Guía para la expansión internacional

Tecnología

Específicas en función del sector y del estado

Estados Unidos cuenta con varias leyes nacionales de privacidad y/o seguridad de datos específicas del sector, aplicables a las instituciones financieras, las empresas de telecomunicaciones, la información personal médica, la información crediticia, la relativa a menores, o telemarketing. Sin embargo, también cuenta con cientos de leyes relevantes a nivel estatal y territorial. Entre ellas se encuentran los requisitos de: salvaguarda, eliminación, políticas de privacidad, uso adecuado de los números de la Seguridad Social y notificaciones de violaciones de datos. Sólo en California existen más de 25 leyes distintas sobre privacidad y seguridad de datos.Además, la Comisión Federal de Comercio (FTC) tiene jurisdicción sobre toda una gama de sectores comerciales fijada con el objetivo de proteger a los consumidores de las prácticas comerciales desleales o engañosas. La FTC emite reglamentos para hacer cumplir ciertas leyes de privacidad, y toma medidas contra las empresas que:

• No apliquen medidas razonables de seguridad de los datos.
• Hagan declaraciones inexactas sobre la privacidad y la seguridad, incluso en las políticas de privacidad.
• No respeten los principios de autorregulación aplicables del sector.
• Transfieran (o intenten transferir) información personal a una entidad adquirente en una operación de desinversión o de M&A, de una manera que no se haya revelado expresamente en la política de privacidad del consumidor aplicable.
• Violen los derechos de privacidad de los consumidores al recopilar, utilizar, compartir o no proteger adecuadamente la información de los mismos.

Aunque en EE.UU. no se aplican restricciones a la transferencia entre países, excepto en lo que respecta al almacenamiento de algunos registros e información gubernamental, es recomendable contar con asesoría jurídica al respecto.

LGPD

La Ley General de Protección de Datos (LGPD) de Brasil (articulada bajo la Ley Federal nº 13.709/2018) está en vigor desde septiembre de 2020, aunque las sanciones no se pusieron en marcha hasta agosto de 2021, dando a las empresas un período de gracia para mejorar sus procedimientos y sistemas. La LGPD es la primera regulación integral de protección de datos de Brasil y está alineada con el RGDP.

La LGPD se aplica a cualquier operación de tratamiento de datos llevada a cabo por una persona física o jurídica, en lo relativo a derecho público o privado -independientemente de los medios utilizados para el tratamiento, el país en el que se encuentra su sede, o el país en el que se encuentran los datos- siempre que:

• La operación de tratamiento se lleve a cabo en Brasil
• La actividad de tratamiento tenga por objeto la oferta o prestación de bienes o servicios, o el tratamiento de datos de personas físicas situadas en Brasil, o los datos personales se hayan recogido en el país.

Cuando se trata de transferencias de información, al igual que el RGPD, Brasil exige que se cumpla la LGPD y que se obtenga el consentimiento previo, específico e informado salvo en los siguientes casos:

• La transferencia sea a países u organizaciones internacionales con un nivel adecuado de protección de datos personales.
• Existan garantías adecuadas de cumplimiento de los principios y derechos del interesado previstos en la LGPD, en forma de:
  • Cláusulas contractuales específicas para una determinada transferencia
  • Cláusulas contractuales estándar
  • Normas corporativas globales
  • Certificados y códigos de conducta emitidos periódicamente.
• La transferencia es necesaria para la cooperación jurídica internacional entre organismos públicos de inteligencia, investigación o fiscalía.
• La transferencia es necesaria para garantizar la seguridad o la integridad del interesado o de un tercero.
• La Autoridad Nacional de Protección de Datos (ANPD) ha dado su autorización.
• La transferencia está sujeta a un compromiso asumido con el objetivo de cooperación internacional.
• La transferencia es necesaria para la ejecución de una política pública o atribución legal de servicio público.
• La transferencia es necesaria para el cumplimiento de una obligación legal o reglamentaria, la ejecución de un contrato o procedimientos preliminares relacionados con un contrato, o el ejercicio regular de derechos en procedimientos judiciales, administrativos o de arbitraje.

Al igual que con el RGPD, se recomienda obtener asesoramiento legal antes de transferir datos a/o desde Brasil.

Ley Federal de Protección de Datos Personales

La Ley Federal de Protección de Datos Personales en Posesión de Particulares entró en vigor el 6 de julio de 2010. A este reglamento le siguieron otras siete directivas, de 2011 a 2018, todas las cuales profundizan en las especificidades de la Protección de Datos. En resumen, la normativa se aplica a todo tratamiento de datos personales cuando:

• El responsable del tratamiento esté ubicado en territorio mexicano.
• Independientemente de su ubicación, si el tratamiento se realiza por cuenta de un responsable mexicano.
• Cuando la legislación mexicana sea aplicable como consecuencia de la adhesión de México a un convenio internacional o de la ejecución de un contrato (aunque el responsable del tratamiento no esté ubicado en México).
• Cuando el responsable del tratamiento no se encuentre en territorio mexicano, pero utilice medios ubicados en México para el tratamiento de datos personales, salvo que dichos medios se utilicen únicamente para fines de tránsito.

