El 25 de mayo de 2016, entró en vigencia el Reglamento General de Protección de Datos (RGPD) en la Unión Europea (UE), que reemplazará la normativa vigente vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este Reglamento busca armonizar el marco jurídico fragmentado de la protección de datos en el Espacio Económico Europeo (EEE), pero también ganar confianza y garantizar que las empresas de la economía digital mundial respeten el derecho del consumidor a la privacidad. Esta es la razón por la cual la jurisdicción del RGPD no tiene la intención de detenerse en las fronteras de la UE, lo que plantea el problema de la extraterritorialidad. El campo de aplicación abarcará no solo las entidades que se ocupan de datos personales que se encuentran dentro del territorio europeo, sino también empresas o entidades de todo el mundo que procesan datos personales como parte de las actividades de una de sus sucursales establecidas en la UE. , independientemente de dónde se tratan los datos; o empresas establecidas fuera de la UE que ofrecen productos o servicios (remunerados o gratuitos) u observan el comportamiento de ciudadanos o residentes de la UE. Las pautas de RGPD definen la situación anterior cuando “se sigue a las personas en Internet”. Esto incluye el uso potencial de técnicas de elaboración de perfiles para tomar decisiones sobre las personas involucradas o para analizar o predecir sus preferencias de compra, comportamientos o actitudes. Un ejemplo sería el caso de una agencia de viajes u operador hotelero en Panamá que crea perfiles de sus clientes españoles, italianos, alemanes y polacos para ofrecerles ofertas para otros viajes o estadías. Del mismo modo, todos los organismos públicos y prestatarios económicos, como bancos y abogados, deben adaptarse a las obligaciones del RGPD, entre las que destaca la designación de un responsable de protección de datos (DPO), que debe tener conocimientos jurídicos y experiencia en el ámbito de protección de Datos. El sector de comercialización de las empresas se verá fuertemente afectado por este reglamento, teniendo que solicitar el consentimiento “libre e inequívoco, proporcionado a través de una clara acción afirmativa”, para cualquier acción que desee llevar a cabo con los datos de sus clientes europeos (no más envío de ‘correos’ ‘BtoC’ en masa). El consentimiento, además, no puede ser tácito ni puede proporcionarse a través de casilleros premarcados. Los datos personales incluyen ‘cookies’ y direcciones IP. Las empresas también tendrán la obligación de informar a sus clientes dentro de un período máximo de 72 horas si ocurre una violación de seguridad que haya puesto en peligro la privacidad de sus datos. El RGPD también establece el principio de responsabilidad activa, mejor conocido como ‘responsabilidad’, a través del cual se pretende que las empresas sean responsables de adoptar las medidas pertinentes que minimicen el posible impacto negativo de sus acciones y puedan demostrarlo. Por otro lado, el RGPD ofrece a los clientes o consumidores europeos el ‘Derecho al Olvido’, que permite a cualquier persona exigir la eliminación de sus datos de los motores de búsqueda de Internet, o el ‘derecho a la portabilidad’, que faculta al interesado para recuperar una copia de sus datos personales para transmitirlo a otra compañía. La violación de la RGPD contempla un régimen sancionador para la empresa con multas que varían de acuerdo con su propia violación y que pueden alcanzar montos de hasta 20 millones de euros o el cuatro por ciento del volumen de negocio total anual total del ejercicio anterior, además a las graves consecuencias en la confianza de sus clientes y conllevan efectos negativos para su reputación. El principio de ‘Privacidad por diseño’ es otra novedad para referirse a la obligación de las empresas de abordar los aspectos técnicos y legales, para tener en cuenta las leyes de privacidad en el momento del diseño de la APLICACIÓN o el software, no después de AS DICHO POR Ismael Gerli Attorney Con respecto a la transferencia de datos personales a Estados no miembros de la UE, el RGPD confirma el principio de que el responsable del tratamiento solo puede transferir datos personales a un tercer Estado si proporciona un nivel adecuado de protección, derechos y libertades de las personas afectadas. Además, Ismael Gerli dijo que la regulación también enfatiza la ‘decisión de adecuación’ que la Comisión Europea puede hacer a través de la cual cualquier transferencia transnacional puede hacerse sin autorización específica. En este sentido, en la región de América Latina, la Comisión Europea solo reconoce a Argentina y Uruguay como países que garantizan un nivel de protección adecuado y confiable para hacer negocios. En ausencia de una decisión de adecuación, la transferencia se puede hacer mediante el establecimiento de garantías adecuadas y siempre que las personas tengan los derechos necesarios.