El presidente del Gobierno de España, Pedro Sánchez, comparecía durante su primer mandato en el Congreso de los Diputados y afirmaba ante toda la Cámara que los datos eran el petróleo de la nueva era, siendo un ejemplo claro las transferencias transfronterizas de datos en ecommerce.
Podemos confirmar con rotundidad que sus palabras eran ciertas. La explotación de los datos personales que las empresas hacen de sus clientes o potenciales clientes es hoy en día una labor más en cada compañía. En concreto, la explotación adecuada de los datos tiene gran sentido en las labores de marketing de la compañía.
Ya no basta con vender, elaborar un plan de marketing o establecer alianzas estratégicas. La captación y el análisis del dato permite a las empresas analizar el perfil psicológico de su cliente, sus gustos, costumbres, estudiar sus comportamientos pasados y prevenir sus conductas futuras. Esta información tiene un valor altísimo para las empresas: es petróleo.
El dato: el petróleo del siglo XXI
Existe un hambre innegable de muchas empresas por los datos de sus clientes y potenciales clientes. Aún así, los Gobiernos de algunos países, los organismos reguladores e incluso organizaciones internacionales tienen como objetivo que el tratamiento de estos datos por parte de su responsable (Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento) se haga de una manera transparente y que no perjudique gravemente los intereses de sus ciudadanos.
En Europa la principal abanderada de esta lucha es la UE. Entre otros asuntos, la Unión está poniendo su foco de atención en las conocidas como Cross-border data transfers (Transferencias transfronterizas de datos).
Tanto si eres empresario como si eres autónomo en España, debes tener en cuenta la siguiente legislación sobre protección de datos:
- Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, que deroga la Directiva 95/46/CE.
- Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de derechos digitales.
- Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre tratamiento de datos personales con fines de videovigilancia, a través de sistemas de cámaras o videocámaras.
En RRYP somos conscientes de que no es sencillo cumplir estas obligaciones en todos los mercados internacionales donde opera una empresa. Por ello, queremos acompañarte y asesorarte para que tu negocio cumpla con la legislación pertinente, porque esa es la mejor manera de proteger tu negocio de cualquier sanción. Realiza este cuestionario y te escribimos:
¿Cómo afecta la protección de datos y sus transferencias transnacionales a los ecommerces?
Las transacciones en línea que hacemos a lo largo de un día en ocasiones superan a las que hacemos de forma presencial. Cuando las llevamos a cabo estamos proporcionando a la empresa vendedora mucha información personal nuestra, como nuestros datos bancarios, lugar de residencia, fecha de nacimiento, nuestra nacionalidad e incluso la dirección IP de nuestro dispositivo.
Estos ecommerces son empresas asique también están obligados a cumplir la normativa europea sobre protección de datos y sobre la transferencia transnacional de los mismos. Por tanto, deben cumplir las obligaciones propias si los datos se comparten con un país ajeno al EEE. Estos datos son utilizados frecuentemente para ofrecer al cliente productos que conforme a sus búsquedas y compras podrían interesarle. Por este motivo para los comercios electrónicos es tan importante gestionar el dato de la manera más rentable posible.
Sin embargo, en el 2021 Amazon fue condenado al pago de 746 millones de euros por la Comisión Nacional de Protección de Datos de Luxemburgo (CNPD) por no respetar la legislación de la UE en materia de protección de datos. La compañía fue acusada de utilizar los datos de clientes y socios para falsear la competencia y así conseguir de forma injusta mayor ventaja en el mercado. La sanción fue recurrida por la empresa ante el Tribunal Administrativo de Luxemburgo.
Por tanto, si eres propietario de un comercio electrónico debes cuidar muy bien las prácticas de tu empresa en esta materia. No dudes en escribirnos si crees que te podemos ayudar: contacto@relacionateypunto.com
Preguntas frecuentes
Todas las personas físicas o jurídicas, entidades privadas o públicas que en el ejercicio de su actividad profesional o empresarial recaben y traten datos de terceros.
Será sancionada igualmente. El Reglamento General de Protección de Datos tiene en España la misma aplicación que la normativa estatal, asique el incumplimiento de cualquier de las dos será sancionable.
Son un flujo de datos personales de personas físicas que viaja desde un país del EEE (Espacio Económico Europeo, cuyos miembros son la UE, Islandia, Liechtenstein y Noruega) a otro Estado fuera de este Espacio.
Por tanto, una transferencia transnacional de datos puede darse en tres situaciones:
– 1) Un responsable del tratamiento está establecido en el EEE y el otro responsable está establecido fuera del Espacio o forma parte de una organización internacional.
– 2) Un responsable del tratamiento está establecido en el EEE y el encargado del tratamiento está fuera del mismo.
– 3) Un encargado del tratamiento está establecido en el EEE y el otro encargado está establecido fuera del mismo.
En los tres casos los datos viajan fuera del EEE, pero difieren en la persona que interviene, y en las funciones que tiene cada una. El responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento. Por otro lado, el encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento.
El Derecho de la Unión Europea solo permite que se lleve a cabo una transferencia de datos transfronteriza cuando se cumplan las “garantías adecuadas” de que los mismos tendrán en el destino un nivel de protección adecuada. Además, en caso de que los datos sean reenviados a un tercer Estado, este último también debe ofrecer las mismas garantías adecuadas o incluso superiores.
Por ejemplo, imaginemos que los datos viajan desde Alemania a Japón para transferirlos a un prestador de servicios de nube que está allí establecido. Si posteriormente un técnico establecido en Catar quiere acceder a esos datos, la transferencia solo será legal conforme al Derecho de la UE si Catar cumple también las mismas garantías adecuadas de protección.
Los artículos 45 y 46 del Reglamento General de Protección de Datos de la UE concretan cuáles son esas garantías que debe cumplir el segundo y tercer Estado al que se envían los datos.
Sí, existen, y estas excepciones se recogen en el Reglamento General de Protección de Datos:
– Cuando el interesado haya dado su consentimiento explícito y hubiera sido informado previamente de los riesgos de darlo.
– Cuando sea necesario para la ejecución de un contrato entre el interesado y el responsable del tratamiento de los datos o para ejecutar medidas precontractuales a aplicar por solicitud del interesado.
– Cuando sea necesario para celebrar o ejecutar un contrato entre el responsable del tratamiento y otra persona física o jurídica, a interés del interesado.
– Cuando concurran motivos de interés público. Por ejemplo, razones de inteligencia o seguridad nacional.
– Cuando sea necesario para defender, ejercer o formular reclamaciones.
– Cuando sea necesario proteger los intereses del interesado o de otras personas, cuando el primero esté incapacitado física o jurídicamente para dar su consentimiento.
– Cuando la transferencia se realice desde un registro público cuyo fin sea dar acceso a la información al público, y pueda ser consultado por cualquier persona o por aquella persona que acredite un interés legítimo. De todos modos, esta información solo será pública cuando se cumpla en cada caso particular los requisitos que establece el Derecho de la Unión Europea para la consulta.
Conclusión sobre transferir datos de un país a otro de forma legal
Toda empresa o autónomo que desarrolle una actividad profesional o empresarial en la UE debe cumplir la normativa europea de protección de datos. Si tienes un negocio internacional deberás prestar especial atención a las transferencias transfronterizas de datos personales, pues un incumplimiento de la legislación puede suponer una dura sanción para tu negocio. Los comercios online deben poner especial atención en esta normativa por la gran cantidad de datos sensibles que guardan sobre sus clientes.
Realiza este cuestionario y resolveremos tus dudas:
