Despuntan las reformas en materia de protección de datos en América Latina
REDACCIÓN NOTI-AMÉRICA (ECUADOR) Por Open Knowledge
El 25 de mayo de 2018, el Reglamento General de Protección de Datos (“GDPR”) de la Unión Europea (UE) entró en vigor, provocando que varios países latinoamericanos reformaran y actualizaran su legislación local sobre protección de datos personales. Brasil, por ejemplo, emitió una ley integral de protección de datos que refleja las disposiciones de la UE a pesar de no haber tenido ninguna regulación previa en la materia; mientras que Chile, Argentina y México han tomado medidas para aumentar la protección de la privacidad y la seguridad de los datos personales de sus ciudadanos. En este artículo, discutimos los constantes cambios en materia de protección de datos personales en algunos países de América Latina y la medida en que buscan seguir los pasos de la UE.
La era de GDPR
La UE ha sido reconocida por emitir leyes que establecen los estándares de protección de datos a nivel mundial, y el GDPR no es la excepción. Debido a las disposiciones vanguardistas sobre protección de datos personales, sus medidas y sanciones estrictas, el GDPR ha influenciado legislaciones alrededor del mundo al establecer el estándar más alto en el tratamiento de datos personales.
El GDPR ha logrado reconocimiento internacional, no solo porque contiene amplias disposiciones relacionadas con la protección de datos personales y la privacidad, sino también por su aplicación extraterritorial. El GDPR puede obligar no solo a las empresas ubicadas en la UE que traten datos personales, sino también a las empresas ubicadas en otros países que traten información personal de ciudadanos europeos.
El reglamento europeo también ha otorgado a las autoridades de la UE la facultad de llevar a cabo investigaciones de cumplimiento. Las autoridades podrán evaluar si un país, territorio o sector dentro de algún país o una organización internacional garantiza un nivel adecuado de protección de datos personales de conformidad con las disposiciones del GDPR. Los países no pertenecientes a la UE tienen un estímulo financiero para incorporar a sus legislaciones ciertas obligaciones de protección de datos al nivel del GDPR con el fin de obtener beneficios potenciales por tener disposiciones locales que sean consideradas adecuadas en términos del GDPR para las transferencias de datos personales desde la UE.
Legislaciones latinoamericanas en la era del GDPR
Antes del 2018, varios países latinoamericanos ya habían establecido algunas medidas y políticas de protección de datos personales; sin embargo, la entrada en vigor del GDPR, desencadenó diversas reformas a leyes en materia de privacidad, puesto que los países latinoamericanos han decidido elevar sus estándares de protección de datos personales para cumplir con aquellos establecidos en el reglamento de la UE.
Argentina
Argentina aprobó una de las primeras leyes de protección de datos personales en América Latina, sin embargo, su legislación se ha mantenido casi sin cambios desde el 2000. Actualmente, Argentina está buscando reformar sus leyes de privacidad vigentes para seguir siendo considerado por la UE como un país con un nivel adecuado de protección de datos.
En 2018, se propuso un proyecto de ley para reemplazar la Ley Nº 25,326 con el fin de alinear la legislación Argentina con el GDPR; por lo tanto, se incluyeron ciertos derechos y principios similares a los contenidos en el reglamento europeo, entre los cuales se encuentran:
- Nuevos conceptos como “datos genéticos”, “datos biométricos” y “cómputo en la nube”;
- Limita los titulares de datos personales únicamente a personas físicas, excluyendo a personas morales;
- Obliga a los organismos gubernamentales a designar a un oficial de protección de datos, en caso de que datos personales sensibles o grandes cantidades de datos estén siendo procesados; y
- Estándares para la legalidad del tratamiento de datos personales.
El proyecto de ley también incluye derechos adicionales para los titulares de los datos, como el derecho a oponerse o restringir el tratamiento de sus datos personales y el derecho a la portabilidad.
Brasil
Hasta hace poco, Brasil carecía de una ley específica para regular la protección de datos e incluso de una definición de datos personales. En cambio, durante años el país mantuvo diversas leyes sectoriales que incluían disposiciones generales sobre protección a las personas y a sus datos. El Código de Protección al Consumidor, por ejemplo, otorgaba algunos derechos de privacidad para acceder y corregir los datos del consumidor. El Marco Legal de Internet regulaba el tratamiento de datos personales, incluyendo la obtención, el almacenamiento, la retención, el tratamiento y las transferencias de datos personales. El Código Penal, reformado por la Ley No. 12,737/12, también conocida como ley de delitos informáticos, también cubría ciertos aspectos relacionados con la privacidad de las personas. La legislación fragmentada de Brasil llegó a su fin en julio de 2018 cuando el Senado de Brasil aprobó la Ley General de Protección de Datos de Brasil, estableciendo un régimen único de protección de datos personales basado en las disposiciones de GDPR.
La Ley General de Protección de Datos de Brasil rige los derechos y obligaciones relacionados con el tratamiento de datos personales, así como las buenas prácticas, y también:
- Crea una autoridad nacional de protección de datos;
- Incorpora el alcance extraterritorial del GDPR: aplicará a los sectores público y privado si el tratamiento ocurre en Brasil o los datos personales se obtienen de titulares ubicados en Brasil, sin importar la ubicación del responsable;
- Obliga a empresas y organismos gubernamentales que traten datos personales a nombrar un oficial de protección de datos; y
- Prevé la imposición de multas de hasta el 2% de los ingresos brutos en el último año fiscal de un grupo empresarial en Brasil en caso de incumplimiento.
