Columnas
Impacto del Nuevo Reglamento de Protección de Datos de la UE en la normativa de Publicidad
"Las sanciones contemplan la indemnización de perjuicios y multas administrativas de hasta 20 millones de Euros o hasta el 4 % del volumen de negocio total anual global del ejercicio financiero anterior, pudiendo cada país establecer otras sanciones".
Ariela Agosin
Con fecha 25 de mayo último, ha entrado en vigencia el Reglamento General de Protección de Datos de la Unión Europea o GDPR en su sigla en inglés. Este Reglamento ha traído gran revuelo por sus implicancias en otros países que no forman parte de la Unión, como por ejemplo, en Chile.
En efecto, por un lado, atendido los adelantos tecnológicos que hoy son utilizados en diversos ámbitos y que evidentemente tienen un alcance global en línea, es prácticamente imposible abstraerse de dichas normativas; por otro lado, esta Regulación derechamente pretende traspasar fronteras, estableciendo reglas específicas en este sentido. Así, en esta esfera se encuentra por cierto la publicidad y un elemento utilizado de manera cada vez más frecuente, como es el “behavioral targeting”, esto es, el análisis de datos a partir del comportamiento en internet de los usuarios, con el objeto de dirigir publicidad específica según los intereses.
El “behavioral targeting” no es un fenómeno nuevo para quienes trabajan en el marketing digital. Sin embargo, como suele suceder, la normativa ha llegado con mucha posterioridad, sorprendiendo a quienes estaban acostumbrados a estas prácticas, sin un marco legal claro y por consiguiente, sin necesidad de detenerse a pensar en los límites en la investigación de los usuarios y en el uso de la información recogida. Esto último ha cambiado con la GDPR de la Unión Europea y no sólo para los países de la Unión.
En efecto, el Artículo 3.2 señala respecto del Ámbito territorial: “El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión”.
La citada norma del Reglamento implica que éste se aplicará, sin importar si el tratamiento de datos se realiza o no en la Unión, en caso que dicho tratamiento tenga por objeto la oferta de bienes o servicios (gratuitos o pagados) o el “control del comportamiento” en ésta.
Esto debe leerse en conjunto con los considerandos 22, 23 y 24 del Reglamento. Especialmente el Considerando 23 aclara un punto importante al indicar que “Para determinar si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión”. En este punto, señala que si bien ciertos indicios como la mera accesibilidad del sitio web, una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como precisamente el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros y la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta efectivamente ofrecer bienes o servicios a interesados en la Unión.
Por su parte, en lo relativo al “estudio del comportamiento”, señala el Recital 24 que dicho estudio será objeto del Reglamento si el comportamiento tiene lugar en la Unión. Asimismo, profundiza en este ámbito señalando que para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.
En definitiva, para la Unión Europea, será aplicable el GDPR en la medida que el tratamiento de datos se realice para ofrecer productos o servicios en la Unión o se estudie el comportamiento de residentes en ella (entendiendo por residente un concepto coloquial más que jurídico).
En Caso de infracción, debemos entender que procederán la sanciones y responsabilidades establecidas en los artículos 77 y siguientes del Reglamento. Éstas, contemplan la indemnización de perjuicios y multas https://estadodiario.com/wp-content/uploads/2018/02/im4-1.jpgistrativas de hasta 20 millones de Euros o hasta el 4 % del volumen de negocio total anual global del ejercicio financiero anterior, pudiendo cada país establecer otras sanciones.
Una pregunta distinta es cómo hará la Unión para alcanzar a quienes estén fuera de ella. No existe una respuesta clara a este respecto, salvo la aplicación general del derecho internacional y de las normas procesales pertinentes de cada país. No obstante esta dificultad, es evidente que aquellos que pretendan estudiar el comportamiento de residentes en Europa y/o tratar su información para efectos de ofrecer bienes o servicios, son sujetos pasivos de las acciones, responsabilidades y sanciones dispuestas en el GDPR.
Lo cierto es que el Reglamento General de Protección de Datos de la Unión Europea es una regulación compleja y de alto estándar, que debemos tener presente en nuestro país al momento de realzar acciones a las que estábamos acostumbrados prácticamente sin control.