GDPR o LEYES LOCALES: el dilema de la proteccion de datos personales

Aprende del webinar sobre las reglas para vender usando WhatsApp

La General Data Protection Regulation (GDPR) tiene con los pelos de punta a prácticamente cualquier empresa que trabaja con datos en internet. Y también pone a estos negocios en una disyuntiva: ¿a qué conviene ajustarse? ¿A la GDPR o a la normativa local? ¿Hacer caso sólo a las excepciones o cumplir completamente con todo el reglamento? En esta nota vas a ver cómo los países latinoamericanos se están adecuando a esta normativa y, además, tendrás las palabras de un experto en GDPR que te explicará algunas cuestiones fundamentales del asunto. ¡No te pierdas este informe!

 

GDPR versus normativa local

 

📖 Su equipo legal ya le había avisado claramente que a partir de mayo de 2018 su empresa, que trabaja con un nutrido caudal de clientes europeos o residentes allí, tenía que adecuarse a una nueva reglamentación que iba a entrar en vigencia.

 

Su nombre era General Data Protection Regulation y promovía normas mucho más estrictas que el Privacy Shield y otras anteriores en cuanto a protección de los datos personales de los usuarios. Algo que es muy importante cuando de captar leads de calidad se trata.

 

Los abogados expertos en derecho informático fueron muy claros y le explicaron que las multas podían llegar a ser importantes si no se adecuaba. Es que, por más que estuviera radicado en América, la ley afecta a cualquiera que maneje datos de residentes europeos. Permanentes o en mero tránsito, como puede ser un viajero.

 

“Dejémoslo para más adelante”, les dijo. “Todavía no pasa nada, hay tiempo para adecuarse”, redondeó el gerente de marketing de esta empresa que se dedica a las exportaciones de materia prima hacia Europa y que, claro está, trabaja muchísimo con contenido orientado hacia europeos y clientes de dichas latitudes. Y, desde luego, maneja data personal de ellos. 

 

La reglamentación entró en vigencia y este marketer hizo caso omiso a las indicaciones de su equipo legal. No puso disclaimers, no modificó sus formularios y siguió manejando la información personal como siempre lo venía haciendo. Es decir, de acuerdo a la legislación de su país de origen.

 

De repente, un día le llegó la multa no sólo por no adecuarse al GDPR, sino también por ni siquiera intentarlo. Al menos, si los organismos de control hubiesen notado que estaba haciendo todo lo posible dentro de sus medios para cumplir con las nuevas reglas, tan sólo hubiese sido una advertencia. Pero no.

 

Ahora su empresa tiene que pagar una importante suma económica en multas, gastar mucho dinero de golpe en contratar personal que lo ayude a adecuarse y también tener que actuar mucho más rápido para ponerse en vigencia con las normas de protección de datos. 😫😫😫

 

Este que acabas de leer es tan sólo un caso de tantos que han sucedido e irán sucediendo inevitablemente en los próximos meses. Es que ya hace un tiempo que la GDPR está en vigencia y, por más que las normativas locales digan una cosa, cualquier negocio (por pequeño que sea), que se maneje en internet puede potencialmente o de hecho manejar datos que correspondan a usuarios europeos.

 

Así es como tu también te enfrentas a un gran dilema. ¿Con qué cumplir? ¿Con la ley local o con GDPR? ¿O mejor adecuarse con todo? ¿Vale la pena hacerlo? ¿Qué beneficios tendrás por realizarlo? Bueno, justamente todas estas cuestiones son las que se tratarán de esclarecer en este informe especial sobre la GDPR y su impacto.

 

GDPR versus normativas locales: ¿con cuáles cumplir?

 

GDRP o Ley Local: ¿con cuál cumplir?

 

Seguramente ya sabes bien de qué es GDPR, de qué se trata y todo lo que consigo ha llevado. Pero también es cierto que todavía hay muchísimas dudas en más de un aspecto de esta ley.  Tu mismo las debes tener, claro.

