PUBLICIDAD
PUBLICIDAD

Las multinacionales con intereses en Europa están obligadas cumplir el Reglamento de Protección de datos

Richard Salgado de Google y José Luis Piñar, director Cátedra Google CEU en el momento de la intervención del primeroRichard Salgado de Google y José Luis Piñar, director Cátedra Google CEU en el momento de la intervención del primero.
|

La presencia de Richard Salgado, director mundial de Law Enforcement and Information Security de Google, hablando de las relaciones entre innovación tecnológica y Derecho, en la V Conferencia Internacional de la Catedra Google CEU, ha llevado a CONFILEGAL a iniciar un debate sobre cómo empresas multinacionales con intereses en Europa se van a adaptar al Reglamento Europeo de Protección de Datos.

 

PUBLICIDAD
PUBLICIDAD

 

Un Reglamento que, además de aplicarse a encargados de tratamiento de datos establecidos en la Unión Europea,  se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión.

Esto hace entonces que multinacionales como Facebook, Amazon o Google  y otras muchas con intereses en Europa, pese a que no tengan filiales en algunos países del Viejo Continente,  que hasta ahora estaban exentas,  se vean ahora de lleno inmersas en el cumplimiento del citado Reglamento. Como uno de los elementos que ayudará al cumplimiento son las cuantiosas multas que figuran en el RGPD y de las que CONFILEGAL ya profundizó en otro reportaje.

PUBLICIDAD

En busca del régimen fiscal más favorable en Europa

En opinión de Borja Adsuara , profesor, abogado, consultor, experto en derecho y estrategia digital,  las multinacionales ahora obligadas por el RGPD “tendrán que tener una delegación en la UE y someterse a la regulación y la jurisdicción europea, eligiendo para ello el país en el que la aplicación del RGPD sea más benévola. Lo cual, sin duda, tendrá que ver con el lugar en el que el régimen fiscal también sea más favorable”. 

El tradicional proteccionismo europeo, no sólo en datos personales,  puede llegar a bloquear o, incluso, a impedir que surjan nuevos negocios digitales

PUBLICIDAD

Para este experto lo que más les cuesta entender a las compañías multinacionales de fuera  de la UE es “que el tradicional proteccionismo europeo , no sólo en datos personales,  puede llegar a bloquear o, incluso, a impedir que surjan nuevos negocios digitales, basados en el Big Data. No hay una visión general de la gestión de los datos, en la que hay que conciliar la libre circulación de éstos, imprescindible para los negocios digitales, con la debida protección de los derechos de sus titulares. Y no olvidemos que en internet no sólo compiten empresas, sino también marcos regulatorios y Europa no puede quedarse atrás en la Economía Digital”.

PUBLICIDAD

Para Adsuara  “el reto más importante del RGPD y de la adaptación a éste de las empresas (tanto europeas como multinacionales) y de las AAPP es entender que las normas europeas y la propia UE tienen como fin la creación de un espacio y mercado de libre circulación (de personas, mercancías, contenidos y también de datos) con todas las garantías para los derechos de los ciudadanos de la UE”.

Desde su punto de vista, “el peligro de la adaptación del RGPD a las legislaciones de los Estados miembros de la UE es que se frustre la finalidad de la armonización del marco regulatorio en esta materia y, al final del proceso, tengamos no una, sino 28 regulaciones, cada una con sus especificidades; lo que frustraría el objetivo de un Mercado Único Digital europeo y de una Economía del Conocimiento”.

Peligro de conflicto entre el RGPD y Reglamento e-privacy

Para Paula Ortiz, directora Jurídica y de Relaciones Institucionales de la patronal IABSpain “El RGPD tiene aspectos positivos que afectarán a las multinacionales. El primer de ellos es que, en principio, la norma está pensada para armonizar las diferentes legislaciones, lo que facilitará el cumplimiento, comparado con una adaptación a 28 mercados. Por otro lado, el sistema de ventanilla única, y tener sólo una autoridad de protección de datos como interlocutora puede resultar de gran ayuda”.

Para esta jurista “el cambio en el enfoque es tan profundo y sustancial que los equipos jurídicos de las organizaciones están trabajando a pleno gas pero a la espera de instrucciones más precisas sobre cómo se van a interpretar muchos de los preceptos”.

