24 November, 2024 Revista Digital sobre Patentes, Marcas y Propiedad Intelectual

LA UNIÓN EUROPEA: REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD) Y SUS DESAFÍOS (1era. PARTE)

Autores: ANDREA ACCUOSTO, CESCOM and IFCA Certified in Corporate Compliance, [email protected]; SANTIAGO NADAL, Lawyer Specialized in IP Law Director, [email protected], SN Abogados, www.snabogados.com, Barcelona, Spain.

El Reglamento General de Protección de Datos (RGPD), UE 2016/679, fue aprobado por el Parlamento de la UE el 27 de abril de 2016, con fecha de entrada en vigor el 25 de mayo de 2018. Los países de la UE están adaptándolo a sus leyes nacionales.

El GDPR armoniza las leyes de privacidad de datos en toda Europa para proteger los derechos de las personas, relacionados con los datos personales, en un mundo cada vez más orientado a los datos.

CONCEPTOS ESENCIALES DEL RGPD

Protección de Datos

El RGPD protege los datos personales: todas las referencias de identificación de cualquier persona. Esto incluye: nombre, número de identificación, ubicación o datos de identificación en línea. También incluye cualquier otro factor, específico de la identidad física, fisiológica, genética, mental, económica, cultural o social de cualquier persona.

El Reglamento incluye datos genéticos y biométricos como datos personales protegidos.

Personas involucradas

El RGPD se refiere a las siguientes personas, involucradas en el proceso de protección de datos:

Propietario. El individuo cuyos datos personales deben ser protegidos.

Responsable. La persona que decide cuándo y cómo se procesan los datos.

Encargado. La persona (excepto los empleados del Supervisor) que procesa los datos en nombre del Responsable.

Receptor. Cualquier persona a la que se divulguen los datos, incluida la divulgación durante el procesamiento de datos para el Encargado.

Consentimiento específico

En términos generales, se necesita el consentimiento del propietario de los datos antes de procesar los datos. El Responsable debe demostrar que obtuvo consentimiento por escrito para procesar dichos datos. El consentimiento debe darse en un lenguaje simple claro, fácil y accesible.

Los niños menores de 16 años no pueden dar consentimiento para ceder sus datos. Debe ser autorizado por el titular de la responsabilidad parental para un propósito específico.

Datos personales especiales

Algunos datos personales son especialmente sensibles: raza u origen étnico, opiniones políticas, religiosas o filosóficas, afiliación sindical, datos genéticos y biométricos, salud, vida u orientación sexual.

En términos generales, el tratamiento de estos datos no está permitido. Solo pueden ser procesados por profesionales bajo obligación de secreto profesional. 

Esta información especial se puede procesar en los siguientes casos:

– Con consentimiento explícito para fines específicos.

– Para llevar a cabo obligaciones legales en relación con la Ley de Empleo y Seguridad Social.

– Si son procesados por un organismo sin fines de lucro con objetivos políticos, filosóficos, religiosos o sindicales. Limitado a los miembros en relación con la actividad sin fines de lucro.

– Si los datos fueron hechos públicos por el propietario de los datos.

– Procedimiento judicial.

– Si hay razones sustanciales de interés público.

– Si se utilizan para evaluar la capacidad de trabajo de un empleado, para diagnóstico médico, atención o tratamiento de salud o social o gestión de la salud o asistencia social. Propietario a un contrato con un profesional de la salud y bajo secreto profesional.

– Por razones de salud pública, pero Propietario a secreto profesional.

– Si es de interés público, con fines científicos, históricos, de investigación o estadísticos.

– Si es necesario para proteger los intereses vitales del propietario de los datos o de otra persona, y si el propietario de los datos es incapaz de dar su consentimiento.

Aplicabilidad extraterritorial

El RGPD establece jurisdicción extraterritorial de la UE. Las empresas no pertenecientes a la UE y los profesionales deben cumplir con el Reglamento si:

– Ofrecen bienes o servicios a cualquier persona que se encuentre en la UE.

