Desde el pasado 25 de mayo de 2018 rige en Europa el RGPD[1], el reglamento europeo de protección de datos que, asimismo, también tiene efectos fuera del continente.

La mentalidad asumida por la gran mayoría de empresas del continente transatlántico es que mientras no tengan una sede establecida en Europa no les será necesario cumplir con normativa europea de forma expresa (más allá de las regulaciones de importación) o, si la tienen, que solamente ésta deberá cumplir la normativa europea, de forma independiente y aislada. Sin embargo, a partir de la entrada en vigor del RGPD, también deberán atenerse a su regulación todas aquellas empresas que:

  • Traten datos de carácter personal en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
  • Traten datos de carácter personal de personas que residan en la Unión, aunque la empresa no esté establecida en la Unión, cuando las actividades de tratamiento estén relacionadas con:

a. La oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

b. El control de su comportamiento, en la medida en que este tenga lugar en la Unión.

De esta manera, las empresas americanas deberán prestar atención a conductas consideras como tratamientos de datos sujetos al RGPD, aun cuando no lo hubieran previsto de una forma específica en el desarrollo de sus actividades. Algunos ejemplos son:

  • Newsletters suscritas por clientes europeos
  • Contactos web de clientes europeos
  • Registro de clientes europeos en páginas web de servicios americanas (independientemente de si son gratuitos o de pago)
  • Venta de productos a consumidores en Europa
  • Obtención de datos personales de profesionales en la suscripción de contratos con empresas europeas
  • Tratamiento de datos a través de cookies en la página web de la empresa (control de comportamiento y elaboración de perfiles publicitarios a través de la IP)
  • Detección automática de ubicaciones a través de aplicaciones para crear perfiles de preferencias (detección de domicilio, trabajo, etc.)

Estos y muchos otros procedimientos implicarán la necesidad para las empresas americanas de adaptarse regulatoriamente al RGPD y esto implicará la necesidad de prever, entre otras:

  1. Políticas de privacidad y de cookies adaptadas
  2. Avisos/banners sobre el uso de cookies que cumplan con los requisitos establecidos
  3. No incluir casillas de aceptación preseleccionadas en sus páginas web
  4. Informar a los afectados de acuerdo con los artículos 13 y 14 del RGPD incluso si no se requiere el consentimiento del afectado
  5. Prever en todos los contratos con empresas europeas previsiones en materia de protección de datos, ya que constarán los datos de los representantes legales de las empresas (los firmantes)

Esta adaptación requerirá por parte de estas empresas de un análisis detallado de sus procesos de negocio y de su documentación, siendo recomendable recurrir a expertos en la materia a los efectos de minimizar riesgos.

Las sanciones que establece el RGPD para las infracciones de la normativa ascienden a importes de hasta 20.000.000 EUR o el 4% de la facturación anual global de la empresa en el ejercicio anterior, optándose por la mayor cuantía de las dos.

Asimismo, en igual rango de importancia que lo anterior, se deberán revisar aquellos consentimientos obtenidos al amparo de las normativas anteriores al RGPD a los efectos de verificar si continúan siendo válidos o deben obtenerse de nuevo.

Para todo ello, desde Vilá Abogados, quedamos a su disposición para la realización de los análisis necesarios, así como su eventual adaptación al RGPD.

 

Andreas Terán

Vilá Abogados

 

Para más información, contacte con

va@vila.es

8 de marzo de 2019

 

 

[1] REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).