1. El objetivo principal de adoptar GDPR es dificultar la vida de las empresas
De hecho, el objetivo principal del GDPR es permitir a los usuarios controlar quién y cómo usa sus datos personales y poder prohibir fácilmente y en cualquier momento el uso o cambiar las condiciones para usar datos personales con fines de marketing.
Las empresas recopilan datos personales para mejorar el marketing y personalizarlos, dirigidos a cada usuario específico, teniendo en cuenta sus preferencias e intereses, que se recopilan en función del comportamiento del usuario en Internet: visitar sitios, dejar me gusta, mover el mouse por la página. En Internet, puede recopilar dichos datos sobre un usuario promedio activo
como: género, edad, estado civil, profesión, intereses, hábitos de consumo. Si agregamos monitoreo de geolocalización a esto, la cantidad de información sobre cada persona que está en manos de algunas empresas se vuelve aterradora, especialmente cuando se piensa en la filtración de estos datos. Se vuelve aún peor cuando se piensa en la posible manipulación del comportamiento y las decisiones del usuario, un ejemplo de noticias relacionadas con las actividades de
Cambridge Analytica .
Algunas publicaciones proporcionan
un ejemplo de un programa que, basado en un análisis de solo 10 me gusta, le permite conocer a una persona mejor que sus colegas. De 70 me gusta, el programa aprende sobre una persona tanto como su amigo cercano, de 150 me gusta, como padres, hermanos o hermanas, y 300 o más me gusta, mejor de lo que sabe su cónyuge.
Pensando en ello desde el punto de vista del usuario, puede ver el beneficio incondicional en la adopción del GDPR. Su objetivo principal es limitar el uso incontrolado de datos personales con fines comerciales, cuando el sujeto de dichos datos no tiene idea de quién, para qué fines y cómo utiliza la información sobre él recopilada en Internet de diversas fuentes.
2. El RGPD se aplica a las empresas rusas que procesan datos personales de al menos un ciudadano de un estado miembro de la UE
Esto también es una falacia. El RGPD regula el trabajo con datos personales no de ciudadanos de la UE, sino de todas las personas ubicadas en la UE
"El presente Reglamento se aplica al tratamiento de datos personales de los interesados que se encuentran en la Unión ... ".
RGPD, art. 3 (2) .
Según el representante de la Comisión Europea (que logró hacer algunas preguntas no oficiales en la conferencia internacional en junio de 2018 [1]), el RGPD no se aplica al procesamiento de datos personales de personas que están fuera de la UE, incluso si se han ido temporalmente. Al mismo tiempo, el procesamiento de datos personales de ciudadanos rusos que viajan a Europa está sujeto al RGPD.
Nuevamente, con referencia a explicaciones no oficiales del representante de la Comisión Europea, para atraer la atención del regulador, es necesario procesar principalmente una gran cantidad de datos de usuarios europeos. Si el objetivo de una empresa rusa no es recopilar o procesar datos de europeos, y aquellos cuyos datos procesan ocasionalmente terminan en Europa, entonces es poco probable que el regulador esté interesado en las actividades de dicha empresa en términos de cumplimiento de GDPR.
Existe una opinión opuesta de que si los servicios se prestan fuera de la UE (por ejemplo, una habitación de hotel ubicada en Rusia se puede reservar de forma remota desde la UE), la organización no debe estar sujeta al RGPD, ya que sus actividades no se llevan a cabo en la UE y no sujeto a la legislación de la UE. Esta opinión no cumple totalmente con las disposiciones del RGPD: si dicha empresa utiliza los datos de personas que residen principalmente en Europa, entonces el RGPD se aplica a ella. Si toma el ejemplo de un hotel, en el momento de su estadía en el hotel, el europeo realmente no está en Europa. Pero si después de su regreso, el hotel continúa procesando sus datos y, por ejemplo, enviándole materiales de marketing, resulta que ella trabaja con los datos de una persona que vive en Europa. Bueno, si los datos no se utilizarán con fines de marketing, sino que se recopilan solo para la reserva y el registro de residencia, entonces esto no es un problema: el RGPD permite la recopilación y el procesamiento de datos para la ejecución del contrato, y el consentimiento del sujeto de los datos personales no es necesario en este caso.
3. El consentimiento de los usuarios para usar sus datos siempre es necesario
Realmente no es así. En el caso de una empresa no europea, el RGPD se aplica solo cuando se utilizan datos personales con fines de marketing (que ofrecen bienes o servicios) y se supervisa el comportamiento del usuario en Europa. Si los datos no se utilizan para estos fines, no se aplicarán las disposiciones del GDPR.