– Monitorean su comportamiento.

– Procesan sus datos personales.

Independientemente de su ubicación o de dónde se realice el procesamiento o el pago, las empresas, organizaciones y profesionales no pertenecientes a la UE deben designar a un representante en la UE.

Transparencia. Información que debe proporcionarse

El Responsable del Tratamiento debe informar al Propietario de los datos su identidad y detalles de contacto; y del representante del Responsable y del Encargado de la Protección de los Datos, cuando corresponda.

El Propietario de los datos debe ser informado sobre:

– Propósito del procesamiento de los datos.

– Tipos de datos procesados.

– Categorías de destinatarios de los datos.

Si el Responsable de los datos tiene la intención de transferir datos a un tercer país, debe informar al Propietario de los datos al respecto, además de los medios para obtener una copia y dónde se pueden recuperar.

Si el Responsable obtiene los datos de otra fuente, debe informar al Propietario de los datos de:

– Período durante el cual se almacenarán los datos.

– Intereses legítimos para almacenar los datos.

– Derecho a acceder, modificar o borrar datos, y oponerse al procesamiento o portabilidad.

– Derecho a retirar el consentimiento.

– Derecho de queja a una autoridad supervisora.

– Origen / fuente de los datos.

– Toma de decisiones automatizada sobre los datos, incluido el perfil.

El Responsable de los datos proporcionará dicha información:

– Dentro de un período razonable después de obtener los datos. Un mes, a más tardar.

– Si los datos se utilizan para contactar al Propietario de datos, en la primera comunicación.

– Si los datos se divulgarán a un tercero, cuando se revelen por primera vez.

Si el Responsable intenta procesar datos para un propósito diferente del original, debe informar previamente al Propietario de Datos, excepto si:

– El Propietario de datos lo sabe.

– Es imposible o necesita un esfuerzo desproporcionado para informar al Propietario. El Responsable debe tomar medidas para proteger los derechos del Propietario de los datos.

– La obtención o divulgación de los datos es una obligación en virtud de la legislación de la UE o de los Estados miembros.

– Los datos están sujetos a secreto profesional.

Derechos reconocidos para el Propietario de datos

El RGPD reconoce los siguientes derechos:

(i) Acceso a los datos

El derecho de obtener del Responsable de los datos:

– Confirmación de que se procesan sus datos, dónde y con qué fin.

– Una copia de los datos personales, sin costo.

(ii) Derecho al olvidado o borrado de datos

El propietario de los datos tiene derecho a solicitar al Responsable de los datos que:

– Elimine sus datos personales.

– Cese en la difusión de datos 

– Que terceros detengan el procesamiento de sus datos.

El derecho de eliminación incluye datos que ya no son relevantes para el procesamiento original; y casos en que el Propietario de datos haya retirado su consentimiento.

El derecho a la eliminación de datos es limitado cuando el procesamiento de datos es necesario para:

– Garantizar la libertad de expresión.

– Cumplir con la obligación legal de un Estado miembro de la UE o la UE.

  Razones de salud pública.

– Fines estadísticos, históricos, científicos o de investigación.

– Casos de defensa ante los Juzgados.

El Responsable de los datos que recibe una solicitud de eliminación debe verificar si hay razones para oponerse.

(iii) Limite el procesamiento de datos

El Propietario de los datos puede limitar su procesamiento de datos personales cuando:

  Los datos son inexactos.

– El procesamiento de datos fue ilegal.

– El Responsable no necesitaría los datos para fines de procesamiento.

– El Propietario había ejercido su derecho de oposición.

Cuando el Propietario ha limitado el procesamiento de sus datos para que solo se puedan procesar:

– Con su consentimiento.

– Para proteger los derechos de otras personas.

– Por razones importantes de interés público.

(iv) Derecho a ejercer la portabilidad de datos

Los Propietarios de datos tienen derecho a:

– Recibir sus datos, en formato legible y transferirlos a otro Responsable de datos.

– Ordenar que sus datos se transfieran directamente a otro Responsable de datos.

(v) Privacidad por diseño y por defecto

De acuerdo con el RGPD, los Responsables de los datos deben cumplir con los principios de protección de datos. Entre otros:

– Reducir el procesamiento de datos personales tanto como sea posible.

– Cancelar los datos personales lo antes posible.

– Ser transparente en las funciones y procesamiento de datos personales.

– Permitir la supervisión del procesamiento de datos.

– Crear y mejorar las medidas de seguridad de los datos.

– Tener en cuenta los derechos de protección de datos, al desarrollar, diseñar, seleccionar y utilizar aplicaciones, servicios y productos basados en el procesamiento de datos personales o que procesen datos personales.

– Asegurarse de que los Responsables y Encargados del procesamiento puedan cumplir con sus obligaciones.

El Responsable debe implementar medidas técnicas y organizativas para lograr estos objetivos. 

Los Responsables deberán:

– Conservar o procesar solamente los datos que sean necesarios para completar sus tareas; y

– Limitar el acceso a los datos a quienes necesitan acceder para su procesamiento.

(vi) Derecho a no estar sujeto a decisiones automatizadas

Cualquier residente de la UE tiene derecho a no estar sujeto a una decisión basada en el procesamiento automatizado, incluida la elaboración de perfiles, si el Propietario de los datos:

– Se ve afectado a efectos legales; o

– Tiene consecuencias significativas

– La prohibición anterior no se aplicará si:

– El tratamiento es necesario para la celebración o ejecución de un contrato entre la parte y un Responsable de datos.

– Autorizado por la legislación de los Estados miembros de la UE o la UE aplicable a los Responsables de datos; y establece medidas para proteger los derechos del Propietario e intereses legítimos.

– Basado en el consentimiento explícito del Propietario de datos.

El Responsable deberá proteger los derechos y libertades y los intereses legítimos de la parte interesada. Especialmente, los derechos a:

– Obtener intervención humana;

– Expresar su punto de vista.

(vii) Obligación de notificar una infracción de la seguridad

Una infracción de la seguridad en los datos puede resultar en un alto riesgo de derechos y libertades personales. El Responsable de los datos tiene la obligación de informar a las personas involucradas y a las autoridades, a más tardar 72 horas después de haber tenido conocimiento de ello.

Los Encargados de datos deben notificar a sus clientes y a los Responsables, sin demora, de dicha infracción. 

Los Responsables de datos deben mantener un registro de las infracciones de seguridad, sus efectos y acciones tomadas para resolver el problema.

Transferencia de datos personales a terceros países

Cualquier transferencia de datos a un tercer país solo puede tener lugar en las condiciones establecidas en el RGPD.

Los datos solo se pueden transferir a terceros países que garanticen un nivel adecuado de protección, según la Comisión de la UE. La transferencia no necesita una autorización específica.

La Comisión tendrá en cuenta si el tercer país:

– Respeta el estado de derecho, los derechos humanos y las normas de protección de datos, similares al RGPD. 

– Tiene autoridades independientes para garantizar y hacer cumplir las reglas de protección de datos.

Si la Comisión no ha decidido sobre un país específico, los datos solo se pueden enviar si:

– El Responsable o el Encargado de procesar los datos proporcionan protección apropiada, a través de reglas corporativas vinculantes; y

– Con la condición de que los derechos del Propietario de los datos y los recursos legales estén disponibles.

En ausencia de garantías / normas corporativas vinculantes, los datos solo se pueden transferir a un tercer país si, (entre otros):

– El Propietario de los datos ha aceptado explícitamente la transferencia.

– La transferencia es necesaria para la ejecución de un contrato entre el Responsable y el Propietario de Datos (o en su interés).

 El Responsable debe informar de la transferencia a la Autoridad Supervisora correspondiente.

