Tratamiento regulatorio del data privacy frente a los efectos transfronterizos de la GDPR: el caso costarricense
| Autor | William Villalobos |
1.Introducción
¡La transformación digital nos reinventa! Sin que se previera, las plataformas digitales, los servicios de localización (GPS) y el Internet de las cosas (IoT) -del que tanto se debate- implantaron como común denominador la creación de un desafío para el Derecho, irrumpiendo así en la forma tradicional de intercambiar información.
Es claro que esta nueva fase del Internet -quizás- es la más revolucionaria de las que hemos conocido, podemos afirmar incluso, que es un hecho que la conexión a Internet no se produce ya a través de los terminales, teléfono o televisión inteligente, ordenador o tableta, sino que se puede producir por todos y cada uno de los objetos que nos rodean (aunque los terminales se utilicen como gestores, coordinadores de otras “cosas” conectadas) por ejemplo el caso del refrigerador y los aclamados wearebles.
El desafío que la llamada 4ª Revolución Industrial1 impone es realmente complejo en materia de protección de datos; por cuanto, los accesos no autorizados a datos personales o su uso malintencionado pueden facilitar ataques y crear riesgos en la seguridad de las personas.
La combinación de datos, el almacenamiento en la nube y la aplicación de técnicas de analítica cada vez más sofisticadas, pueden facilitar la elaboración de perfiles bastante precisos sobre cada uno de nosotros. Esta voragine de cambio demanda un tratamiento mucho más efectivo en donde en palabras del jurista español Ricardo Rivero Ortega resulta escencial definir el para qué y cómo regular2 el tratamiento que se dá sobre nuestros datos personales.
Ante toda esta realidad, el pasado 25 de mayo entró en vigencia el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, conocido como la Norma General de Protección de Datos (GDPR, por sus siglas en inglés); el cual, deroga la anterior Directiva 95/46/CE.
Mucho se ha dicho respecto de la transcendencia de esta regulación en favor de los llamados derechos de privacidad;3 razón por la cual, resulta medular realizar algunas apreciaciones en torno a las principales interrogantes que genera dicha normativa en razón de los efectos transfronterizos que impone.
2.¿Qué es y porqué surge la GDPR?
Gracias a las tecnologías disruptivas4, nos encontramos sumidos en multiplicidad de servicios convergentes; sobre el particular el jurista venezolano Víctor Hernández-Mendible los define como: “aquellos que son producto de la mezcla e integración de las nuevas tecnologías y que producen la aparición de nuevos servicios”5.
El contexto actual demanda que la privacidad y seguridad en el IoT estén siendo objeto de debate por los reguladores. En el caso Norteamericano, la Comisión Federal del Comercio (FTC, por sus siglas en inglés) tras iniciar acciones por primera vez contra un prestador de servicios de IoT (TrendNet), celebró unas jornadas sobre privacidad y datos en IoT en noviembre de 2013. Por su lado, la Comisión Europea apuntaba hace dos años atrás en el informe que recogía el resultado de la consulta pública sobre el gobierno del IoT que, la seguridad, la privacidad y la protección de datos eran aspectos de máxima preocupación para la mayoría de los participantes, tanto los prestadores de servicios como los consumidores.
Si bien en 1970 con la Hessiches Detenschutzgesetz6 en Alemania surge la primera normativa en torno a la protección de datos; podríamos decir que, la GDPR se convierte en la primera disposición regulatoria que afecta -sin exclusión- a todos los países de la Unión Europea; y, por tanto, unifica disposiciones regulatorias -anteriormente dispersas- de diversos Estados miembros de la Unión Europea.
La transcendencia de la normativa es notoria; por cuanto, si se contrasta la realidad tecnológica de 1995 frente al llamado fenómeno disruptivo en el que estamos sumidos, evidente resulta, que lo anterior constituya -sin duda alguna- el motivo por el cual surge ésta nueva regulación, que procura un mayor control entorno a cómo son tratados, resguardados y rectificados nuestros datos personales.
Lo anterior no debe sorprender, por cuanto la realidad actual, evidencia cómo los patrones de consumo se ven con frencuencia influenciados por los datos que compartimos, en donde nuestra huella digital se ha convertido en algo invaluable y dificil de cuidar. Incluso, muchas veces estamos expuestos a un tratamiento indiscriminado y sin control de nuestros datos –a pesar de los ingentes esfuerzos de los países en la región-.
3.¿Qué derechos incorpora la GDPR?
La GDPR describe los derechos que poseen las personas sobre sus propios datos, lo cual incorpora la posibilidad de solicitar el uso que una empresa hace de ellos e incluso su total remoción. Por esto, las empresas hoy día requieren saber dónde y cómo son capturados y procesados los datos ??-de forma directa e indirecta-, y que éstos sean almacenados y utilizados correctamente durante su ciclo de vida.
La anterior normativa -la Directiva 95/46/CE de la UE- reconocía los llamados derechos ARCO: Acceso (artículo 15), Rectificación (artículo 16), Cancelación y Oposición (artículo 21) de los datos. Sin embargo, con la entrada en vigencia de la GDPR además de los derechos supra, se incorporan cuatro nuevos derechos -en mí criterio- de suma trascendencia en el entorno digital actual; a saber: (i) Derecho a la transparencia de la información (artículo 12), (ii) Derecho de supresión (artículo 17), (iii) Derecho de limitación (artículo 18), (iv) Derecho de portabilidad (artículo 20).
Estimo oportuno hacer una breve referencia respecto del derecho al olvido y el derecho a la portabilidad. Sobre el primero -derecho al olvido–, se establece que cualquier persona tiene derecho a que su información personal sea eliminada por parte de los proveedores de servicios de Internet cuando así lo desee; -eso sí- siempre que quien posea esos datos no tenga razones legalmente válidas para retenerlos.
Respecto del segundo -derecho a la portabilidad- la norma prevé la posibilidad de transmitir los datos de un responsable a otro; de forma que, el interesado tenga derecho a que sus datos personales se transmitan directamente cuando ello sea técnicamente posible. Esto para los operadores de servicios de telecomunicaciones y los prestatarios de servicios públicos supone un aspecto importante; por cuanto impone la obligación de una transmisión de los datos ágil, sencilla, pero -sobre todo- segura.
Siempre sobre ésta línea, la GDPR posibilita que los datos personales sean capturados, almacenados y...
Para continuar leyendo
Solicita tu prueba