El presente Reglamento se aplica al procesamiento de datos personales de los interesados que se encuentran en la Unión por un controlador o procesador no establecido en la Unión , donde las actividades de procesamiento están relacionadas con:
(a) la oferta de bienes o servicios , independientemente de si se requiere un pago del interesado, a dichos interesados en la Unión; o
(b) el seguimiento de su comportamiento en la medida en que su comportamiento tenga lugar dentro de la Unión.
RGPD, art. 3 (2) .
Cuando se obtienen datos para la ejecución del contrato, no se requiere consentimiento. También hay otros casos en los que el uso de datos personales
no requiere consentimiento . Pero si después de la ejecución del contrato los datos permanecen con la empresa y son almacenados por esta (por ejemplo, en CRM), en este caso se requiere el consentimiento del usuario.
4. Por la violación de GDPR se multará inmediatamente, las multas serán muy altas
Nadie será multado de inmediato. Los reguladores en diferentes países están comenzando a trabajar con las nuevas reglas y desconfiarán de la formación de prácticas, observándose mutuamente. Es poco probable que tengan prisa para aplicar multas de inmediato; más bien, primero habrá advertencias e instrucciones. Las multas indicadas en el GDPR son el límite superior; en caso de violación, las multas pueden no aplicarse siempre y pueden ser pequeñas. Lo más probable es que se acumulen multas por el hecho de que deben ser proporcionadas y efectivas, y el objetivo principal no es estrangular el negocio, sino dirigirlo en el camino correcto.
Además, se formará una práctica judicial (incluido el Tribunal de Justicia de Luxemburgo) en paralelo, cuya aparición también será esperada por los reguladores antes de comenzar las inspecciones y sanciones masivas.
Durante una conversación informal con un representante de la Comisión Europea en la conferencia, se expresó la idea de que sería posible llevar a cabo varios ensayos de algunos gigantes, de modo que en la práctica queda claro qué comportamiento es inaceptable y a qué puede conducir.
Sobre el tema de aplicar multas por violación de GDPR, las siguientes posiciones son las más correctas:
"En general, es necesario percibir grandes cantidades de multas en la ley como una medida de bombardeo, y no una nueva forma de reponer los presupuestos locales de los países de la UE"
“La cantidad específica de multas se determinará individualmente, teniendo en cuenta una gran cantidad de factores. Se puede imponer una multa multimillonaria a una organización si viola consciente y maliciosamente los derechos de los sujetos, ocultándola cuidadosamente y recibiendo grandes ganancias de dicho procesamiento de PD ”
En cuanto a las preocupaciones de las empresas rusas con respecto al hecho de que pueden ser multados por incumplimiento del GDPR, es muy probable que estas preocupaciones no se realicen. No será fácil para el regulador responsabilizar a las empresas que no tienen una oficina de representación en Europa. Será aún más difícil implementar las sanciones impuestas en el territorio de un estado que no es parte de la UE. Por lo tanto, la principal regulación que se predice en relación con el GDPR será a través de la autorregulación en la industria: las empresas europeas se negarán gradualmente a trabajar con empresas que no cumplan con los requisitos del GDPR. En consecuencia, la principal consecuencia negativa del incumplimiento del GDPR no son las multas, sino una pérdida de competitividad en el mercado europeo.
5. Los datos personales no pueden transferirse a otros países sin la debida supervisión y permiso.
Los datos se pueden transferir si hay un acuerdo con la compañía que transfirió los datos, y si se proporcionan ciertas garantías en dicho acuerdo. Además, existe
el Convenio 108 del Consejo de Europa (en el que Rusia es parte), que indica lo siguiente:
"Una parte no deberá prohibir o condicionalizar con un permiso especial los flujos transfronterizos de datos personales que van al territorio de otra Parte con el único propósito de proteger la privacidad"
No hay una respuesta exacta sobre cómo se relacionan las disposiciones del Convenio 108 y las restricciones del GDPR sobre la transmisión de datos, puede haber una contradicción entre ellas. Pero en cualquier caso, los datos se pueden transferir en presencia de un acuerdo, así como en algunos otros casos especificados en el GDPR.
[1] Pearse O'Donohue, Director interino de la Dirección de Redes Futuras de la DG CONNECT en la Comisión Europea.