Recursos para proyectos de Infraestructura Nuevos paradigmas en consultoría Parte 2
Incorporando tecnologías que simplifiquen procesos Evolucione su negocio con la transformación digital
Empresas Culturales en México
Proveedoras de empleos, bienes materiales y simbólicos
RGDP
Nueva regulación europea en protección de datos personales
EDICIÓN #70
$40.00 M.N.
www.revistaconsultoria.com.mx
2
Editorial México en búsqueda de un nivel de cumplimiento cada vez más exigente
L
as empresas de consultoría en México han tenido una participación preponderante para el desarrollo de la infraestructura, pero hoy tienen un futuro distinto ya que las circunstancias internas y externas del país también son participes. La creatividad e innovación son una nueva oportunidad para que estas empresas se reinventen a sí mismas o busquen nuevas maneras de hacer negocio. Conozca estas propuestas en la segunda parte del tema: “Nuevo Paradigma de las Empresas Consultoras en México”, en nuestra Sección de Infraestructura y Obra. En nuestro Tema de Portada, “El GDPR llega a México”, abordaremos un tema de carácter legal, de importancia para México y otros países del mundo en torno a la entrada en vigor y aplicación del Reglamento General de Protección de Datos de la Unión Europea, la nueva normativa que (sin lugar a dudas) está revolucionando la manera de entender la protección de datos personales en esa región del mundo y en países como el nuestro, de la cual algunos aseguran puede resultar aplicable a ciertas empresas mexicanas o a ciertas actividades que estas realizan en el curso de sus negocios. “La Gerencia de la Felicidad”. Considerando que la Gerencia es un proceso que implica la coordinación de todos los recursos disponibles en una buena Administración para la organización, uno de esos recursos son las personas, que comúnmente para la Administración de Personal se manejan con base a paradigmas obsoletos, y políticas bajo criterios tradicionales de lograr efectividad trabajando duro aumentando las ventas y reduciendo costos. Últimamente surge un nuevo paradigma que comienza a tomar sentido en el área de relaciones humanas para la mejor manera de maximizar la felicidad de sus empleados, esto en el tema de Opinión. Las empresas necesitan una mejor manera de enfrentar las montañas de datos en papel que se crean todos los días. Dependiendo de la industria, su empresa posee entre 1 millón y 12 millones de gigabytes de información. La lucha por dominar el mundo de la información no estructurada es universal, abarca industrias y funciones por igual, lo que lleva a un dolor compartido entre los líderes empresariales: “La Era del Caos de los Datos ha llegado”, uno de nuestros títulos en la Sección de Tecnología. Estimado lector, en Revista Consultoría “el asesor de su empresa”, tenemos el compromiso de aportar temas de interés que contribuyan a la solución de los problemas que pudiera enfrentar su negocio. No resta más que agradecer la colaboración de nuestros autores de esta y cada una de las ediciones, quienes nos aportan sus experiencias en temas de interés para nuestros lectores.
DIRECTOR GENERAL Héctor Ramos Romero hramos@revistaconsultoria.com.mx DIRECTOR EJECUTIVO Karim Ramos Pérez kramos@revistaconsultoria.com.mx DIRECTORA EDITORIAL Beatriz Canales Hernández bcanales@revistaconsultoria.com.mx REPORTERA Karen Valencia Puebla kvalencia@revistaconsultoria.com.mx CONSEJO EDITORIAL Ing. Arq. Sergio Hernández Hernández Ing. Víctor Iván Pacheco Villaldama COLABORADORES EN ESTA EDICIÓN Eloy Rodríguez, Juan C. Vilchis, Alberto Valles, Sandra Gálvez, José L. Rodríguez, Emiliano Zapata, María del Rosario Castañeda, Héctor Guzmán, Ernesto Flores, Enrique B. Franklin, Marco A. Flores, Ramiro Arteaga, Alejandro Mota, Carlos Ramírez, Marco A. Flores. DIRECTORA DE ARTE Viridiana Zavala Martínez vzavala@revistaconsultoria.com.mx FOTÓGRAFO Valeri Ramos vramos@revistaconsultoria.com.mx DESARROLLO WEB Happy Cloud ASESOR JURÍDICO Lic. Ricardo Balderas García •••••••••••• PUBLICIDAD •••••••••••• GERENTE COMERCIAL Irene Herrerías Gómez iherrerias@revistaconsultoria.com.mx ASESORES COMERCIALES Mariana Maciel Luengas mmaciel@revistaconsultoria.com.mx Said Alí Ramos aricardez@revistaconsultoria.com.mx Ma. Cecilia Pérez Ricardez cperez@revistaconsultoria.com.mx CONTABILIDAD Y ADMINISTRACIÓN LC. Francisco Renato Muñoz Fernández LC. Laura Patricia López Galindo
Tels.: 56 02 45 75 • 55 54 51 58
Revista Consultoría no se hace responsable de los servicios proporcionados y logos utilizados por los anunciantes.
