Disculpas por la publicación del presente artículo en este Blog literario, mientras actualizo la presentación del Blog especializado en "Derecho y Nuevas Tecnologías de la Información y del Conocimiento", NTIC. Para visualizar los anteriores artículos seguir este enlace: http://derecho-ntic.blogspot.fr/
Por: Carlos FERREYROS SOTO
Doctor en Derecho
Université de Montpellier I, Francia.
cferreyros@hotmail.com
INTRODUCCIÓN
El 5 de mayo de 2016 entró en vigencia el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o “RGPD”).
El RGPD regula el tratamiento y circulación de los datos personales relacionados con personas físicas en y de la Unión Europea (UE) realizados por personas, empresas u organizaciones, estableciendo un régimen de protección aplicable a todos los Estados adscritos a la UE, directamente, sin transposición de ésta norma en y por cada uno de los Estados.
El Reglamento concede un plazo de dos años desde su entrada en vigencia para que se adapten a sus prescripciones quienes traten o hagan circular datos personales de personas físicas y las Comisiones, Agencias o Direcciones de protección de datos, hasta el 25 de mayo de 2018.
Una de las principales novedades del RGPD es la ampliación de su ámbito de aplicabilidad, hasta terceros países, resultando fundamental en la normativa peruana identificar, prever aquellos aspectos a tener en cuenta como las probables implicancias en las diferentes personas, empresas y organizaciones, antes de la fecha límite.
ÁMBITOS
El RGPD consagra dos artículos al ámbito de aplicación: el artículo 2, relativo al ámbito de aplicación material, y el artículo 3, al ámbito territorial.
A. Ámbito de aplicación material.
El artículo 2 del Reglamento confirma lo establecido en la Directiva Europea 95/46/CE que derogó:
1. El mismo que se aplica:
a) al tratamiento automatizado de datos personales (total o parcialmente), así como,
b) al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. El presente Reglamento no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del Tratado de la Unión Europea, TUE 1;
1. TITULO V DISPOSICIONES GENERALES RELATIVAS A LA ACCIÓN EXTERIOR DE LA UNIÓN Y DISPOSICIONES ESPECÍFICAS RELATIVAS A LA POLÍTICA EXTERIOR Y DE SEGURIDAD COMÚN. CAPITULO 2 DISPOSICIONES ESPECÍFICAS SOBRE LA POLÍTICA EXTERIOR Y DE SEGURIDAD COMÚN.
c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención 2.
2. Sobre el particular, referirse a la: DIRECTIVA (UE) 2016/680 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo
3. El Reglamento (CE) n.o 45/2001 3 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.o 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98 4.
3 REGLAMENTO (CE) No
45/2001 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 18 de diciembre de 2000
relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales por las instituciones y los organismos
comunitarios y a la libre circulación de estos datos.
4 Artículo 98 Revisión de otros actos jurídicos de la
Unión en materia de protección de datos.
La Comisión presentará, si procede, propuestas legislativas para
modificar otros actos jurídicos de la Unión en materia de protección de datos
personales, a fin de garantizar la protección uniforme y coherente de las
personas físicas en relación con el tratamiento. Se tratará en particular de
las normas relativas a la protección de las personas físicas en lo que respecta
al tratamiento por parte de las instituciones, órganos, y organismos de la
Unión y a la libre circulación de tales datos.
4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE 5, en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15 6.
5 Directiva 2000/31/CE del Parlamento Europeo y
del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos
de los servicios de la sociedad de la información, en particular el comercio
electrónico en el mercado interior (Directiva sobre el comercio
electrónico)
B. Ámbito de aplicación Territorial.
El artículo 3 del Reglamento establece que éste:
1. Se aplica al tratamiento o circulación de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
2. Se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.
Esto supone que el Reglamento se aplica:
1) a los responsables o encargados de tratamiento o circulación de datos personales con establecimiento en la Unión, en el ámbito territorial de aplicación de la legislación europea;
2) a los responsables o encargados de tratamiento o circulación de datos personales de aquellos terceros países (Perú, por ejemplo) que traten o hagan circular datos de ciudadanos europeos, cuando estas se encuentren relacionadas:
a) a la oferta de bienes o servicios a dichos interesados en la Unión, o
b) al control de su comportamiento, cuando se realicen en el territorio de la Unión.
3) El Reglamento se aplica a un responsable no establecido en la Unión, sino en un lugar en que el derecho de los Estados miembros sea de aplicación en virtud del Derecho Internacional público.
CONCLUSIONES
A. A poco menos de 60 días por vencer el plazo de adaptación de dos años otorgado por el RGPD a las personas, empresas, organizaciones (25 de mayo de 2018), la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos del Perú debiera avocarse - si no lo ha hecho ya - a preparar un Proyecto de Adaptación y un Plan de contingencia sobre el ámbito de su aplicabilidad en el Perú.
B. Todas aquellas personas físicas, jurídicas (empresas, asociaciones, fundaciones,….) cuyos responsables o encargados en el Perú, traten o hagan circular datos personales de ciudadanos europeos miembros de la Unión, resultan ahora responsables, si incumplen las obligaciones y derechos que el RGPD dispone, en concordancia con el Derecho Internacional público y acorde con las normas peruanas.