 

Una de las principales dudas es: ¿qué hacer con el cumplimiento de esta ley europea, sobre todo cuando tu y tu empresa están en Latinoamérica?

 

¿Tu comercio no está radicado en Europa y te preguntas si igualmente tienes que cumplir con la GDPR? Pues si recibes visitas y haces intercambio de información con residentes o personas que se encuentran en Unión Europea, sí. Y también deben hacerlo las aplicaciones y otras herramientas que usas, como para que la transparencia sea máxima. No hay muchas más vueltas que esas.

 

🚨 Pero a su vez, te enfrentas con un dilema claro: ¿cómo tienes que hacer para cumplir con GDPR y la ley general de protección de datos personales local? 🚨

 

Aquí está el punto bueno: no todos los países americanos, incluido los Estados Unidos, tienen una normativa vigente que sea tan estricta. Por ende, si te adaptas al GDPR, seguramente estarás cumpliendo con la normativa local.

 

Actualmente, los únicos territorios que estarían cumpliendo parcialmente con GDPR y que tienen el visto bueno de Europa son Argentina y Uruguay. El resto de los países tiene puntos que no son de coincidencia con lo que promueve esta nueva reglamentación. Y esto da pie a que algunos se acojan a determinada normativa y no le den mucha importancia a otras.

 

El tema es que si tienes internautas que provienen de Europa, ya tienes que adecuarte. Y no sólo tu, sino también el resto de aplicaciones y utilidades que uses y que puedan estar interfiriendo con tus datos, puesto que se juzga el paquete completo.

 

¿Y cómo debes actuar en estos casos? ¿Cumplir a rajatabla con GDPR? ¿Ampararse en las excepciones que te permite la ley federal de protección de datos del país en donde tu empresa está radicada? ¿Respetar a los dos?

 

Para eso hemos consultado a Julián Baños, el especialista en  GDPR de Sirena, persona que se ha encargado de ayudarnos a cumplir con toda la reglamentación y, por ende, de protegerte también a tí como usuario de la app en tus negocios.

 

Le hemos formulado una serie de preguntas para que todo pueda quedar más claro y que no tengas que pasar por ningún problema a la hora de adecuarte. Las dudas que tienes al respecto de la GDPR y las posibles colisiones que tiene con la normativa local, te las responde aquí.

 

GDPR es un requerimiento que tiene base en Europa. ¿En qué aspectos puede chocar con las normativas vigentes en países como la Argentina?

En Argentina existe una ley de protección de datos personales sancionada en el año 2000 (ley 25326) que a diferencia de GDPR toma como criterio el lugar en donde se almacenan los datos. Por su parte, GDPR se concentra más en el procesamiento en sí de los datos personales. Ambas coinciden en que se prohíbe el tratamiento de los datos sensibles (etnia, religión, política, orientación sexual, etc.) aunque mediante excepciones podrían llegar a tratarse.

 

Quizá uno de los puntos en los que chocan más es respecto al "derecho al olvido", que consiste en que el sujeto de los datos puede pedir ser borrado de todas las bases y sistemas de una compañía. Y tienen la obligación de hacerlo y que no quede ningún dato flotando que pueda llegar a vincularlo.

 

Otra cuestión en donde chocan es el derecho a la portabilidad. Esto es en virtud del cual toda persona tiene derecho a recibir los datos personales que le incumban que haya facilitado a un responsable del tratamiento y a transferirlos a otro responsable, sin que el anterior pueda impedirlo.

 

También GDPR establece el derecho por parte del sujeto de datos a exigir indemnización por daños causados por infracciones de parte del encargado o responsable de los datos. La ley argentina no contempla este caso.

 

En el caso de sitios web latinoamericanos: ¿con qué les conviene cumplir? ¿Con GDPR o las normativas respectivas de cada país?

Es bueno entender cuando se aplica GDPR y esto ocurre cuando los datos refieren a una persona que es europea, cuando la persona reside en Europa o cuando se acceden a los datos desde Europa.

