Los derechos de privacidad y las regulaciones son como coles de Bruselas, son buenos para ti, pero a pocas personas les gustan. Se ha dicho que «los grandes datos son el nuevo gran hermano», y los reguladores de la Unión Europea en Bruselas y sus amigos en el parlamento de la UE han aprobado nuevas regulaciones para proteger la privacidad personal llamadas Régimen General de Protección de Datos (RGPD).
Esta nueva ley cambia la forma en que la mayoría de la información personal se maneja en las empresas, con importantes multas por incumplimiento. Aunque usted puede ver la serie de leyes de «sentirse bien» que parecen apoyar la visión de la UE de un gobierno para los reguladores, por los reguladores como malo, su negocio está sujeto a las regulaciones si usted hace negocios en Europa o si hace negocios con cualquier persona que es un ciudadano de la UE, a partir del 25 de mayo de 2018.
¿Qué es lo que requiere el PIBR, de todos modos?
El GDPR es una nueva e importante serie de reglamentos de privacidad aplicables a todas las empresas que tienen presencia física en la UE, a las que almacenan o procesan información personal de ciudadanos o residentes europeos, así como a las empresas que prestan servicios a esas empresas. La GDPR crea muchas nuevas protecciones para los ciudadanos de la UE, independientemente de su ubicación, incluido el derecho a recibir una copia de los datos que conserva una organización (previa solicitud en un plazo de 30 días), y la notificación obligatoria de la violación de los datos en un plazo de 72 horas a partir de su descubrimiento, con muy pocas excepciones. (Contraste la notificación de violación de datos de 72 horas de la GDPR con la ley de su propio estado, que puede no exigir la notificación en absoluto si los datos están cifrados).
El tercer requisito importante es que cada organización nombre a personas dentro o fuera de la empresa que sean responsables de la protección de la privacidad de los datos personales, entre ellas las siguientes:
- Los controladores de datos son ejecutivos que definen la forma en que se procesan los datos personales;
- Los procesadores de datos son administradores internos o proveedores de servicios externos que se encargan del procesamiento de datos personales; y
- Los oficiales de protección de datos son oficiales de cumplimiento con mandato en las grandes organizaciones que supervisan la estrategia de seguridad de los datos y el cumplimiento de la RGP -similar a una función de auditoría interna- y deben informar a la dirección de nivel ejecutivo.
Un último requisito importante concedido por la ley es el controvertido «derecho de borrado», más comúnmente conocido como «derecho al olvido». Este reglamento ya se ha utilizado para exigir a Google que elimine las imágenes desfavorables que se almacenaban en su servicio Google Street View, y podría, por ejemplo, permitir a los titulares de los datos decir a ciertos comerciantes que «olviden» sus datos.
Esta disposición parece dar a los interesados el derecho a solicitar y hacer que se eliminen datos de sus bases de datos en la mayoría de las circunstancias, entre ellas:
- si los datos ya no son necesarios
- si el sujeto se opone a los datos privados que se están procesando
- si el sujeto retira su consentimiento para que la organización retenga y procese los datos, lo que puede hacerse en cualquier momento.
Cómo afecta el PIBR a las empresas y contables de EE.UU.
Los contadores deben preocuparse especialmente por estos reglamentos, ya que los datos privados necesarios para prestar servicios profesionales a sus clientes con operaciones en la UE están cubiertos por estos reglamentos. Por ejemplo, su cliente podría estar de acuerdo en proporcionarle información sobre su negocio y sus subsidiarias de la UE cuando usted se encuentre en la UE, pero se le podría prohibir el acceso a información privada sobre sus empleados, clientes y proveedores de fuera de la UE.
Lo peor es que la ley (y los regímenes de multas), tal como está escrita, parecen aplicarse a los datos privados de cualquier ciudadano de la UE – incluyendo aquellos con doble nacionalidad que viven en los EE.UU., lo que significa que usted puede tener un problema potencial de cumplimiento con sus actuales clientes con sede en los EE.UU. Piense en las complicaciones de los procesos fiscales de los expatriados o de las auditorías internacionales en los que participa una entidad de la UE.
Es posible que no pueda prestar el servicio legalmente sin estar sujeto a una multa de GDPR. Considere también la posibilidad de que una empresa que desee expandir su negocio en la UE, o que por el contrario esté haciendo negocios en la UE hoy en día, y empiece a comprender que lo que sucede en la UE tendrá que permanecer en la UE.
