Lo que los comercios fuera de la Unión Europea deben saber sobre el Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos entró en vigencia el 25 de mayo de 2018, con lo cual se dio inicio a una nueva era de privacidad digital en Europa. Aunque la legislación ha estado vigente durante casi un año, todavía existen muchas incertidumbres y conceptos erróneos, especialmente entre los comercios que se encuentran fuera de la Unión Europea.

El Reglamento General de Protección de Datos en Europa establece las reglas básicas para el procesamiento legal y justo de datos personales, transparencia para los sujetos de datos, minimización de datos, limitación de almacenamiento, integridad y confidencialidad, con los controladores de datos responsables de demostrar cumplimiento con los anteriores.

Sin embargo, para las empresas no pertenecientes a la Unión Europea, es difícil saber si el Reglamento General de Protección de Datos se aplica en su caso y qué hacer si lo hace, que puede ser el caso de aquellas dirigidas activamente a clientes europeos.

Lineamientos para comercios no pertenecientes a la Unión Europea

El Comité Europeo de Protección de Datos publicó recientemente un borrador de lineamientos sobre el tema, que proporciona una lista no exhaustiva de factores que pueden indicar la intención de ofrecer bienes o servicios a individuos en la Unión Europea.

Estos factores incluyen la realización de campañas de marketing dirigidas a audiencias de la Unión Europea; el uso de URL relacionadas con la UE; el suministro de números de teléfono de contacto locales para individuos en la UE; el suministro de un sitio web en un idioma local y ofrecer pagos en una moneda local de la UE, entre otros.

Los lineamientos apuntan de alguna manera a abordar la confusión que rodea al Reglamento General de Protección de Datos para empresas no europeas, pero también han generado más preguntas. Por ejemplo, el Comité Europeo de Protección de Datos ha declarado que cumplir solo con uno de los factores no es necesariamente una indicación clara de que un comercio está realizando ventas en la Unión Europea.

Sin un umbral claro, es posible que se pregunte si esto llevará a varias interpretaciones locales de cuántos criterios del Comité Europeo de Protección de Datos deben cumplirse para concluir si un comercio está vendiendo en la UE. Tendremos que esperar y ver cómo evoluciona esto.

Controlador de datos versus procesador de datos

Otro factor desafiante para los comercios que no pertenecen a la UE es el hecho de que tantas partes participen en un solo pago, lo que significa que no siempre está claro quién es el controlador y quién es el procesador de datos.

Los lineamientos europeos actuales tienen una tendencia hacia la clasificación de casi todas las instituciones financieras como controladores más que procesadores de datos, lo que puede tener importantes implicaciones para los comercios, que mantienen la relación con el sujeto de datos. Al mismo tiempo, está surgiendo dentro de la industria el concepto de un "co-controlador", donde dos partes actúan como controladores, pero no son responsables de las acciones de la otra parte. No obstante, aún está por verse si esto se llevará ante los tribunales.

Para aclarar estos problemas, junto con Ingenico, les pregunté a sus clientes clave fuera de la UE qué quieren saber sobre el Reglamento General de Protección de Datos y cómo se aplica a ellos.

El documento técnico resultante, Perspectiva de un comercio: La complejidad del Reglamento General de Protección de Datos a la luz del mundo de los pagos, responde a las 10 preguntas más comunes sobre el Reglamento General de Protección de Datos, brinda información sobre el cumplimiento, ubicaciones de servidor , alojamiento, documentación, así como sobre la participación y el cumplimiento de las muchas partes diferentes dentro de una cadena de transacciones de pago.

Los comercios deben leer el informe ahora para entender su propia posición y si sus medidas de cumplimiento responden a la normatividad. 

 

Nadja van der Veer

Nadja van der Veer es abogada de pagos con más de 10 años de experiencia en la industria de pagos internacionales y es experta legal en reglamentos y regulaciones que involucran la Directiva sobre Servicios de Pago (PSD por sus siglas en inglés), medidas contra el lavado de dinero (AML) y Debida Diligencia Comercial (CDD) y sistemas de tarjetas. Como cofundadora de PaymentCounsel (www.paymentcounsel.com) y una de las socias ejecutivas de Pytch Ventures (www.pytchventures.com) consulta a adquirientes de comercios, proveedores de servicios de pagos (PSP/MSP), otras empresas de Fintech y comercios en sus fases de start up que desean expandir su negocio a nivel internacional, mientras mitigan el riesgo.