C. Entre las acciones a privilegiar por A. y B. deberán acentuarse aquellas relativas a la identificación, revisión, análisis y adecuación normativa, de un lado; y de capacitación, sensibilización y talleres de simulación, por el otro; acorde con el principio de privacy by design, o privacidad por diseño recogido en el RGPD, mediante el cual las medidas de protección de datos personales se aplican desde el diseño del tratamiento, a fin de garantizar el cumplimiento de la normativa.
Para conocer cómo puede adaptar su empresa al RGPD tome contacto ya con el equipo del Estudio Jurídico FERREYROS&FERREYROS a través de Carlos Ferreyros a : cferreyros@hotmail.com o cferreyros@ferreyros-ferreyros.com
6 Sección 4: Responsabilidad de los prestadores de servicios intermediarios
Artículo 12 Mera transmisión
1. Los Estados miembros garantizarán que, en el caso de un servicio de la sociedad de la información que consista en transmitir en una red de comunicaciones, datos facilitados por el destinatario del servicio o en facilitar acceso a una red de comunicaciones, no se pueda considerar al prestador de servicios de este tipo responsable de los datos transmitidos, a condición de que el prestador de servicios:
a) no haya originado él mismo la transmisión;
b) no seleccione al destinatario de la transmisión; y
c) no seleccione ni modifique los datos transmitidos.
2. Las actividades de transmisión y concesión de acceso enumeradas en el apartado 1 engloban el almacenamiento automático, provisional y transitorio de los datos transmitidos siempre que dicho almacenamiento sirva exclusivamente para ejecutar la transmisión en la red de comunicaciones y que su duración no supere el tiempo razonablemente necesario para dicha transmisión.
3. El presente artículo no afectará a la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos de los Estados miembros, exija al prestador de servicios que ponga fin a una infracción o que la impida.
Artículo 13 Memoria tampón (Caching)
1. Los Estados miembros garantizarán que, cuando se preste un servicio de la sociedad de la información consistente en transmitir por una red de comunicaciones datos facilitados por el destinatario del servicio, el prestador del servicio no pueda ser considerado responsable del almacenamiento automático, provisional y temporal de esta información, realizado con la única finalidad de hacer más eficaz la transmisión ulterior de la información a otros destinatarios del servicio, a petición de éstos, a condición de que:
a) el prestador de servicios no modifique la información;
b) el prestador de servicios cumpla las condiciones de acceso a la información;
c) el prestador de servicios cumpla las normas relativas a la actualización de la información, especificadas de manera ampliamente reconocida y utilizada por el sector;
d) el prestador de servicios no interfiera en la utilización lícita de tecnología ampliamente reconocida y utilizada por el sector, con el fin de obtener datos sobre la utilización de la información; y
e) el prestador de servicios actúe con prontitud para retirar la información que haya almacenado, o hacer que el acceso a ella será imposible, en cuanto tenga conocimiento efectivo del hecho de que la información ha sido retirada del lugar de la red en que se encontraba inicialmente, de que se ha imposibilitado el acceso a dicha información o de que un tribunal o una autoridad administrativa ha ordenado retirarla o impedir que se acceda a ella.
2. El presente artículo no afectará a la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos de los Estados miembros, exija al prestador de servicios poner fin a una infracción o impedirla.
Artículo 14 Alojamiento de datos
1. Los Estados miembros garantizarán que, cuando se preste un servicio de la sociedad de la información consistente en almacenar datos facilitados por el destinatario del servicio, el prestador de servicios no pueda ser considerado responsable de los datos almacenados a petición del destinatario, a condición de que:
a) el prestador de servicios no tenga conocimiento efectivo de que la actividad a la información es ilícita y, en lo que se refiere a una acción por daños y perjuicios, no tenga conocimiento de hechos o circunstancias por los que la actividad o la información revele su carácter ilícito, o de que,
b) en cuanto tenga conocimiento de estos puntos, el prestador de servicios actúe con prontitud para retirar los datos o hacer que el acceso a ellos sea imposible.
2. El apartado 1 no se aplicará cuando el destinatario del servicio actúe bajo la autoridad o control del prestador de servicios.
3. El presente artículo no afectará la posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurídicos de los Estados miembros, exijan al prestador de servicios de poner fin a una infracción o impedirla, ni a la posibilidad de que los Estados miembros establezcan procedimientos por los que se rija la retirada de datos o impida el acceso a ellos.
Artículo 15 Inexistencia de obligación general de supervisión
1. Los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas, respecto de los servicios contemplados en los artículos 12, 13 y 14.
2. Los Estados miembros podrán establecer obligaciones tendentes a que los prestadores de servicios de la sociedad de la información comuniquen con prontitud a las autoridades públicas competentes los presuntos datos ilícitos o las actividades ilícitas llevadas a cabo por destinatarios de su servicio o la obligación de comunicar a las autoridades competentes, a solicitud de éstas, información que les permita identificar a los destinatarios de su servicio con los que hayan celebrado acuerdos de almacenamiento.
