El creciente nivel de ataques cibernéticos a nivel mundial está afectando a muchos de los países de América Latina y el Caribe cada vez con mayor frecuencia, por lo que es importante estar conscientes de nuestros derechos en relación con el tratamiento de datos de carácter personal.
Durante el primer semestre de 2022, un estudio de Fortinet estimó que la región sufrió 137 mil millones de intentos de ciberataques, un aumento del 50% en comparación con 2021. Siendo México el país más atacado, seguido por Brasil y Colombia.
Ante esta situación, podemos preguntarnos: ¿es seguro compartir nuestros datos personales? Y de ser así, ¿quién vela por la protección de mis datos personales?
¿Qué son los datos personales?
En palabras sencillas, un dato personal es información como tu nombre, apellido, número de identidad, datos referidos a tu situación laboral, financiera o de salud, entre otros.
Los Estándares Iberoamericanos de Protección de Datos de la Red Iberoamericana de Datos Personales establecen un conjunto de principios y derechos comunes de protección de datos personales.
Según estos estándares un dato personal es “cualquier información concerniente a una persona física identificada o identificable, expresada en forma numérica, alfabética, gráfica, fotográfica, alfanumérica, acústica o de cualquier otro tipo. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas”.
¿Qué obligaciones deberían existir en el tratamiento de mis datos personales?
Según los estándares iberoamericanos, en teoría, aquellas entidades de gobierno y/o privadas que recogen datos personales deben cumplir con una serie de obligaciones, específicamente 10 principios aplicables al tratamiento de datos personales, que para efectos de este blog agruparemos en cuatro categorías.
1. Principio de legitimación, licitud, lealtad y transparencia:
La ciudadanía o las personas titulares de los datos deben dar su consentimiento para el uso de su información personal, mientras que la persona o entidad responsable debe proteger los intereses del titular e informar las finalidades del tratamiento al que serán sometidos los datos.
Por ejemplo, cuando hacemos compras en línea, el comercio informa los propósitos específicos para los que utilizará la información, y las personas damos nuestro consentimiento para que nuestra información personal (nombre, apellido, correo electrónico, dirección de habitación, número telefónico e información de tarjeta de crédito) sea utilizada.
2. Principio de finalidad:
La entidad responsable de los datos debe utilizarlos con un fin determinado, explícito y legítimo. Una vez que los datos personales dejan de servir su propósito original, estos deberían ser eliminados. Por ejemplo, la plataforma que usamos para realizar compras en línea puede usar nuestra información personal únicamente para brindar el servicio que estamos solicitando y debe eliminarla una vez culminada la transacción (a menos que aceptemos crear un perfil y demos permiso para que archiven dicha información).
3. Principio de proporcionalidad y calidad:
La entidad responsable debe utilizar únicamente los datos personales que resulten necesarios y pertinentes con relación a las finalidades que justifican su uso. Adicionalmente, se debe asegurar su veracidad y no deben ser alterados.
Por ejemplo, cuando hacemos compras en línea no deberíamos brindar información de nuestra dirección de trabajo, número de identificación u otros datos innecesarios para recibir el servicio.
4. Principio de responsabilidad, seguridad y confidencialidad:
Cuando alguna organización solicita nuestros datos personales se debe garantizar una adecuada seguridad de los mismos, así como su uso de acuerdo con la confidencialidad e integridad, incluyendo la protección contra el tratamiento no autorizado o ilícito. Por ejemplo, la plataforma que usamos para realizar compras en línea no debería compartir nuestra información con terceros sin nuestro consentimiento.
¿Quién vela por la seguridad de los datos personales en mi país?
En América Latina y el Caribe existen diferentes grados de madurez en el tema de protección de datos. El portal “Los Datos Personales y sus Leyes“, es una iniciativa que coordinamos desde el Banco Interamericano de Desarrollo para entender el estado de situación de la protección de datos personales en los 26 países prestatarios del Banco.
El proyecto incluye tres trabajos relacionados, que intentan dar una mirada a la protección de datos personales desde tres ángulos distintos: el marco legal, la implementación del mismo, y la importancia que la ciudadanía le da al tema (para ver una explicación más detallada del portal, puedes hacer clic aquí).
- El análisis de marco legal compara los marcos normativos en protección de datos de los países contra el Estándar Iberoamericano de Protección de datos.
Los resultados muestran que de los 26 países estudiados, únicamente 17 cuentan con un marco regulatorio en la materia y únicamente 7 países cuentan con una Autoridad de Protección de Datos.
En general se observa que la región presenta margen de mejora, ya que las leyes que más se ajustan a los estándares son relativamente recientes: la Ley de Barbados, aprobada en 2019, la Ley de México aplicable a sector público, aprobada en 2017; la Ley de Ecuador, aprobada en 2021 y la Ley de Belice, aprobada en 2021 (pendiente de ser agregada en la plataforma).
- El análisis de implementación elaborado por el consorcio Al Sur, evaluó el manejo de información personal por parte de distintas iniciativas que lanzaron los gobiernos de la región para gestionar casos y síntomas de COVID-19 durante 2021.
En general, se evaluaron 15 iniciativas analizando, entre otras cosas, el tratamiento que se le hace a los datos personales. Los principales resultados mostraron que los derechos a la protección de datos personales y a la privacidad son los más afectados.
- Finalmente, el análisis de percepción ciudadana evaluó las respuestas de 10,000 ciudadanos y ciudadanas en 10 países de la región.
El principal resultado fue que, en general, la ciudadanía tiene un desconocimiento sobre lo que son sus datos personales.
¿Qué hacemos desde el BID para velar por la protección de datos personales en América Latina y el Caribe?
Desde el Banco Interamericano de Desarrollo entendemos la importancia de velar por la recolección, uso y análisis de datos, garantizando los derechos digitales de la ciudadanía, dando especial énfasis a la importancia de resguardar los datos personales.
Por esta razón brindamos a los países de la región acompañamiento técnico en la elaboración y fortalecimiento de sus marcos regulatorios de protección de datos. Además, estamos trabajando en analizar las capacidades de las agencias de protección de datos y recopilando casos que ejemplifiquen el impacto y la importancia de la protección de datos personales.
Esta línea de trabajo complementa los esfuerzos en materia de gobernanza, transformación digital, fortalecimiento institucional y servicios tecnológicos, que se realizan desde el Banco Interamericano de Desarrollo en materia de Gobierno Digital y Datos.
En el marco del Día Internacional de Protección de Datos, a celebrarse el 28 de enero, desde el BID nos comprometemos a brindar conocimiento de punta y actualizado, por medio de la publicación de una serie de blogs que serán emitidos en las próximas semanas, sobre los derechos que la ciudadanía en la región debe conocer sobre el tratamiento de sus datos personales y cómo pueden las personas protegerse de eventuales ataques cibernéticos.
Fuente: BID