¿Qué es GDPR? Vital para la protección de datos
Innovación

¿Qué es GDPR? Vital para la protección de datos

Conocer qué es la GDPR es algo importante para cualquier integrante del Ecosistema de Justicia Integral; se trata de un marco jurídico que ha sentado las bases para el uso correcto y la protección de datos personales en todo tipo de industria, incluyendo la legal.

En efecto, dichas normativas vienen a solventar la debilidad jurídica de las personas, y así brindarles la seguridad de que sus datos están siendo administrados y gestionados con las mejores prácticas y cuidado para evitar que caigan en manos equivocadas.

Siga leyendo, en este artículo encontrará:

  • Qué es la GDPR;
  • Cuáles son sus principios y detalles más resaltantes;
  • Por qué sirve de sustento a todos los países de América Latina para elaborar leyes análogas para la defensa cibernética de los ciudadanos;
  • y, por último, cuál es la importancia de contar con este cuerpo legal para la incorporación de nuevas tecnologías en el Poder Judicial.

¿Qué es la GDPR?

La General Data Protection Regulation (GDPR) o «Reglamento General de Protección de Datos» (RGPD), por su traducción literal, es un cuerpo normativo que se encarga de regular el tratamiento de los datos personales tanto en Europa, como en el caso de países que quieran hacer negocios con cualquier país europeo.

Esta novedosa legislación sustituye a los estatutos nacionales de la región, como lo es la Ley Orgánica de Protección de Datos española (LOPD).

Para comprender qué es la GDPR, primero hay que entender que su intención es que la protección de datos se aplique de manera uniforme en todos los Estados miembros de la Unión Europea (UE), intentando adaptar la ley a los avances tecnológicos.

Su entrada en vigencia fue el 25 de mayo de 2016, no obstante, un dato curioso es que su aplicación inició de forma efectiva e imperativa a partir del 25 de mayo de 2018, es decir, hubo 2 años de vacatio legis.

Siguiendo esta misma línea, la RGPD supone un cambio total de enfoque, pasar de un modelo basado en la redacción de cláusulas y documentos de seguridad a uno donde la palabra clave es la rendición de cuentas, que va más allá del mero cumplimiento de la ley.

En paralelo, las empresas tienen que crear procedimientos para cumplir con sus obligaciones y poder mostrar cómo se aplican en la práctica.

¿Qué dice la GDPR de la información personal?

La GDPR se limita al tratamiento de datos personales de personas físicas. No afecta a la información relativa a las personas jurídicas (empresas), pero sí a los datos de sus empleados o directivos.

Teniendo esto en cuenta, podemos entender a los datos personales como toda la información relativa a una persona física cuya identidad pueda ser aclarada, ya sea de modo directo o indirecto. En otras palabras, pudiera conocerse a este sujeto como «sujeto de los datos».

Toda esta información, sea de cualquier nivel, desde las más inocentes que nos parezcan, hasta las que tienen un alto grado de confidencialidad, merecen protección plena, y se requiere un cuidado especial cuando procesamos «categorías especiales de datos personales» (datos sensibles o confidenciales).

Entonces, ¿qué podemos entender por datos sensibles?

Los datos sensibles son, en esencia, toda información sobre una persona que revele aspectos personalísimos como, por ejemplo, origen étnico o racial, datos genéticos, biométricos, que se utilicen para identificar inequívocamente a un sujeto.

¿Qué establece sobre el procesamiento de datos?

El procesamiento de datos es cualquier operación que sea ejecutada sobre información personal o respecto a un grupo de datos sensibles, sean o no para procedimientos automatizados (recogida, organización, consulta, uso, almacenamiento, alteración, destrucción, etcétera).

Igualmente, se le conoce como «tratamiento de datos», y abarca también el mero almacenamiento de datos en un ordenador.

Las empresas afectadas por la GDPR son aquellas que traten datos de carácter personal y que estén domiciliadas en la Unión Europea, o cuyos servicios estén dirigidos a ciudadanos de la UE —que vengan de países de todo el mundo—. El Reglamento los divide en dos categorías, según la función que desempeñen:

  • Responsables del tratamiento, cuando sean capaces de tomar decisiones sobre qué datos serán tratados, para qué fines y con qué medios.
  • Encargados del tratamiento, si tratan información por cuenta de un tercero.

Principios contenidos en la GDPR

Los principios en los que se basa el Reglamento incluyen modificaciones y novedades muy significativas si lo comparamos con los reglamentos de los países integrantes que ya habían legislado sobre la materia, entre las que cabe destacar las siguientes:

  • Los proveedores de servicios que procesan datos personales para terceros asumen responsabilidades mucho mayores. Como procesadores de datos, su mayor desafío será inspirar confianza en sus clientes sobre su capacidad para cumplir con la legislación.
  • Las políticas de privacidad ya no se pueden aceptar globalmente a través de la típica casilla de verificación «He leído y acepto los términos». Los usuarios deben poder elegir las finalidades para las que aceptan el tratamiento de sus datos y para las que no.
  • Se amplía el concepto de datos personales, abarcando los “identificadores únicos” utilizados en marketing digital para conocer el comportamiento de los usuarios y ofrecerles contenidos y publicidad personalizada.
  • Se crean nuevos derechos (como la “portabilidad de los datos” y el “derecho al olvido”) que obligan a las empresas a realizar análisis de riesgo respecto de sus actividades; y aquellas empresas con más de 250 empleados o que realicen tratamientos masivos de datos deberán designar un delegado de protección de datos.