Recursos, Responsabilidad y Sanciones

Los Propietarios de datos tienen derecho a reclamar ante una Autoridad Supervisora si el procesamiento de sus datos infringe el Reglamento. También puede reclamar judicialmente.

Compensación y responsabilidad

Los Responsables de los datos serán responsables del daño causado por procesamientos que infrinjan el Reglamento. Los Encargados solo serán responsables si no han cumplido con las obligaciones específicas o si han actuado en contra de las instrucciones del Responsable.

Responsables y Encargados no serán responsables si demuestran que no tienen responsabilidad en los hechos que hayan ocasionado la infracción de seguridad de los datos.

Multas administrativas

El RGPD establece que las Autoridades Supervisoras impondrán multas administrativas en caso de infracciones del Reglamento.

Se deben tener en cuenta las circunstancias de la infracción al decidir el monto de la multa. 

Entre otros:

  • Naturaleza, gravedad y duración de la infracción.
  • Si la infracción es intencional o negligente.
  • Acciones del Responsable o del Encargado para mitigar el daño.
  • Medidas tomadas para evitar infracciones.
  • Infracciones previas.
  • Cooperación con la Autoridad Supervisora.
  • Si notificaron la infracción.

El RGPD aplica severas multas administrativas por infracción de datos.

En las “infracciones más graves”, las multas pueden ser de hasta el 4% de la facturación global anual de la compañía o 20 millones de Euros (lo que sea mayor).

Existe un escalafón para la imposición de multas. A una empresa se le puede imponer una multa de hasta un 2% de su facturación, por no tener sus registros en orden o por no notificar a la Autoridad Supervisora o al Propietario de datos sobre una infracción en la seguridad de sus datos; o no realizar una evaluación de impacto.

Estas reglas se aplican tanto a los Responsables como a los Encargados. Esto implica que la información en la “nube” no estará exenta de la aplicación de RGPD.

Oficiales de Protección de Datos (OPD)

Los Estados miembros de la UE tienen reglamentaciones heterogéneas sobre las cifras de OPD, antes del RGPD, pero ahora será obligatorio en todos los países de la UE tener al menos Oficiales de Protección de datos, establecidos en el RGPD.

Los Responsables y los Encargados de los datos serán las figuras obligatorias mínimas de OPD. 

Su actividad será procesar y controlar las operaciones de datos, cuando:

– Se necesita un monitoreo regular y sistemático de los Propietarios de datos a gran escala.

– Se incluyan tipos especiales de datos o datos relacionados con condenas y delitos penales.

– El procesamiento de datos incluye datos de organismos públicos.

Los OPD deben:

– Ser nombrados sobre la base de cualidades profesionales. En particular, conocimiento especializado en leyes y prácticas de protección de datos.

– Ser un miembro del personal o un proveedor de servicios externo.

– Recibir los recursos adecuados para llevar a cabo sus tareas.

– Informe directamente al más alto nivel de gestión

– No llevar a cabo ninguna otra tarea que pueda generar un conflicto de intereses.

Comparte tu opinión sobre este artículo

Comentarios

Related Posts

Important EU-wide and Worldwide Consequences: The EU Directive on Trade Secrets

9 marzo, 2018

9 marzo, 2018

By Santiago Nadal SANTIAGO NADAL, Lawyer Specialized in IP Law Director-SN Abogados, [email protected], www.snabogados.com, Barcelona, Spain. The new directive makes...

LAS PATENTES: “UN NEGOCIO RENTABLE”

13 julio, 2016

13 julio, 2016

FUENTE: FERNANDO SAÑUDO SALAZAR, Director de Propiedad Intelectual, Empowerment Consulting S.C., “Life and Bussines Solutions”, www.emcon.mx,  [email protected], Oficina: (662) 2160161, Hermosillo, Son. “Se tiene el concepto...

Jóvenes innovadores, agentes de cambio.

21 agosto, 2017

21 agosto, 2017

Fuente: ADRIANNI ZANATTA ALARCÓN, Politecnico di Milano, [email protected]. El año en curso tengo el honor de ser un embajador para...