 

En base a eso es sencillo darse cuenta cuando va a ser necesario cumplir con GDPR. Vale aclarar que es laborioso adecuarse a la normativa y es algo que consume bastante tiempo.

 

Es importante ver si el sitio web hace un tratamiento de datos que puedan llegar a incluirse dentro de los tres puntos mencionados anteriormente, si este es el caso se debe tratar de cumplir con GDPR o demostrar que se está en proceso.

 

¿Las empresas que conoce se están adecuando a ambas o le dan preferencia a alguna reglamentación en especial?


Las empresas que tienen clientes europeos o tienen en mente tenerlos buscan cumplir con GDPR, si este no es el caso tratan de adecuarse a las normativas locales que es relativamente más sencillo debido a que tienen menos cosas en cuenta. Vale recordar que la ley 25326 fue sancionada en el 2000 y quedó obsoleta por los grandes avances y la aparición de amenazas a los datos que en antes del 2000 ni se imaginaban que podían existir.

 

¿Qué equilibrio se puede lograr para cumplir con ambas reglamentaciones? ¿Es algo posible?

 

La ley 25326 se basó en una normativa española del año 1992 y como dije anteriormente ya quedó obsoleta, pero hay un anteproyecto de ley que busca actualizarla y hacerla acorde a GDPR y esto es principalmente debido a que el sistema de protección de datos personales de Argentina está fuertemente basado en el europeo, además de ser necesario adecuar la ley Argentina a las amenazas actuales. Por lo tanto es posible en un futuro cumplir con ambas ya que estarán muy relacionadas.

 

En el caso que el incumplimiento con alguno de los dos reglamentos (el local o la GDPR) sea imposible, al menos completamente: ¿qué sanciones o multas pueden llegar a ser más severas para la compañía?


Justamente uno de los puntos más fuertes y motivo por el cual se quiere implementar en muchas empresas GDPR es debido a las fuertes multas económicas que van desde 10 a 20 millones de euros o desde el 2% al 4% del volumen de ingreso anual de la empresa, lo que sea mayor, según la gravedad de la infracción.

 

Mientras que  en leyes como la argentina los números van de 20 a 2 mil dólares o cancelación de la base de datos. Se puede observar que las diferencias son enormes y el hecho de tener multas tan bajas en las leyes de Latinoamérica hace que muchas empresas prefieran pagar las multas correspondientes en vez de adecuarse.

 

🔥 Como has podido ver en base a las respuestas de Julián Baños, las interferencias entre las normativas vigentes en los países existen y son muchas. Pero todavía queda tiempo para la adecuación y es menester que comiences a hacerlo si manejas datos europeos. 🔥

 

¿Cómo se está cumpliendo la ley de protección de datos personales?

 

GDRP: ley de protección de datos personales

 

En Latinoamérica existen una gran cantidad de leyes puntuales de cada país destinadas a la protección de datos personales. Pero, como ya has visto, puntos de conflicto hay en casi todos los casos.

 

Todavía es muy pronto para determinar el acogimiento a la ley de protección de datos europea conocida como GDPR. Pero la lógica indica que se convertirá en un paradigma en el cual se apoyarán prácticamente todas las empresas. Es que parece lo lógico: son más de 450 millones los usuarios de internet que hay en Europa. Y no sólo esto, puesto que muchas empresas con gran potencial se ubican allí, siendo lo mismo en cuanto a tus potenciales clientes.

 

Además, hay una clara tendencia: el mundo mismo se ha dado cuenta que tiene que ir virando hacia lo que GDPR propone y en Latinoamérica son varios los países que ya han mostrado la mejor voluntad para ir colocándose detrás de esta normativa que pretende sentar jurisprudencia.

 

México es uno de los países que está en vías de adecuación con la GDPR. Actualmente cuenta con una ley general de protección de datos personales en posesión de sujetos obligados, como así también una ley federal de protección de datos personales en posesión de los particulares, firmadas en 2010. Pero ya en 2018 fueron invitados por la comisión europea para comenzar a plegarse y por esa vía están yendo.