“CONSULTORÍA”, año 7, Núm. 70, Mayo 2018, es una revista mensual. Editada por Héctor Ramos Romero. Domicilio de la publicación: Paseo de Los Cipreses #188 Col. Paseos de Taxqueña Delegación. Coyoacán C.P. 04250 México D.F. Reserva de Derechos al Uso Exclusivo No. 04-2013053010005100-102, Número de Certificado de Licitud de Título y Contenido: No.15240. Impreso en los talleres de: Grupo Editorial Raf, Abasolo No. 40 Col. Sta. Úrsula Coapa, Coyoacán. CP 04650, Ciudad de México. Distribución: Cadena de Tiendas Sanborn´s a Nivel Nacional por Zeta Siete Corporativo Internacional, S.A. de C.V. y mensajería especializada. Todos los derechos reservados. Prohibida cualquier reproducción sin autorización expresa de los editores. Tiraje auditado y certificado por Zeta Siete Corporativo Internacional, S.A. de C.V. con el número Z7001258372.
www.revistaconsultoria.com.mx CONSULTORÍA
Distribución Certificada por la Dirección General de Medios Impresos de la Secretaría de Gobernación No.007-121
@Rev_Consultoria
Tema de Portada
El GDPR llega a México Efectos extraterritoriales de la nueva regulación europea de protección de datos personales.
E
n mayor o menor medida, diversas empresas y profesionistas se han visto sorprendidos por noticias e información entorno a la existencia y futura aplicación de una nueva normativa europea sobre protección de datos personales, de la cual algunos aseguran puede resultar aplicable a ciertas empresas mexicanas o a ciertas actividades que estas realizan en el curso de sus negocios.
Por: Héctor Guzmán Rodríguez, Socio de BGBG Abogados -Protección de Datos Personales y Privacidad. Abogado para México y España. Miembro de la International Association of Privacy Professionals (IAPP), Academia Mexicana de Derecho Informático (AMDI), Asociación Profesional Española de Privacidad (APEP) y del Ilustre Colegio de Abogados de Madrid. Twitter/Facebook/Instagram: @HectorGuzmanMx
32
REVISTA CONSULTORÍA NÚM. 70
¿Qué de cierto hay en esta información?, ¿Tendremos que cumplir con una normativa sobre protección de datos personales, adicional a la normativa que ya cumplimos en México?, ¿A qué me obliga esta legislación, aprobada fuera del territorio mexicano? Estas y muchas otras preguntas han surgido en México y otros países del mundo, en torno a la entrada en vigor y aplicación del
Reglamento General de Protección de Datos de la Unión Europea, la nueva normativa que (sin lugar a dudas) está revolucionando la manera de entender la protección de datos personales en esa región del mundo y en países como el nuestro.