Entrevista exclusiva del Lic. Ignacio Lanuza de SELCO ® sobre el Registro de Marca Osorio Chong

18 mayo, 2016

18 mayo, 2016

    El Lic. Ignacio Lanuza como experto y líder de opinión en el Sector de Propiedad Intelectual en México,...

LA FRANQUICIA: ¿CÓMO FUNCIONA?

8 septiembre, 2016

8 septiembre, 2016

Fuente: FERNANDO SAÑUDO SALAZAR, Director General, Empowerment Consulting S.C., “Life and Bussines Solutions”, www.emcon.mx,  [email protected], Oficina: (662) 2160161, Hermosillo, Son. México.   Si...

¿CONFLICTOS ENTRE DERECHO DE MARCAS Y PROPIEDAD INTELECTUAL O COPYRIGHT?

18 junio, 2018

18 junio, 2018

Recientemente, se han dado conflictos entre Derecho de Marcas y Propiedad Intelectual o “Copyright”, en España y Noruega. Han sido...

Primera foto de agujero negro marca un antes y un después en la ciencia

10 abril, 2019

10 abril, 2019

La historia de la ciencia quedará dividida por un hito: la primera fotografía de un agujero negro revelada por científicos hoy por la mañana

Plantas árboles en desiertos con invento mexicano llamado Water pot

25 septiembre, 2017

25 septiembre, 2017

Fuente: ANTIMIO CRUZ BUSTAMANTE, Reportero de Ciencia, Tecnología e Innovación, Revista Digital Mi Patente, [email protected], www.mipatente.com La empresa mexicana Dos...

Superintendencia de Industria y Comercio protege la notoriedad de la marca STARBUCKS

5 abril, 2016

5 abril, 2016

FUENTE: Henry Roberto Plazas F., Jefe de Prensa, Delegatura Propiedad Industrial, Superintendencia de Industria y Comercio. Bogotá, Colombia   El registro de la...

La Jamaica de México: un producto versátil para emprendedores altamente competitivos

21 junio, 2017

21 junio, 2017

Salvador González-Palomares y Ramón Del Val-Díaz Centro de Bachillerato Tecnológico Agropecuario (70 y 127). [email protected]     https://www.facebook.com/ChavaGonzalezJalisco/?ref=aymt_homepage_panel Resumen La...

Crean ‘Biopsia líquida’ para acelerar detección de cáncer de páncreas

27 octubre, 2017

27 octubre, 2017

Fuente: ANTIMIO CRUZ BUSTAMANTE, Reportero de Ciencia, Tecnología e Innovación, Revista Digital Mi Patente, [email protected], www.mipatente.com La Universidad Johns Hopkins,...

La importancia de indicar datos reales en la solicitud de un estudio marcario

4 septiembre, 2017

4 septiembre, 2017

Fuente: LIC. JOSÉ ROBERTO GARZA GARCÍA, Protección de Marcas y Patentes, [email protected], www.promapmx.com, Monterrey, Nuevo León, México LA EXCLUSIVIDAD NACE...

La estomatología en la era de la manufactura inteligente.

15 mayo, 2017

15 mayo, 2017

Fuente: Adrianni Zanatta Alarcón, Politecnico di Milano, [email protected], and María Luisa Cruz Leyva, Inovadent, [email protected] La manufactura inteligente es una...

Busca el TecNM generar 100 patentes para 2018

16 enero, 2017

16 enero, 2017

Fuente: ANTIMIO CRUZ BUSTAMANTE, Reportero de Ciencia, Tecnología e Innovación, Revista Mi Patente, [email protected], www.mipatente.com El Tecnológico Nacional de México...

Con patente de cerillo eléctrico gana premio la firma HAS-IT, de Zacatecas

16 marzo, 2018

16 marzo, 2018

Joshua Mendoza Jasso enfatizó que la falta de propiedad intelectual en las empresas mexicanas puede cerrar muchas oportunidades, por lo...