Al entrar en vigencia el Reglamento General de Protección de Datos Europeo (RGPD) en mayo de 2018, muchos países de la región latinoamericana, incluyendo Panamá, empezaron a adecuar sus legislaciones tomando como modelo el estricto marco legal impuesto por dicha regulación, no sólo debido a la importante relación económica e histórica que une al continente americano con el europeo, sino también por el número plural de empresas europeas que operan en nuestro continente y al mismo tiempo que por razón de sus negocios recopilan, almacenan, tratan y transfieren información o datos personales de colaboradores o clientes a proveedores locales y/o en el exterior. No podemos dejar de lado a empresas, organizaciones nacionales o internacionales que manejan datos de ciudadanos europeos, sin importar la ubicación geográfica de los servidores con almacenan estos datos.
El primer paso para cumplir es el blindaje contractual
Muchas empresas u organizaciones se preguntan: Qué debo hacer para cumplir con la(s) norma(s) de protección de datos que me aplican?
Lo primero es identificar y actualizar los contratos dentro del alcance. Tengamos presente que las legislaciones locales, exigen a los controladores de datos que tengan una base legítima para el tratamiento y procesamiento de los mismos. La legitimidad se produce en la mayoría de los casos por una relación comercial. El propósito de la misma debe detallarse en los contratos que suscriban las partes que ofrecen servicios a consumidores o clientes así como también entre empresas al procesar la información de sus clientes en caso de requieran transferir los mismos a proveedores.
¿Qué debe tener mi contrato en materia de Protección de Datos?
Desde un punto de vista estrictamente comercial, los contratos de empresas que traten datos personales de clientes o colaboradores deben contener cláusulas que permitan o hagan legítima la recopilación de datos, así como también la transferencia de estos y los derechos que los titulares de de los mismos tienen. Los elementos de la cláusula los determinarán los principios regentes de la norma de protección de datos que aplique, así como los derechos que se le otorgan al titular de los datos en una jurisdicción particular por razón de su nacionalidad.
¿Qué contratos están dentro del alcance de las normas de protección de datos locales?
En principio todo contrato que para el desarrollo de su objeto principal o secundario requiera la recopilación de datos personales debe contener cláusulas de protección de datos. De igual forma no deben excluirse los contratos de trabajo colaboradores, así como todos aquellos contratos con proveedores que impliquen el tratamiento de información o datos personales.
Cláusula de Confidencialidad: ¿Es suficiente para proteger los datos personales?
El derecho a la intimidad o privacidad de las personas es un derecho supremo, por ende, los contratos no pueden supeditar el cumplimiento de la normativa de protección de datos aplicable a las disposiciones de confidencialidad, ya que en muchos casos estas no contemplan dentro del alcance la frase “datos personales” por lo que a falta de claridad en este apartado, se podría interpretar que la protección que contempla la disposición de confidencialidad no alcanzaría a los datos personales.
En este sentido, la cláusula de protección de datos debe contemplar o referenciar las secciones del contrato que definan y proteja la información confidencial. Esto deja abierta la posibilidad para el reclamo de responsabilidades adicionales por incumplimiento de contrato cuando las disposiciones de confidencialidad contemplen límites de responsabilidad separados.
Limitación de responsabilidad y aspectos técnicos del procesamiento.
No es recomendable aceptar responsabilidad ilimitada por incumplimiento de las normas de protección de datos a nivel contractual, sin embargo las partes pueden acordar límites de responsabilidad adicionales en caso de incumplimiento de obligaciones relativas al tratamiento de datos personales. En este sentido si bien las legislaciones latinoamericanas dan un enfoque particular a las sanciones por incumplimiento, no en todos los casos, el controlador y/o el procesador de los datos estarán obligados a cumplir frente a la Autoridad de Protección de Datos competente y por ende ser sujeto de multas.
Por último, las medidas técnicas de seguridad , la anonimización, encriptación en la transferencia, notificaciones, formato de notificaciones y otros deben estar detalladas en anexos que complementen las disposiciones contractuales que legitiman el tratamiento de datos personales. Esto garantiza la existencia de elementos materiales que permitan demostrar cumplimiento ante eventuales auditorías o interventorías por parte la autoridad reguladora.