¿Qué es el GDPR/RGPD? El orden jurídico de la UE Personalmente, prefiero referirme a él como el “RGPD”, pero es imposible negar que las iniciales “GDPR”, se imponen de manera abrumadora en artículos, libros, noticias, blogs y demás escritos que desde hace tiempo se escriben sobre el tema; simplemente, en inglés o en español, es común referirse a él como el GDPR. El Reglamento General de Protección de Datos (RGPD) o General Data Protection Regulation (GDPR) es un acto legislativo de la Unión Europea (en adelante, la UE) que, en el orden jurídico de esa entidad internacional, tiene los efectos más significativos sobre los Estados miembros y sus habitantes. Para entender el impacto y alcance de este Reglamento, y en especial para asimilar la importancia de un cuerpo normativo con ese nombre (en particular en México), resulta conveniente tener en cuenta que en la UE existen dos tipos de Derechos: el derecho “primario” y el derecho “derivado”. En
el primario existen los Tratados de la UE, la base del Estado de Derecho en que se fundamenta esta organización y sus Estados.1 El derecho derivado, está compuesto por los siguientes actos legislativos (de menor a mayor jerarquía):2
•Dictámenes. •Recomendaciones. •Decisiones. •Directivas: Son actos
legislativos en los cuales se establecen objetivos que todos los países que integran la UE deben cumplir. Corresponde a cada país elaborar sus propias leyes para alcanzar esos objetivos. No se obliga a ningún país para que su acto de transposición sea de algún tipo específico. •Reglamentos: Los reglamentos son actos legislativos vinculantes. Deben aplicarse en su integridad en todo el territorio de la UE. Si tuviésemos que emplear una analogía para entender su naturaleza y alcance en el contexto del derecho mexicano, deberíamos pensar (mutatis mutandis) en el alcance de una Ley Federal. No obstante, y a pesar de la aplicación directa del GDPR en el territorio de todos los Estados miembros de la UE, veremos el desarrollo de leyes nacionales que facilitarán su aplicación (en teoría). Simplemente, y en honor a la particularidad de la propia UE, debemos decir que el GDPR y el entorno donde habrá de aplicarse son únicos y merecen estudio particular. Dicho lo anterior, y para ampliar nuestra comprensión sobre el impacto que supone la entrada en vigor y aplicación del GDPR, debemos saber que esta normativa deroga la Directica 95/463 que desde mediados de los años noventa funcionó como el eje de los principios protectores de los datos personales en la UE. Fue la Directiva 95/46 el instrumento que sirvió de base para que después de la última ampliación de la UE existiesen 28 leyes nacionales sobre protección de datos personales; 28 cuerpos normativos regulando un derecho considerando fundamental en esa parte del mundo, todos ellos con base en la Directiva 95/46. Pero el avance de la tecnología, y los cambios de paradigmas que esta ha traído consigo, obligaron a replantearse el alcance de la protección a las personas y sus datos personales; simplemente, la Directiva 95/46 había quedado rebasada y para asegurar una protección uniforme a todos los
www.revistaconsultoria.com.mx
33
Tema de Portada residentes de la UE, se hizo necesario avanzar en el sentido de las garantías que brinda un Reglamento.
2. Será aplicable a partir del 25 de mayo de 2018.
Así pues, y tras años de negociaciones el 4 de mayo de 2016 fue publicado en el Diario Oficial de la UE el “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE”, ahora globalmente conocido como GDPR. Repitamos: el GDPR fue publicado el pasado 4 de mayo de 2016 y dos años después estamos tomando cartas en el asunto (los que así desean hacerlo, los que están enterados del tema).
