Héctor Ariel Cabello Juárez^[1]

Los países han experimentado un cambio tecnológico exponencial debido a las necesidades sociales y el continuo avance hacia una economía digital. Las nuevas tecnologías se han incorporado en las relaciones cotidianas, institucionales y empresariales permitiendo agilizar los procesos de producción, así como simplificar actividades esenciales.^[2] Sin embargo, esta nueva era de digitalización también ha traído consigo desafíos como el incremento en la preocupación de usuarios respecto al uso y protección de sus datos personales.^[3] Por ende, se busca brindarles seguridad para incorporarlos a la nueva era digital, tal es el caso de la nueva regulación en la Unión Europea (UE).

La UE ha experimentado cambios sustanciales en la regulación concerniente a temas de privacidad y protección de datos. Por ejemplo, en mayo 2018 entró en vigor el Reglamento General de Protección de Datos (RGPD), que introduce nuevas reglas para el almacenamiento, tratamiento y libre flujo de la información de los usuarios. Al abrogarse la Directiva 95/46/CE se buscó reforzar la regulación entre países de la UE y entidades externas que ofrezcan servicios y productos a los ciudadanos de la Unión. Por lo tanto, en caso de no cumplir con las disposiciones del reglamento, la UE queda facultada  para extender su jurisdicción y sancionar en observancia del RGPD.^[4]

La posibilidad de ampliar el ámbito de competencia para imponer sanciones puede ser benéfico para brindar protección a los países miembros de la UE.^[5] Dicha ampliación es llamada extraterritorialidad^[6]  y es un principio de Derecho Internacional para extender la aplicación de la norma fuera de los límites jurisdiccionales de una nación. Si bien, cada país de la UE tiene libre competencia de regular lo que mejor convenga a su nación, puede aplicarse el RGPD directamente ante cualquier tribunal europeo por ser una comunidad política. No obstante, la aplicación se vuelve compleja cuando la extraterritorialidad involucra a países no europeos, ya que representa un desafío ejecutar la sentencia fuera de la Unión. En la UE existen precedentes sobre esto, como lo es la resolución del caso “Google v. Costeja”^[7], en cuya sentencia se aplica la norma local a entidades no europeas. Si bien, podría ser considerado como invasión de competencias, y pone sujeto a debate la autenticidad de la soberanía, así como presenta un desafío a los juzgadores no europeos para la ejecución de sentencias, los países ajenos a la UE han aceptado emprender acciones para dar cumplimiento al RGPD.

La extraterritorialidad del RGPD, al ser aplicada fuera de los países miembros de la UE, implica que las entidades no europeas deberán adaptarse a procesos y sistemas ajenos a los recurrentes en su localidad. Esto refiere a cambios organizacionales e inversión de recursos para dar cumplimiento al tratamiento de datos tal cual se requiere^[8]. No obstante, existe una dificultad aún mayor debido a la ambigüedad en algunos conceptos del ordenamiento como lo son las “situaciones de riesgo”^[9], en las cuales el RGPD no establece sistemas de clasificación, pero refiere a que deben tener un manejo específico; por ejemplo, cuando el riesgo es “alto”, previo al tratamiento deberá hacerse una evaluación por medio de autoridad sobre el mejor proceder en el manejo de datos y notificar a los afectados en caso de divulgación.^[10] Por lo tanto, el panorama de adaptación para entidades no europeas resulta de mayor complejidad.

Dentro de la ambigüedad de conceptos mencionada, también cabe resaltar que el mismo artículo 3° que fundamenta la aplicación extraterritorial de la norma, no esclarece ––por ejemplo– quién puede considerarse “interesado” o en qué casos hay una “oferta de bienes y servicios”. Es así, que se genera incertidumbre a las entidades no europeas sobre si les es aplicable el RGPD. En caso de no adaptarse a la perspectiva de la UE sobre la protección de datos, cuando por su relación a la Unión deba hacerlo, podría recaer en una multa. Por ejemplo, si una empresa mexicana dedicada al comercio de productos dentro de la nación, decide realizar por única ocasión una venta a Alemania, por el tratamiento que le dé a los datos personales del comprador, no estaría sujeto en principio a lo establecido por la legislación mexicana en la materia, sino al RGPD. Por lo que pudiera establecerse en caso de infracción, siguiendo una serie de criterios, una multa de hasta 20 millones de euros o el 4% del volumen de facturación.^[11] ¿De qué manera se aplicaría la multa?, ¿Bajo la orden de cuál institución? Este ejemplo nos podría llevar hasta a un problema diplomático.

En conclusión, se destaca que la extraterritorialidad en el ámbito de aplicación del RGPD si bien tiene un objeto benéfico para la UE, deja en desventaja a entidades no europeas para seguir incidiendo en los países. Lo anterior, toda vez que la dificultad que representa la adaptación de acciones para cumplir con el ordenamiento europeo en el tratamiento de datos, puede derivar en multas administrativas de alta denominación, sin perjuicio de las acciones indemnizatorias a las que se pueda vincular. De igual forma, presupone un desafío para los juzgadores al tener que ejecutar sentencias en entidades extranjeras, generando conflictos sobre quién debe, en principio, aplicar la sanción. Por lo tanto, este ordenamiento jurídico tiene una fundamentación válida pero su implementación aún tiene líneas de acción que deben esclarecer, sobre todo al tenor de entidades ajenas a la UE.

^[1] Graduate researcher en LegalTec Lab y Estudiante de Maestría en Derecho por la Escuela de Gobierno y Transformación Pública del Tecnológico de Monterrey.

^[2] Domínguez, M. (2003). “Las Tecnologías de la Información y la Comunicación: sus opciones, sus limitaciones y sus efectos en la enseñanza”. Nómadas, núm. 8. S. pag. Universidad Complutense de Madrid. España.

^[3] OECD (2020), “OECD Digital Economy Outlook 2020”, OECD Publishing, Paris, https://doi.org/10.1787/bb167041-en

^[4] Artículo 3° de Ámbito territorial del “Reglamento General de Protección de Datos”.

^[5] López-Lapuente, L. (2019). “La aplicación extraterritorial del Reglamento General de Protección de Datos”, Actualidad Jurídica Uría Menéndez, 52, pp. 136-140 (ISSN: 1578-956X).

^[6] Cantú, H. (2014). Extraterritorialidad y softlaw: desarrollos recientes en materia de Derechos Humanos y Empresas, en Anuario Mexicano de Derecho Internacional. Vol. XIV. Ed. UNAM.

^[7] Sentencia C-131/12 emitida por el Tribunal de Justicia de la Unión Europea.

^[8] International Business Machines Corporation. (2017). IBM Pathways for GDPR readiness.

^[9] Schwarts, P. (2016). Risk and High Risk in GDPR. Privacy Perspectives. International Association of Privacy Professionals. Estados Unidos de América.

^[10] Artículo 34 sobre la Comunicación de una violación de la seguridad de los datos personales al interesado del Reglamento General de Protección de Datos.

^[11] Apartado 5 del Artículo 83 sobre las Condiciones generales para la imposición de multas administrativas del Reglamento General de Protección de Datos.