La Ley sólo se aplica a las personas físicas o jurídicas que traten datos personales, y no al gobierno, a las sociedades de información crediticia regidas por la Ley Reguladora de las Sociedades de Información Crediticia, ni a las personas que realicen la recolección y almacenamiento de datos personales exclusivamente para uso personal (y no se divulguen para uso comercial).

En cuanto a las transferencias de datos, cuando el responsable del tratamiento pretenda transferir datos personales a terceros nacionales o extranjeros distintos del encargado del tratamiento, deberá facilitar a los terceros el Aviso de Privacidad facilitado al interesado y detallar los fines a los que el interesado ha limitado el tratamiento de los datos. El tratamiento por parte del tercero debe ser coherente con lo acordado en el Aviso de Privacidad, que contendrá una cláusula en la que se indique si el interesado está de acuerdo o no con la transferencia de sus datos. El tercero receptor asume las mismas obligaciones que el responsable del tratamiento que ha transferido los datos.

Las transferencias nacionales o internacionales de datos personales pueden llevarse a cabo sin el consentimiento del interesado cuando la transferencia sea:

• Conforme a una ley o tratado del que México sea parte.
• Necesaria para el diagnóstico médico o la prevención, la prestación de servicios de salud, el tratamiento médico o la gestión de servicios de salud.
• Realizada a la sociedad controladora, subsidiarias o filiales bajo el control común del responsable del tratamiento, o a una sociedad matriz (o cualquier sociedad del mismo grupo) del responsable del tratamiento, que opere bajo los mismos procesos y políticas internas del responsable del tratamiento.
• Necesario en virtud de un contrato ejecutado entre el responsable del tratamiento y un tercero en interés del interesado.
• Necesario o legalmente requerido para salvaguardar el interés público o para la administración de justicia.
• Necesario para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial.
• Necesario para el mantenimiento o el cumplimiento de una obligación derivada de una relación jurídica entre el responsable del tratamiento y el interesado.

El Reglamento establece que el interesado no necesita ser informado ni consentir las comunicaciones o transmisiones de datos personales a los encargados del tratamiento. Sin embargo, el procesador de datos debe hacer todo lo siguiente

• Tratar los datos personales sólo de acuerdo con las instrucciones del responsable del tratamiento.
• No tratar los datos personales con una finalidad distinta a la indicada por el responsable del tratamiento.
• Aplicar las medidas de seguridad exigidas por la Ley, el Reglamento y otras leyes y reglamentos aplicables.
• Mantener la confidencialidad de los datos personales objeto de tratamiento.
• Suprimir los datos personales tratados una vez finalizada la relación jurídica con el responsable del tratamiento o cuando éste lo ordene, salvo que exista un requisito legal para la conservación de los datos personales.
• No transferir los datos personales a menos que lo ordene el responsable del tratamiento, que la comunicación se derive de una subcontratación o que lo exija una autoridad competente.

Se recomienda pedir consejo a los socios legales antes de transferir datos a o desde México.

GDPR

Como parte de la UE, el Reino Unido aplicó originalmente las leyes del GDPR de la UE. Tras el Brexit, el Gobierno del Reino Unido ha transpuesto el GDPR a la legislación nacional del Reino Unido, creando el GDPR del Reino Unido a principios de 2021. Aunque la ley tiene una serie de diferencias técnicas con el original, las obligaciones materiales de los Controladores y Procesadores de Datos son esencialmente las mismas que la versión de Europa.Complementando el GDPR del Reino Unido está la Ley de Protección de Datos 2018 (DPA), que se ocupa de algunos asuntos exentos del GDPR de la UE, y fusiona algunas otras regulaciones de la UE en la ley del Reino Unido. Por ejemplo, la Parte 3 de la DPA cubre la Directiva de Aplicación de la Ley de la UE ((EU)2016/680), creando un régimen específicamente para el procesamiento de datos personales de la aplicación de la ley.

El GDPR del Reino Unido, al igual que su equivalente europeo, se aplica a cualquier organización que procese datos personales de los interesados dentro del Reino Unido, incluyendo la “oferta de bienes y servicios” y el “seguimiento de su comportamiento”.

En lo que respecta a las transferencias de datos, el Gobierno británico está facultado para tomar una decisión de adecuación, lo que implica que el Secretario de Estado determine que el tercer país ofrece un nivel adecuado de protección de datos y los datos personales pueden transferirse libremente. Los países que figuran actualmente en la lista se han extraído directamente de la versión de la UE, y el Reino Unido considera adecuados a todos los Estados miembros de la UE y del Espacio Económico Europeo, al menos por el momento. Todas estas decisiones de adecuación se reevaluarán antes de que finalice 2024.

También hay una lista de salvaguardias adecuadas para permitir las transferencias de datos a terceros países, al igual que el GDPR de la UE, y el anexo 21 de la DPA permite que las cláusulas contractuales estándar aprobadas por la Comisión de la UE sigan utilizándose para las transferencias en el marco del GDPR del Reino Unido, hasta que sean sustituidas por cláusulas emitidas por el Gobierno británico.

Se recomienda que todas las empresas adopten una postura firme en materia de privacidad y seguridad de los datos. Es un tema serio y requiere protecciones tanto para los datos de los clientes como de las empresas. En nuestro mundo hiperconectado, y en un momento en el que cada vez más empresas y particulares confían sus datos personales a los servicios en la nube, las violaciones de datos son un desafortunado hecho habitual que debe prevenirse.