de la UE tomen en
consideración estas nuevas disposiciones e implementen las medidas requeridas por el GDPR,
pues no hacerlo, acarrea un riesgo económico y reputacional importante para los grupos
empresariales.
A continuación se abordarán los supuestos en los que el GDPR es aplicable fuera del territorio
europeo:
Si una empresa constituida bajo las leyes de alguno de los Estados miembros de la UE (en lo
sucesivo, Estados Miembros), cuenta con una subsidiaria o filial con domicilio fuera de la UE, y le
ejerce control para hacer cumplir normas de protección de datos personales, se entiende que
constituida en el Estado Miembro como las subsidiarias o filiales les es aplicable el GDPR –
37 del GDPR.
De acuerdo con el considerando 23 del GDPR, una compañía ubicada fuera del territorio de la
El considerando 23 del GDPR dispone que, para determinar si el responsable o encargado ofrece
bienes o servicios, se deberá analizar si es evidente que la oferta se hace en uno o varios Estados
Miembros. Se entiende que la oferta es evidente cuando cumple con alguno de los siguientes
criterios:
Uso de una lengua generalmente utilizada en uno o varios Estados Miembros y la posibilidad de
Una empresa establecida fuera del territorio de la UE estará sujeta al GDPR si lleva a cabo
residentes de la UE. Para determinar si se lleva a cabo esta actividad, debe evaluarse si: (i)las
personas físicas son objeto de seguimiento en internet; (ii)si se lleva a cabo una elaboración de
perfil de una persona física con el fin de adoptar decisiones sobre él o ella; o (iii)si se elaboran
Por lo tanto, las empresas que pretendan realizar negocios con la información de personas dentro
de la UE, o que utilicen datos personales para elaborar perfiles por medio de herramientas de
seguimiento -como las cookies– son considerados responsables por el GDPR. En consecuencia, si
El GDPR también prevé el tratamiento de datos personales realizado por las embajadas, misiones
diplomáticas u oficinas consulares de los Estados Miembros en los denominados “terceros países”.
En este sentido, dichas instituciones deberían cumplir con el GDPR, a la luz del considerando 25 y el
“(25) Cuando sea de aplicación el Derecho de los Estados miembros en virtud del
“Artículo 3
Ámbito territorial
(…)
establecimiento del responsable o encargado en la UE, sin importar si dicho tratamiento se hace o
“establecimiento”, aclarando que engloba la actividad, sin importar si cuenta con la personalidad
jurídica que revistan tales modalidades, ya sea una sucursal o una filial con
filial personalidad
importancia que estas sean consideradas por filiales, subsidiarias o empresas controladas de o por
grupos europeos. Lo anterior, tomando importancia en caso que se les encomiende el tratamiento
2. Nombramiento de Representante.
un representante en alguno de los de los Estados Miembros de la UEen el que se estén tratando los
datos personales como lo refiere el artículo 3, párrafo 2. De la lectura del párrafo 2, inciso a) del
artículo 27, se entiende que la obligación será aplicable en los siguientes casos:
Opiniones políticas.
Afiliación sindical.
Orientación sexual.
nombre y cuenta o en conjunto, las consultas de los titulares de los datos personales que se traten
3. Transferencias Internacionales.
personales recabados y tratados dentro de los Estados Miembros sean transferidos a “terceros
En primer lugar, es importante mencionar que, de acuerdo con el considerando 48 del GDPR, los
responsables que forman parte de un grupo empresarial pueden acreditar interés legítimo para
transmitir datos personales dentro del grupo empresarial para fines administrativos internos,
incluido el tratamiento de datos personales de clientes o empleados. Sin embargo, los principios y
El GDPR dispone tres supuestos en los que una transferencia internacional a un “tercer país” se
De acuerdo con el artículo 45del GDPR, una transferencia de datos personales a un país fuera de
la legislación penal, y el acceso de las autoridades públicas a los datos personales, así como la
aplicación de dicha legislación, las normas de protección de datos, las normas profesionales y las
medidas de seguridad, la jurisprudencia, así como el reconocimiento a los interesados cuyos datos
regionales.
podrá transferir datos personales a un tercer país si ofrece las garantías adecuadas y si los
Entonces, si se desean hacer transferencias sin que medie una decisión de la Comisión Europea,
Europea se
deberán ofrecer las garantías pertinentes. De acuerdo con el GDPR, existen dos clases de garantías,
a saber:
Las excepciones del artículo 49 permiten las transferencias de datos personales sin que se
requiera una decisión de adecuación o alguna de las garantías mencionadas. En este sentido,
riesgos.
responsable.
La transferencia es necesaria para proteger los intereses vitales del interesado o de otras
La transferencia se realiza desde un registro público que esté abierto a la consulta pública.
tratamiento efectuadas bajo su responsabilidad. De acuerdo con el artículo 30del GDPR, el registro
El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del
Por otro lado, cuando los datos personales se obtengan para fines comerciales y de cooperación
Por lo que, además de cumplir con la regulación local, deben garantizar el cumplimiento del GDPR.
Esto de acuerdo con el Principio de General de Transferenciasy el Artículo 44 del GDPR, inserto a
la letra a continuación:
Otras Consideraciones.
Es importante señalar que, de acuerdo con el artículo 48del GDPR, cualquier sentencia de un
órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exija que un
Las sanciones dispuestas en el GDPR llaman la atención por su rigurosidad, por lo que es de suma
importancia que se tomen en consideración. Sobre todo, para aquellas empresas que se
encuentran fuera de la UE y que adquieran la calidad de responsable o encargado. Dado dicho
supuesto, el responsable tendría que cumplir con todas las obligaciones previstas en el GDPR.
De acuerdo con el artículo 83, la sanción por falta de cumplimiento a las obligaciones referidas
con las transferencias internacionales impondría una multa de carácter administrativo que podría
alcanzar los 20,000,000 EUR (Veinte millones de euros 00/100, moneda de curso legal en la
UE) como máximo; o bien, tratándose de una empresa, lo equivalente al 4% (cuatro por ciento)del
responsable en términos del GDPR. En este sentido, deberá cumplir con todas las obligaciones que
el propio GDPR dispone. De lo contrario, podrá ser acreedor de sanciones que podría alcanzar los
10,000,000 EUR (diez millones de euros 00/100, moneda de curso legal en la UE) o los 20,000,000
EUR (veinte millones de euros 00/100, moneda de curso legal en la UE)como máximo; o bien,
tratándose de una empresa, lo equivalente del 2% al 4% del negocio anual global del ejercicio
financiero anterior.
de los particulares:.
No está por demás señalar que las empresas consideradas responsables en México
México deben cumplir
con las disposiciones aplicables a la protección de datos personales, como es la LFPDPPP, así
como su Reglamento
Reglamento, los Lineamientos del Aviso de Privacidad,
Privacidad las Recomendaciones en materia
José Luis Piñar Mañas, “Reglamento General de Protección de Datos. Hacia un nuevo modelo
europeo de Privacidad”.
} W
Share Print page 0 Likes
NO COMMENTS
POST A COMMENT
E-mail address
Website
SUBMIT