 

Es decir: está lejos de hacer la vista gorda ante esta nueva legislación, y hasta incluso cuenta con un Instituto Nacional de Transparencia.

 

Lo mismo va para el caso de Brasil, quien desde julio de 2018 está con una ley de protección de datos en vigencia basada en lo que GDPR promueve. O, al menos, en sus puntos principales. Colombia y Chile también van en la misma dirección. Este último país, de hecho, introducirá la protección de datos personales en su Constitución Nacional.

 

En el caso de la ley argentina, el Dr. Baños fue muy claro al respecto y, si bien hay puntos de colisión con lo que propone la GDPR, este país y su vecino Uruguay ya tienen en marcha una adecuación completa a la ley para 2022, y así terminarán de formalizar en su totalidad.

 

Está clarísimo: toda América Latina va en pos de cumplir con lo que se propone en la GDPR más temprano que tarde.

 

Desde luego, el cumplimiento en Europa es de carácter total, al menos para el núcleo fuerte que integran los países de la Unión Europea. El caso quizás más conflictivo que se presenta en el continente europeo es el británico, puesto que se están enfrentando al Brexit y una posible salida de la UE.

 

Allí es donde se están produciendo la mayor cantidad de problemas, puesto que el país todavía no sabe si adecuarse o no. Pero, por el momento, no tiene muchas posibilidades de no hacerlo: por más que estén fuera de la UE, seguramente seguirán tratando y mucho con toda la Europa continental.

 

El caso norteamericano

Los que sí merecen una mención aparte son los Estados Unidos de América. Un mundo aparte y un mercado en sí mismo. Allí, las leyes de protección de datos en general son mucho más flexibles que las europeas. De hecho, Donald Trump firmó hace no mucho tiempo una que permitía la libre circulación de datos personales. Incluso daba la potestad a las empresas de comprar y vender esta información. Algo así como lo opuesto a lo que pretende GDPR.

 

Y el problema no es que se queda aquí precisamente: en los Estados Unidos, cada estado tiene su propia legislación vigente, siendo un sistema totalmente descentralizado de justicia. Otro caso completamente opuesto a lo que se está haciendo en Europa, que es poner de acuerdo a los diferentes países para que empleen la misma normativa. Acaso el estado de California, uno de los más importantes, es el que tiene una reglamentación similar al GDPR, de la mano del California Consumer Privacy Act (CCPA), casi una respuesta inmediata para poner las cosas a la altura europea.

 

Tampoco debe llamarte para nada la atención lo que hicieron alrededor de 1300 portales de noticias norteamericanos. No sólo que decidieron no adecuarse al GDPR, sino que para evitar problemas, directamente bloquearon el ingreso de internautas europeos para poder usar directamente su legislación local y centrarse en el público de su zona.

 

Quizás la cantidad de visitas que recibían de aquellos lares no les resultaba directamente relevante. Y no es que estamos hablando de pasquines de barrio: varios miembros de la cadena FOX, el Chicago Tribune o Daily News, entre muchos otros, están dentro de los que tomaron este camino.

 

Los números sobre GDPR

Una de las cosas más interesantes que hay en torno a la aplicación y entrada en vigencia de una reglamentación, son los datos que se desprenden de ella.

 

¿No es cierto? Tu también trabajas con ellos todo el tiempo y esto te servirá para darte cuenta cómo se viene promulgando esta ley y también las contrariedades que están surgiendo de ella.

 

  • El 61% piensa que GDPR traerá beneficios. De ellos, al menos el 21 por ciento espera mejoras significativas, tales como más negocios, mejor reputación y ventaja con respecto a la competencia.
  • El 60% de empresas consultas en un estudio, dijo que la GDPR les trajo cambios significativos en las formas de recolectar información de sus clientes.
  • El 70% de los consultados está pensando en nuevas soluciones y formas, con respecto al pasado inmediato, para ganar el consentimiento del lead.
  • El 78% de empresas norteamericanas que trabajan con internet buscó asesoramiento legal de cara al GDPR.
  • El 78% de compañías de los Estados Unidos tuvo que hacer modificaciones en sus notificaciones de privacidad.
  • El 40% de marketers afirmó que uno de los principales problemas de adecuarse al GDPR es la falta de presupuesto.
  • 450 millones de usuarios de internet suman entre los países pertenecientes a la Unión Europea.

 

GDPR: estadísticas y cifras

 

Cómo encarar tu protección de datos cumpliendo con toda la ley posible

 

Si quieres saber todo sobre la GDPR, cómo debes adecuarte, hacer la autoevaluación, los desafíos que enfrentas a la hora de adecuarse y muchas otras cuestiones referidas la implementación práctica de la ley, te recomiendo que leas estos dos artículos, donde todas estas cuestiones están explicadas al detalle.

 

 

Allí vas a encontrar todo lo que necesitas saber al respecto y no te voy a aburrir nombrando cosas que ya puedes leer mucho más al detalle, como para terminar de tener una idea bien clara de cuál es el rumbo que debes tomar para adecuarte a la ley.

 

Los Pros y Contras de adherirse a GDPR

Desde luego, adherir a GDPR le traerá muchos beneficios a tu empresa, empezando por evitar las suculentas multas que te pueden llegar a facturar desde Europa. Pero también algunos dolores de cabeza a la hora de adecuarte. Así, de buenas a primeras, estos son algunos de los pros y contras de la adecuación a esta norma.

 

✔ Beneficios:

  • 🥇 Te dará reputación, puesto que estás cumpliendo una ley buena para el usuario.
  • 📈 Le estarás ganando a tu competencia si te adecuas rápidamente. Incluso puedes mostrarlo como un logro ante tu público, puesto que los estás protegiendo.
  • 🔐 Mejorarás la seguridad de tus sitios de manera automática. Esto es algo que te da confiabilidad.
  • 😎 Los leads que te llegarán mediante la obtención de datos legales y “limpios” son de mucha mejor calidad.

 

❌ Contrariedades:

  • 💲 Puede llegar a costar bastante dinero en asesorías técnicas y legales.
  • 📅 No es algo que puedas hacer de un día para el otro y te llevará su tiempo.
  • 📄 Vas a tener que cambiar muchas cuestiones en tus sitios web, desde formularios hasta la búsqueda del consentimiento del usuario.
  • 📲 Ya no te resultará tan fácil como antes conseguir información de los usuarios para generar leads.

 

En Sirena, desde luego, hemos y estamos tomando todas las precauciones necesarias para adecuarnos al GDPR y para que ninguno de nuestros clientes pase sobresaltos por este tema. Porque, recuerda, no sólo tiene que ver con lo que haces, sino también con lo que hacen los terceros involucrados en tu trabajo directo.

 

¿Y cómo hace Sirena para cumplir con GDPR y estimular el cumplimiento de sus clientes? Pues siguiendo estos tres pasos fundamentales:

 

  • En primer lugar, hacemos un relevamiento de todos los clientes que tenemos, en donde se toma nota desde su procedencia, hasta el tipo de manejo de datos personales que realizan.
  • En segunda instancia, le damos charlas informativas y todo el apoyo que sea necesario para que nuestros clientes se vayan adecuando y tengan en cuenta las medidas que deben tomar, como así también las alternativas que tienen para mejorar su seguridad y manejo de datos. Siempre cumpliendo con la normativa vigente.
  • Finalmente, se integran todas las mejoras realizadas y se verifica el cumplimiento de las reglamentaciones por parte de nuestros clientes. Si todos cumplimos, no habrá sanciones para nadie y todos podremos disfrutar de las mejoras a largo plazo que brinda la GDPR.

 

Qué hacer si no manejas público europeo

Si decides no acogerte a la GDPR, tienes que tener en cuenta una cosa muy importante: deberías seguir el ejemplo de los portales norteamericanos y bloquear todo ingreso posible a IP provenientes de Europa.