Chile
La protección de datos personales en Chile está regulada por la Ley Nº 19,628 desde 1999. Su propósito era establecer disposiciones generales sobre los datos personales tratados por terceros. Si bien esta ley chilena establece que los titulares de los datos deben ser informados sobre los fines del tratamiento de su información personal y que se debe obtener su consentimiento, no establece mecanismos para supervisar el correcto cumplimiento de las obligaciones legales en esta materia. Por ello, Chile ha buscado reformar la Ley N° 19,628 para ajustarla a las disposiciones del GDPR. Dicho proyecto de ley:
- Regula la protección y el tratamiento de datos personales;
- Crea un consejo de protección de datos para hacer cumplir la ley e imponer multas de hasta $700,000 dólares; e
- Incluye datos biométricos en la definición de datos sensibles.
Es de gran importancia mencionar que Chile también reformará su constitución para incluir el derecho a la protección de datos personales.
Colombia
Colombia reconoce la necesidad de incorporar disposiciones relevantes a sus leyes actuales de protección de datos personales, la Ley Nº 1,581 y la Ley Nº 1,266, para incluir referencias a innovaciones tecnológicas contemporáneas. El GDPR incluye obligaciones que no se encuentran en las leyes colombianas vigentes, como el derecho al olvido y el nombramiento de oficiales de protección de datos. Uno de los temas más importantes en Colombia es el proyecto legislativo que pretende dotar a la Ley Nº 1,581 relativa a la privacidad de datos, con un alcance internacional similar al del GDPR, e incluye:
- Nuevas definiciones de datos personales sensibles, datos públicos y aviso de privacidad; y
- Especificación de ciertos requisitos para las políticas de privacidad.
Colombia creó recientemente una lista de “niveles adecuados” para transferencias transfronterizas, en la que se encuentran los países que cumplen con los estándares de protección de datos adecuados según los criterios colombianos.
México
La Ley Federal Mexicana de Protección de Datos Personales en Posesión de los Particulares, vigente desde 2010, es la base de un sistema de privacidad integral que rige el tratamiento de datos personales, incluyendo su obtención, uso, transferencia y almacenamiento. Las leyes actuales otorgan derechos de acceso, rectificación, cancelación u oposición al tratamiento de datos personales a los titulares de los datos.
La autoridad de protección de datos más activa en América Latina.
Los titulares de datos personales están cada vez más conscientes de sus derechos en este contexto y los ejercen activamente. Entre enero de 2012 y junio de 2017, la autoridad mexicana de protección de datos (conocida como “INAI”) conoció de: (a) 820 Procedimientos de Protección de los Derechos ARCO y; (b) 2,094 reclamaciones presentadas por titulares de datos personales, que han resultado en 1,520 procedimientos y 208 procedimientos de verificación. Además, el INAI es probablemente la autoridad de protección de datos más activa en América Latina, ya que entre enero de 2012 y junio de 2017, impuso sanciones a las empresas que operan en México en 147 casos, por un monto de aproximadamente $16.7 millones de dólares.
Si bien las leyes mexicanas ofrecen flexibilidad y la posibilidad de autorregulación, es probable que México adopte, hasta cierto punto, disposiciones de protección de datos personales y seguridad comparables a las regulaciones europeas. Por ejemplo, México se adhirió recientemente a la Convención Europea para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (“Convención 108”) y su Protocolo Adicional relativo a las Autoridades de Control y a los Flujos Transfronterizos de Datos. El Convenio 108 impone obligaciones a los Estados Parte, tales como la inclusión de principios y disposiciones para el tratamiento de datos personales a su legislación local.
Dado que México está plenamente consciente de la importancia de cumplir con las disposiciones de privacidad en la mayor medida posible, se esperan en el corto plazo reformas importantes a la ley de privacidad actual para alinear la legislación mexicana con el GDPR y el Convenio 108.
Perú
En 2011, Perú promulgó la Ley No. 29,733, cuyas disposiciones buscan una protección amplia y otorgan derechos a los titulares de los datos en caso de que las empresas que tratan sus datos personales no cumplan con sus obligaciones.
La ley de protección de datos de Perú se ha actualizado recientemente para ampliar las disposiciones legales para el tratamiento de datos y fortalecer su régimen de protección de datos personales. Se han incorporado algunas disposiciones relevantes relacionadas con la transferencia de datos, tales como:
- El responsable del tratamiento está obligado a notificar cualquier transferencia de datos que resulte de una fusión y/o adquisición de una empresa y de registrar las transferencias internacionales de datos en un registro nacional peruano.
- Nuevas excepciones para obtener el consentimiento para el tratamiento de datos personales, principalmente para prevenir el lavado de dinero y el financiamiento del terrorismo.
El cumplimiento con los estándares más altos es importante, ya que la UE juega un papel importante en muchos mercados e industrias de América Latina. Las reformas a las actuales leyes locales de protección de datos personales podrán mejorar la relación con los socios comerciales europeos y podrán proporcionar un mayor reconocimiento internacional. Esta es la oportunidad para que América Latina dé a conocer su presencia global en un mundo impulsado por la protección datos personales.
Fuente: BID