Blog

Por: Sol Beatriz Calle D´Aleman, Ph.D

Velasco & Calle D´Aleman Abogados

Resumen:  La vigencia del nuevo Reglamento Europeo de Protección de Datos Personales 679 de 2016 exige su cumplimiento para terceros no ubicados en territorio de la Unión Europea, bien en calidad de Responsables o de Encargados, que traten datos de ciudadanos europeos como consecuencia de la prestación de sus servicios o venta de productos en la Unión; así como en los casos en que se haga seguimiento al comportamiento de dichos ciudadanos. Esta extensión de cumplimiento concretamente de cara al reporte de incidentes de seguridad, confronta dos términos diversos: el de 72 horas previsto en la norma europea y la de 15 días que contempla la ley Colombiana. Esta confrontación obliga a que las empresas colombianas determinen si se les debe aplicar el Reglamento y adoptar un programa de gestión de seguridad de la información que les permita conocer los riesgos que se afrontan frente al Reglamento y cual será su forma de mitigación.

Abstract: The validity of the new European Regulation for the Protection of Personal Data 679 of 2016 requires compliance for third parties not located in the territory of the European Union, either as Responsible or Managers, who process data of European citizens as a result of the provision of their services or sale of products in the Union; as well as in cases in which the behavior of said citizens is followed up. This extension of compliance specifically with regard to the reporting of security incidents, confronts two different terms: the 72-hour period foreseen in the European standard and the 15-day period contemplated by the Colombian law. This confrontation obliges Colombian companies to determine if the Regulation should be applied to them and adopt an information security management program that allows them to know the risks that are faced with the Regulation and what their mitigation will be. 

El mundo entero, en materia de privacidad. está a la expectativa del impacto en los negocios como consecuencia de la aplicación del Reglamento Europeo 679 de 2016 de Protección de Datos Personales que inició su vigencia el pasado 25 de mayo de 2018 y que obliga a los responsables (controladores) y a los encargados (procesadores) a tener en cuenta sus prescripciones cuando se ofrezcan servicios o productos y por ende se tratan datos de ciudadanos europeos por fuera del territorio de la Unión, o bien cuando monitorean el comportamiento de ciudadanos europeos, lo que gracias a la actual tecnología de analítica incorporada al Internet de las cosas y aplicada a las tecnologías tradicionales, hace muy probable que muchas empresas y entidades en Colombia cumplan con estos supuestos.

Uno de los escenarios mas frecuentes en los que pueden darse estas situaciones, se encuentra con el acceso y/o implementación de tratamiento de información en la nube o adopción de tecnología “cloud” como se le conoce de forma general. Los proveedores de esta tecnología en la mayoría de los casos asumen la calidad de encargados, en términos del reglamento europeo, procesadores de la información, calidad que puede definirse incluso cuando el tratamiento se limita al almacenamiento.

La cuestión problemática que en muchos casos empresariales se observa, es la negociación de contratos con proveedores de tecnología de nube y la previsión de que se gestionen incidentes de seguridad sobre la información de carácter personal que se encuentre alojada en servidores por fuera de Colombia. Obviamente los proveedores de tecnología de nube argumentan la seguridad de sus centros de datos y de sus aplicaciones pero no están exentos a que deban afrontar incidentes de seguridad especialmente desde una definición amplia de estos; pruebas de ello son los incidentes experimentados por muchos de ellos y conocidos por la comunidad.

En tal contexto y tal como lo expresa el artículo 32 del reglamento, se deben adoptar las medidas necesarias (acorde con los niveles de riesgos detectados sobre los datos) para otorgar la seguridad correspondiente a los datos personales que se tratan. Y el artículo 33 del mencionado reglamento determina un término de 72 horas para notificar a la autoridad de control sobre la ocurrencia del incidente de seguridad, sin dilación indebida. Solo contempla como excepción a este término, que la violación a los códigos de seguridad no constituya un riesgo real para los datos personales. Debiendo advertirse la posibilidad de que las autoridades validen el compromiso  o no respecto de los datos personales.

Las normas colombianas en igual sentido, contemplan el principio de seguridad y la necesidad de adoptar todas las medidas de seguridad necesarias para asegurar los datos e información personal tratada, así como la obligación, para responsables y encargados, de reportar y gestionar los incidentes de seguridad. A diferencia de la norma europea, la colombiana otorga un término de 15 días siguientes a la ocurrencia del incidente para reportarlo a la autoridad de control y por tanto gestionarlo. Pero ¿que sucede si la empresa colombiana trata datos de europeos como consecuencia de un modelo basado en la Nube?

Sólo visto desde la perspectiva del término para reportar el incidente, el Reglamento Europeo prevé 72 horas, mientras la directriz Colombiana prevé 15 días. ¿Tratándose de datos de ciudadanos europeos en el marco de servicios que se desarrollan en la Nube debe seguirse el Reglamento?, es decir, ¿prevalece la norma europea y debe la empresa colombiana preparase para gestionar y notificar el incidente en 72 horas?

Frente a estas nuevas cuestiones parece desdibujarse las fronteras legales sentadas por la aplicación territorial de las normas. En materia de privacidad las fronteras estarán determinadas por la capacidad de las empresas de demostrar el cumplimiento por las normas (¿acaso globales?), es decir, la responsabilidad demostrada, o proactiva (como la denomina el Reglamento), lo que supone mirar mas allá del simple cumplimiento y entender la privacidad como un habilitador de los negocios globales actuales, especialmente cuando el Reglamento Europeo puede tener efectos jurídicos en las empresas colombianas que pretendan ampliar sus mercados hacia la Unión.