 

Es que si no lo haces, estás corriendo el riesgo de violar la ley, aún así sean un puñado de visitantes mensuales los que recibas desde aquellas latitudes.

 

También, al no cumplir con la GDPR, corres con un serio riesgo: tu sitio web, proyecto o aplicación no podrá trabajar con los clientes locales que tengas cuando se encuentren en territorio europeo. Ni tampoco podrás relacionarte con empresas que sí lo hacen, puesto que serás visto como un peligro para los que están ya adecuados a estas normas.

 

Está clarísimo y es completamente comprensible que se trata de un proceso de adaptación costoso y que lleva un tiempo. Pero puede terminar siendo muy perjudicial para tu negocio el hecho de no adecuarte a las normas.

 

GDPR: en qué casos adecuarse

 

 

Conclusiones: Por qué adaptarse al GDPR será adaptarse (también) a la normativa local

 

GDPR: por qué adaptarse

 

El impacto de la GDPR está siendo tan grande en todos los tipos de ley de protección de datos del resto del mundo que terminará siendo, poco más, poco menos, un precedente legal al que todo el mundo se terminará adaptando, en cierta forma. Ya has visto que toda Latinoamérica va rumbo a cumplir con la ley, además de la plena vigencia que tiene en Europa.

 

Puede que el mundo legal, en otro momento, se mueva hacia otro tipo de sentencias y formas. Pero, de momento, GDPR va camino a ser un estándar. 

 

Sí, está bien, has encontrado casos en donde hay muchos que se amparan en las excepciones o directamente optan por bloquear por completo a los navegantes que provienen de la UE. Pero lo cierto es que, de una forma u otra, siempre los datos europeos terminan siendo determinantes para sitios web en español. Y más cuando hay mucho público hispanoparlante en todo el viejo continente.

 

Pero, sin duda alguna, la tendencia es clara: la GDPR terminará siendo una influencia clave en TODA la legislación informática del mundo. Y, a la larga, vas a tener que adaptarte a ella, porque es lo que se viene indiscutidamente y quien no lo haga quedará fuera de juego.

 

Esto es lo que aprendiste en este informe especial de GDPR vs. Legislación local:

 

  • La GDPR se viene con todo en el mundo entero y ya todos los países europeos la toman como norma estricta a la hora de manejar datos personales.
  • Las leyes latinoamericanas están buscando adaptarse a estas normas y van en camino de hacerlo. Incluso países como Argentina y Uruguay vienen bastante avanzados con este tema.
  • Los Estados Unidos son un caso aparte y, si bien vienen adaptándose lo más bien, hay muchos sitios y portales que decidieron trabajar únicamente con público no europeo para no plegarse a la reglamentación.
  • Si quieres estar fuera de la GDPR, deberías bloquear cualquier tipo de acceso a clientes y visitantes europeos, con la correspondiente pérdida que ello supone para los negocios.
  • Te puede llevar tiempo y dinero, pero los beneficios a largo plazo serán muy buenos. El primero de ellos: evitarás las dolorosas multas de la Unión Europea.

 

Y como bien ya sabes, no debes temer en absoluto en contar con Sirena como aliado, puesto que aquí ya hemos decidido hace rato adaptarnos al GDPR y cumplir con toda la normativa. Como para que ninguno de nuestros usuarios tenga que pasar sobresaltos y se cumpla todo lo que hay que cumplir.

 

Así que, ya sabes: si tu contenido, tus negocios o la “pesca” de datos que haces para potenciales leads está relacionadas en algún punto u otro con Europa, lo mejor es cumplir. Dalo por hecho, también estarás cumpliendo con las leyes locales.

 

¿O te vas a exponer a multas, mala reputación y dejarás a tu negocio expuesto como un forajido que quiere malversar información personal que no debe ser tratada de tal forma?

 

Deberías pensarlo dos, tres o todas las veces que sea necesario. 😉😉

 

Temas: Omnicanalidad, 1. Aprendizaje y Descubrimiento

Aprende del webinar sobre las reglas para vender usando WhatsApp

0 Comentarios