Y señala que “hay áreas que en las que hay que trabajar en detalle, pero que quizás son más fáciles de comprender y ejecutar. Pero otras novedades supondrán cambios estructurales en los que existe una tensión; cumplir con la norma, y poder seguir innovando. Los nuevos requisitos del consentimiento, el derecho de portabilidad son algunos de los elementos que más costará llevar a cabo”.

PUBLICIDAD

Para Ortiz habrá que ver como se compagina el RPGD con la aprobación del Reglamento de e-privacy, “cuya tramitación está siendo muy rápida comparada con la aprobación del RGPD, y cuyas consecuencias son todavía difíciles de prever. A menos de un año de la adopción del RGPD, y sin esperar a ver si este texto tiene lagunas en la protección de los usuarios, tenemos otra propuesta de ley que se refiere casi al mismo ámbito de aplicación”.

A su juicio “Con esta norma en la mano tal y como está redactada a día de hoy, en según qué empresas, y dependiendo de la complejidad de sus tratamientos puede haber áreas en las que, sencillamente, el cumplimiento no sea viable”.

Sobre la propuesta de e-privacy que sustituiría a la actual ley de cookies “reduciría las múltiples bases legales para el tratamiento de datos establecidas en el RGPD a únicamente el consentimiento.” Y añade que “si se adopta el reglamento de e-Privacy propuesto, todas las actividades de Internet se verán afectadas y por tanto, estarán sujetas al consentimiento, siendo privados de otras bases jurídicas previstas en el RGPD y en particular el fundamento jurídico del interés legítimo.”

Habrá que ver cómo se compagina el RPGD con el futuro Reglamento de e-privacy  

Nuestra interlocutora recuerda que “el entorno digital es un entorno de intermediarios y terceras empresas que no tienen un contacto directo con el usuario, por lo que difícilmente pueden recabar ese consentimiento en toda la cadena de valor. Además, habrá que analizar si el consentimiento en internet cumple todos los requisitos del RGPD, y entre ellos el requisito de libremente dado”.

Respeto a las multinacionales de publicidad digital destaca que “el requisito de información previa puede acabar con el modelo de negocio. Tal y como está configurado actualmente el mercado mundial de la publicidad digital en tiempo real, técnicamente es imposible que el usuario disponga de información previa de cada responsable implicado”.

En definitiva, si el futuro Reglamento de e-Privacy hace que todas las interacciones en internet estén sujetas únicamente al consentimiento y el consentimiento no es viable, no habrá base legal para dicho tratamiento, por lo que la cuestión va más allá de la dificultad en el cumplimiento, si no de imposibilidad.

Mucha expectación en esta jornada sobre el RGPD. Entre los invitados Margarita Uría, directora de la Agencia Vasca de Protección de Datos, segunda por la izquierda.

Necesidad de contar con expertos en privacidad para afrontar este reto

Para Marcos Judel, socio de AUDENS y vicepresidente de APEP, estamos en un momento de planificación. Aunque el Reglamento General de Protección de Datos de la Unión Europea se aprobó el 25 de mayo de 2016, como sabemos, no será de aplicación hasta mayo de 2018, lo que da un cierto margen para que las empresas puedan conocer el alcance e implicaciones del nuevo modelo que exige la norma”.

Si no hay armonización en la UE, las empresas multinacionales podrían tener que aplicar distintos criterios en la recogida o tratamiento de datos según el país al que se dirijan

Nuestro interlocutor señala que “es evidente que en la actualidad muchas organizaciones están analizando sus estructuras, sus modelos de negocio, el tipo de tecnologías y tratamientos de datos que hacen para determinar cómo van a tener que adaptarse a partir del 25 de mayo de 2018. Pero lo que está claro es que van a necesitar realizar inversión en recursos humanos: profesionales de la privacidad, internos o externos para que les ayuden en ese tremendo reto”.

Sobre lo que más le va a costar a dichas multinacionales a la hora de cumplir con la normativa europea, Judel indica que “a pesar de que se trata de un Reglamento Europeo, de aplicación directa en los 28 estados miembro de la UE, lo cierto es que requiere de un cierto desarrollo y de aclaraciones en algunos aspectos particulares”.

Dichas aclaraciones indica este jurista  “ se deja en manos de cada estado miembro, en actos delegados de la propia Comisión e incluso en el futuro Comité de Protección de Datos de la UE, algo que implica de facto una cierta falta de armonización, por lo que este es una de las cuestiones que a las empresas multinacionales o con mercados internacionales, más les puede costar: tener que aplicar distintos criterios en la recogida o tratamiento de datos según el país al que se dirijan”.