Las empresas mexicanas podrían ser sancionadas por incumplir con la protección de datos personales de ciudadanos europeos.
Las multas oscilan entre 20 millones de euros y hasta el 4 por ciento de los ingresos anuales mundiales por dicho incumplimiento.
Esto se debe a la entrada en vigor en mayo pasado del Reglamento General de Protección de Datos (RGPD), el cual protege a los residentes europeos que proporcionan sus datos para hacer uso o comprar productos y servicios en un país distinto a la Unión Europea.
Entre marzo y abril de este año, un sondeo entre empresas estadounidenses realizado por la consultoría Capgemini, mostró que de 60 a 85 por ciento de ellas no iban a poder cumplir totalmente con el nuevo RGPD, y que aquellas que podrían cumplirlo, como Allianz, habían gastado decenas de millones.
Sin embargo, aerolíneas, hoteles, empresas de comercio electrónico, consultorías, bancos y cualquier empresa del mundo que reciba los datos personales de residentes europeos, ya sea porque les compran con tarjetas bancarias, se registran en un portal o entablan un negocio, deben cumplir con esta norma.
El RGPD establece que las empresas no solo deben dar a conocer lo que en México se conoce como el aviso de privacidad, donde se establece con qué fin se utilizarán los datos y los derechos que tiene quien proporciona la información, lo que en México funciona como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
Jorge León Orantes, socio líder de tecnología y medios del despacho de abogados SantaMarina y Steta, explicó que las empresas no pueden utilizar la información de los europeos sino hasta que estos pulsan la tecla de aceptar.
“En México si tú estás vendiendo algo en internet y obtienes el nombre del cliente y su domicilio, le puedes mostrar el aviso de privacidad, y si no lo acepta, puedes asumir que está de acuerdo.
Pero si los europeos no hacen clik en la liga donde te autoriza que uses sus datos, te puedes hacer acreedor de la multa”, mencionó.
La normativa aplica a empresas que operan en México y que ofrecen activos o servicios a europeos y que lo hacen en un lenguaje y moneda que se utilice en la comunidad económica europea.
“Un hotel que recibe pagos de tarjetas de crédito de europeos -por chico que sea- que está tratando datos personales, que recibe pagos en euros, que su sitio está en alguna lengua europea, tiene elementos que llevarían a la autoridad a determinar que está sujeto a la normatividad europea”, mencionó Rodrigo Orenday, experto en datos personales.
“Si tienes un sitio de internet en México con idioma español o inglés y te pagan en euros, hay riesgo de que te multen”, comentó, por su parte, Jorge León.
A su vez, este tipo de empresas están obligadas a tener un responsable de cumplimiento de este reglamento en Europa, ya que así lo establece el RGPD.
La regla también define que los proveedores que apoyen a las empresas en el manejo de datos tienen la obligación de participar en la entrega de derechos ARCO, un aspecto que no prevé la Ley de Protección de Datos personales de México.
Además, el reglamento europeo establece que la claúsula de confidencialidad debe ser permanente.
Los analistas explicaron que las multas se derivarían de reclamaciones de los europeos por malos manejos de su información.
Jessika Becerra
Agencia Reforma