Aplicación extraterritorial. El artículo 3.2 del GDPR
¿Pero por qué es así?, ¿Por qué han pasado dos años desde su publicación oficial y sólo ahora sabemos que puede tener relevancia en México? Pues porque así lo dispuso su artículo 99 mediante una fórmula de “entrada en vigor y fecha de aplicación”, con el objeto de brindar dos años de plazo para que los sujetos obligados adoptasen los pasos necesarios para cumplir:
Con el fin de garantizar que las personas físicas no se vean privadas de la protección a la que tienen derecho en virtud del presente Reglamento, el tratamiento de datos personales de interesados que residen en la Unión por un responsable o un encargado no establecido en la Unión debe regirse por el presente Reglamento si las actividades de tratamiento se refieren a la oferta de bienes o servicios a dichos interesados, independientemente de que medie pago. […]
Artículo 99 Entrada en vigor y aplicación
1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea. 34
REVISTA CONSULTORÍA NÚM. 70
Aunque no debemos ir muy lejos para encontrar el origen del revuelo que ha causado el GDPR fuera de la Unión Europea (basta con acudir al apartado 2 de su artículo 3 para encontrar la fuente de esta conmoción), resulta indispensable acudir a la primera fuente interpretativa del GDPR: sus considerandos. En el considerando (23) del GDPR, el legislador europeo realiza una declaración meridianamente clara:
Queda claro que las personas físicas a las que se refiere este considerando, no son
REVISTA
LAS
EMPRESAS DE CONSULTORÍA MÁS
IMPORTANTES EN
MÉXICO
De venta en tiendas Sanborn´s
EDICIÓN ESPECIAL JUNIO 2018
CONTACTO 5602.4575
CONSULTORÍA
5554.5158
@Rev_Consultoria
www.revistaconsultoria.com.mx www.revistaconsultoria.com.mx
35
Tema de Portada cualquier persona física, sino aquellas que residen en la Unión (Europea). Asimismo, que la decisión de aplicar el GDPR a determinados responsables y encargados no establecidos en la Unión obedece a la intención de no privar a esos residentes de la protección a la que tienen derecho en virtud del propio GDPR. Con el objeto de ampliar la protección de referencia, el considerando (24) del mismo ordenamiento dispone: El tratamiento de datos personales de los interesados que residen en la Unión por un responsable o encargado no establecido en la Unión debe ser también objeto del presente Reglamento cuando esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. […] Las consideraciones anteriores quedaron plasmadas en el RGPD, de la siguiente forma:
[…]
Artículo 3 Ámbito territorial
2. El presente Reglamento se aplica al
tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión. Siendo aplicable el GDPR a cualquier tipo de tratamiento de datos personales (tratamientos total o parcialmente automatizados o tratamientos no-automatizados), y con la intención del legislador europeo completamente clara, podemos abordar los aspectos específicos del artículo 3.2 para definir si nuestra empresa pudiera estar sujeta a esta normativa: •El GDPR será aplicable al tratamiento de datos personales de interesados
36
REVISTA CONSULTORÍA NÚM. 70
que residan en la UE. Es común escuchar que este Reglamento protege a los ciudadanos europeos, en oposición a los de otras nacionalidades. No es verdad. El GDPR protege a ciudadanos europeos y también a personas con residencia legal en la UE (aunque no sean europeos) cuyos datos sean tratados por responsables y encargados. •El artículo 3.2 declara expresamente que el GDPR será aplicable a responsables y encargados no establecidos en ese territorio, que realicen las actividades limitativamente enumeradas en el mismo. •Para entender a qué tipo de oferta de bienes o servicios se refiere este numeral, es recomendable atender nuevamente a los considerandos del GDPR: (23): “Para determinar si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda
Consecuencias de la aplicación del artículo 3.2. del GDPR El GDPR dedica un artículo completo a los supuestos de aplicación del artículo 3.2, que por su trascendencia consideramos oportuno conocer en su integridad: Artículo 27 Representantes de responsables o encargados del tratamiento no establecidos en la Unión
utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión”. •En cuanto al “control del comportamiento” de dichos interesados, en la medida en que ese comportamiento tenga lugar en la UE, el considerando (24) aclarar: “Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.” Los elementos que el legislador europeo aporta para determinar la aplicación del artículo 3.2 a un caso concreto son definitivamente orientativos; la definición final debe ser adoptada caso por caso, con el objeto de arribar a una conclusión informada y sustentada en un análisis legal profesional.