Un riesgo importante para las empresas estadounidenses que desean hacer negocios con ciudadanos de la UE es que no pueden transferir datos sobre sujetos de la UE fuera de la UE. La normativa exige que las empresas de fuera de la UE modifiquen sus prácticas comerciales de una de las tres formas principales antes de poder hacer negocios con ciudadanos y organizaciones de la UE.
Una empresa de EE.UU. puede inscribirse en un programa del Departamento de Comercio de EE.UU. (el marco del Escudo de Privacidad EE.UU.-UE (www.privacyshield.gov)) y cumplir con sus términos
La empresa puede trabajar con su regulador de la privacidad de la UE para redactar y presentar normas y políticas corporativas vinculantes para su aprobación reglamentaria. Una vez que se haya completado el proceso de aprobación por parte de los reguladores, la empresa se inscribirá en un registro de empresas que hayan completado este proceso.
La empresa puede incluir disposiciones contractuales modelo en todos sus acuerdos con los controladores y procesadores de datos, en los que éstos se comprometen a proporcionar salvaguardias a la información personal que sean aceptables para los reguladores de la UE.
Si no se sigue uno de estos tres protocolos, se prohíbe a cualquier persona reunir, almacenar o procesar información sobre ciudadanos de la UE de fuera de la UE, y está sujeta a multas.
Sanciones por incumplimiento
No se seguirá ningún reglamento sin que se impongan sanciones a los infractores, y la UE se siente muy cómoda imponiendo multas masivas a las grandes empresas. Un artículo de la CNBC de 2017 detalla algunos de los 8.472.000 euros (9.540 millones de dólares) en multas de la Comisión de Competencia de la UE entre 2013 y 2017 contra las empresas multinacionales.
Ese total no incluye otros cargos épicos, incluyendo una demanda de la UE contra Irlanda por «no haber recuperado hasta 13.000 millones de euros (15.400 millones de dólares) que la UE alega que Irlanda debería haber cobrado a Apple, así como una multa de 997 millones de euros (1.200 millones de dólares) impuesta a Qualcomm en enero de 2018 por supuesta conducta anticompetitiva».
Lamentablemente, es probable que estos impresionantes registros de sanciones civiles disminuyan en un futuro próximo con las nuevas multas permitidas por incumplimiento en el marco de la RPI. Los controladores y procesadores de datos pueden esperar sanciones por incumplimiento de la GDPR de hasta el 2% de las ventas mundiales o 10 millones de euros, lo que sea mayor.
Las organizaciones también pueden enfrentarse a multas de hasta el 4% de las ventas mundiales o de hasta 20 millones de euros, lo que sea mayor, por violar los derechos de privacidad de los datos de los ciudadanos de la UE, por no cumplir con una autoridad de supervisión de datos de la UE, por transferencias indebidas de datos personales o por incumplimiento de los principios básicos de procesamiento.
Conclusión
Si bien estas nuevas actividades crearán una nueva burocracia de protección de datos en los gobiernos y organizaciones de la UE, también servirán para que la UE se convierta en un regulador de facto de la Internet en todo el mundo. La discreción de enjuiciamiento ejercida por los reguladores no elegidos de la UE dará a la UE otra nueva e interesante forma de penalizar a las empresas que caigan en su punto de mira.
Como Apple y Google han aprendido de la manera más dura, la UE ha utilizado las regulaciones en el pasado contra las grandes empresas y ha cobrado miles de millones de euros en multas y otras sanciones.Si sus clientes son autónomos o trabajan con una gran empresa, si hacen negocios en la UE o tienen datos privados de cualquier ciudadano de la UE, si ignoran estos nuevos requisitos de Bruselas lo hacen por su cuenta y riesgo.
Más información sobre el GDPR:
- Texto de GDPR del sitio de la UE: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- Departamento de Comercio de EE.UU. Programa de Protección de la Privacidad de EE.UU. y la UE: http://www.privacyshield.gov
- Cobertura propia de AccountingWEB UK: https://www.accountingweb.co.uk/tags/gdpr
- Libro blanco sobre los BCR por TeachPrivacy.com: https://teachprivacy.com/bcrs-for-eu-privacy/
- Disposiciones contractuales modelo de la UE para los procesadores y controladores de datos: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en