¿Cuáles son las obligaciones tipificadas en la GDPR?

El Reglamento General de Protección de Datos contiene 99 artículos y, por lo tanto, es muy difícil de resumir en unas pocas líneas. Esencialmente, sin embargo, los puntos principales podemos detallarlos de la siguiente manera:

  • Para poder tratar datos personales, debe existir una norma que lo permita, salvo que hayamos obtenido el consentimiento del interesado.
  • Se debe proporcionar al interesado información detallada sobre el tratamiento de datos personales, redactada de forma concisa, sencilla y de fácil acceso.
  • La información anterior está condicionada a los usos posteriores de los datos. Por ejemplo, sería ilegal utilizarlos para fines que no hayamos explicado adecuadamente al sujeto.
  • Se deben respetar los derechos de las personas. Estos derechos van desde saber qué datos estamos tratando, hasta el borrado de esa información.
  • Los sistemas de información deben diseñarse teniendo en cuenta las obligaciones previstas en la GDPR, para facilitar el cumplimiento de la norma por parte de los usuarios y garantizar la seguridad de los datos personales.
  • En algunos casos, las empresas deben designar un “delegado de protección de datos”.

¿Por qué es importante la GDPR para el uso de tecnologías en el Poder Judicial?

Para iniciar este punto, debemos aclarar algo muy importante: a pesar de que la GDPR es una normativa europea, ha sentado las bases para que muchos países de la región, como Argentina, México, Brasil y Colombia, comiencen a legislar sobre la materia teniendo en cuenta este antecedente jurídico.

Dicho esto, cada país se encuentra discutiendo y elaborando sus cuerpos jurídicos para la protección de datos personales, no obstante, hay un aspecto imprescindible que señalar: el uso de las tecnologías en Tribunales y la seguridad digital que deben ofrecer a los ciudadanos.

Pero, ¿cuáles son los puntos más importantes sobre los que deben basar sus funciones? ¿Por qué la tecnología en el Poder Judicial debe ser respaldada con normas relativas y análogas? Esto se debe a que, según lo dispuesto en la GDPR, el uso de innovaciones digitales en el esquema del Poder Judicial debe ser también regulado.

Base legal para el procesamiento

El Poder Judicial trata los datos en el ejercicio de la competencia legal y de derecho común inherente a los juzgados y Tribunales. Lo hacen porque es necesario en el interés público o en el ejercicio de la autoridad oficial que se les ha conferido; el interés público es la administración de justicia.

El Poder Judicial también puede tratar las informaciones de las personas en ejercicio de sus funciones judiciales, cuando sea necesario para cumplir con la legislación o cuando sea de su interés legítimo.

Compartir datos personales

Los procesos judiciales, excepto en circunstancias excepcionales o cuando lo exija la ley, como las reglas internas de un Tribunal o una orden judicial, deben celebrarse en público. Este es un aspecto del derecho constitucional a la apertura de la Justicia.

En general, por lo tanto, no hay expectativa de privacidad en los datos personales que son procesados ​​por el Poder Judicial en el ejercicio de funciones.

En consecuencia, los datos personales pueden ser compartidos por el Poder Judicial mientras actúa en capacidad judicial con, entre otros:

  • Partes en juicios y sus representantes legales;
  • testigos de casos judiciales;
  • otras cortes y Tribunales del país, como la Corte Suprema, o Salas de Casación;
  • autoridades públicas;
  • cuerpos reguladores;
  • el público.

Los datos personales también pueden compartirse con otros juzgados y Tribunales en otros países cuando sea necesario para la administración de justicia o para cumplir con obligaciones legales.

Publicación de datos personales

Los datos personales tratados por el Poder Judicial en ejercicio de funciones judiciales podrán ser publicados en autos o sentencias judiciales. Esto es necesario en el interés público de la sana, correcta, imparcial y transparente administración de justicia; es necesario permitir que las personas comprendan sus derechos y obligaciones, lo cual es un aspecto del Estado de derecho.

La publicación de sentencias es también un requisito del principio constitucional de Justicia Abierta y es un medio necesario para sustentar el Estado de derecho. Como tal, es de interés público.

Un juzgado o Tribunal puede, cuando sea estrictamente necesario en interés de la administración de justicia, imponer restricciones a los datos personales, como el nombre de una persona, que se establece en una sentencia.

También puede celebrar procedimientos judiciales en privado y poner restricciones al acceso a los archivos de los juzgados y Tribunales. Tales decisiones judiciales solo pueden tomarse dentro de un proceso legal; las personas que deseen plantear estos asuntos deben buscar asesoramiento legal.

¡Llegamos al final!

Ahora que conoce qué es la GDPR, ¿quiere saber más sobre protección de datos? De ser así, no puede perderse nuestro material dedicado al tema.