1.Cuando sea de aplicación el artículo 3, apartado 2, el responsable o el encargado del tratamiento designará por escrito un representante en la Unión. 2.[…] 3.El representante estará establecido en uno de los Estados miembros en que estén los interesados cuyos datos personales se traten en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado. 4.El responsable o el encargado del tratamiento encomendará al representante que atienda, junto al responsable o al encargado, o en su lugar, a las consultas, en particular, de las autoridades de control y de los interesados, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en el presente Reglamento. 5.La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado. La designación del representante a que se refiere el artículo 27 antes indicado, trae consigo otras varias consecuencias para ambas partes (responsable/representante o encargado/representante), las cuales merecen ser abordadas de manera específica.
Transferencias a terceros países El GDPR puede resultar de aplicación indirecta para nuestra organización, en la medida en que tengamos relaciones con responsables o encargados establecidos en la UE, que deban comunicar datos hacia México. Esta aplicación resulta indirecta, en la medida en que el tratamiento de los datos personales que provengan de un responsable o encargado europeo no estará sujeta a la www.revistaconsultoria.com.mx
37
Tema de Portada
verificación/sanción de una autoridad nacional de aquella región; tampoco tendremos obligación de nombrar el representante al que se refiere el artículo 27 del GDPR; sin embargo, sí será posible que el responsable o encargado transferente (el exportador de los datos) nos exija cumplir con determinadas “garantías” antes de poder ser receptores de dicha información (importadores de datos). En este sentido, es importante tener en cuenta que bajo los estándares europeos México no ha sido reconocido como un destino “seguro” de datos personales, no se ha reconocido que seamos un destino donde se brinde un nivel equivalente de protección a esa información, mediante una Decisión de la Comisión Europea.4 Siendo lo anterior, si una empresa europea (por ejemplo, nuestra matriz alemana o una filial francesa del grupo) desea transferir datos a México sin que medie autorización de ninguna autoridad de protección de datos para poder hacerlo, la empresa mexicana (importadora de datos) deberá trabajar en coordinación con la exportadora para aportar alguna de las “garantías adecuadas” que prevé el artículo 46 del GDPR: Artículo 46 Transferencias mediante garantías adecuadas
1.A falta de decisión [relativa a la protección adecuada de los datos personales], el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional [como México] si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. 38
REVISTA CONSULTORÍA NÚM. 70
2.Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por: a)[…]; b)normas corporativas vinculantes; c)cláusulas tipo de protección de datos adoptadas por la Comisión; d)cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión; e)un código de conducta, o f)un mecanismo de certificación. Como podemos apreciar, la regulación de las transferencias internacionales de datos hacia países como México se constituye como un sub-grupo de especialización, dentro del cual también es necesario analizar caso por caso para determinar cuál es la mejor alternativa para el exportador y el importador de los datos, con el objeto de cumplir con el nuevo régimen que presente el ya famoso GDPR. Sin duda, podemos esperar que muchas opiniones y decisiones judiciales deparen el futuro a partir del próximo 25 de mayo de 2018, de la misma manera que los responsables y encargados de datos personales en ambos lados de Atlántico, tienen arduo trabajo por delante en búsqueda de un nivel de cumplimiento cada vez más exigente.
1.-Los siguientes constituyen los principales tratados de la UE: Tratado constitutivo de la Comunidad Europea del Carbón y del Acero; Tratados de Roma: Tratados CEE y Euratom; Tratado de Fusión - Tratado de Bruselas; Tratado sobre la Unión Europea - Tratado de Maastricht; Tratado de Ámsterdam; Tratado de Niza y Tratado de Lisboa. Cfr. https://europa.eu/european-union/law/treaties_es. 2.-Cfr. Europa. Derecho de la UE. Reglamento, directivas y otros actos legislativos. https://europa.eu/european-union/eu-law/legal-acts_es 3.-Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31). Disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=uriserv:OJ .L_.1995.281.01.0031.01.SPA&toc=OJ:L:1995:281:TOC. 4.-Cfr. European Commission. Data Protection. Data transfers outside the EU. https://ec.europa.eu/info/law/ l a w - t o p i c / d a t a - p r o t e c t i o n / d a t a - t r a n s f e rs - o u t s i d e - e u / adequacy-protection-personal-data-non-eu-countries_en
