Transformación digital segura y transparente: panorama de la legislación sobre protección de datos en América Latina

SAP Concur Team |
15 de Julio de 2021

La legislación sobre la protección de datos en América Latina se encuentra a la par de los debates legales del mundo entero y se esfuerza por estar al corriente de esta necesidad.

Las tecnologías avanzan favoreciendo la vigilancia estatal de las comunicaciones. Los intentos por garantizar que las leyes relacionadas con la vigilancia de las comunicaciones persigan criterios justos en el tratamiento de la información aún son deficientes, puesto que la aplicación de principios jurídicos en los nuevos contextos tecnológicos no ha podido seguir el ritmo de las cambiantes tecnologías.

Los Estados cada vez acceden con mayor fervor al uso de los metadatos sin controles adecuados en la protección del derecho a la intimidad. Los metadatos tienen el poder de crear un perfil de vida del individuo revelando quién es, sus bienes, inclinación política y religiosa revelando información que por derecho fundamental debe permanecer en privado.

Al respecto, los Estados tienen un enorme poder en la intromisión de la vida privada del individuo. El uso regular que hacen de los metadatos posee un bajo nivel de protección.

Sin embargo, los Principios de la Protección de Datos, creados en el 2013 por un grupo de expertos de todo el mundo, proporcionan una estructura para el Estado, la industria y la sociedad civil. Expresan las bases éticas que permitan evaluar las leyes y prácticas de vigilancia, acorde con los derechos humanos.

En este artículo, veremos los principios de la protección de datos y los desafíos jurídicos que enfrenta Latinoamérica en cada uno de sus países, así como sus principales avances en materia de legislación.

 ¿Qué es la protección de datos?

La protección de datos vela por la salvaguarda de los derechos de las personas cuyos datos personales se mantienen y procesan. Las personas tienen el derecho de saber qué datos están siendo almacenados y qué información se desprende de los mismos. Las diferentes políticas de protección de datos intentan considerar las obligaciones legales y éticas que se vinculan con el uso de los datos privados de las personas.

Los datos personales se consideran aquellos registros o información, que puedan revelar la identidad de una persona. Entre estos se vinculan datos como la edad, dirección personal, laboral o comercial, teléfonos, propiedades, lugar de estudios, entre otros muchos más.

Se entienden por datos personales “sensibles” aquellos datos que combinados puedan dar lugar a otros. Entre estos datos sensibles están: el origen racial o étnico, tendencias políticas, creencias religiosas o espirituales, participación en movimientos políticos como sindicatos u otras asociaciones, salud, estado físico y mental, vida sexual, antecedentes penales entre otros.

Principios básicos de la protección de datos

De acuerdo a lo estipulado por la OCDE (Organización para la Cooperación y el Desarrollo Económico), una organización internacional que tiene como objetivo diseñar políticas para el bienestar integral de las personas, los principios básicos de uso de los datos tienen como finalidad facilitar la labor de la protección de la privacidad y la libertad individual. Dichos principios son:

Principio de legalidad

El Estado no puede implementar medidas que alteren los derechos de privacidad, aun cuando no exista una ley disponible en curso. Dada la acelerada transformación digital, es necesario que las leyes que velan por el derecho a la privacidad sean revisadas frecuentemente y con carácter participativo.

Objetivo legítimo

Las leyes solo deberían permitir aquellas actividades de vigilancia de las comunicaciones que posean un objetivo legítimo en consonancia con los intereses jurídicos vinculados. Las medidas no deben discriminar al individuo por información política, sexo o raza, o alguna otra que comprometa su identidad.

Principio de necesidad

Las actividades vinculadas con el uso de datos deben limitarse a lo estrictamente necesario, siempre y cuando sea el único medio para alcanzar un objetivo legítimo.

Principio de idoneidad

Todo caso de vigilancia debe ser autorizado.

Principio de proporcionalidad

El Estado debe considerar la sensibilidad de la información y los intereses involucrados. La información utilizada debe ser proporcional al delito, y solo en caso de delito grave o amenaza específica. La información debe ser utilizada por las autoridades específicas, por tiempo limitado y sin que altere el derecho a la privacidad o las libertades fundamentales.

Principio de autoridad judicial o competente

Las autoridades deben estar capacitadas para tomar las decisiones judiciales relacionadas con los metadatos, las tecnologías empleadas y su relación con los derechos humanos.

Principio de debido proceso

Los Estados deben garantizar los derechos humanos de las personas y trabajar con procedimientos legales ante la interferencia de la información personal.

Principio de notificación al usuario

Las personas tienen derecho a ser notificadas cuando se haga uso de sus datos, bien sea para impugnar o para autorizar. La notificación no pude retardarse y la obligación recae en manos del Estado.

Principio de transparencia

Los Estados deben ser transparentes en cuanto al uso y alcance de las leyes. Es ideal que se publique toda la información global sobre el número de solicitudes de acceso a los datos, la petición de autoridades y de proveedores de servicios, y que se especifique el propósito de la investigación.

Es deber de los Estados, que aporten a las personas razones para que puedan comprender el uso de su información.

Principio de supervisión pública

Los mecanismos de supervisión deben ser creados por el Estado a fin de velar si el Estado está haciendo uso legítimo de sus funciones legales, y si ha cumplido con los procesos de transparencia sobre el uso y alcance de los poderes de vigilancia de datos y comunicaciones.

Principio de integridad de las comunicaciones y sistemas

Se emplearán las salvaguardas de seguridad para proteger los datos personales ante diferentes tipos de riesgos, entre ellos la pérdida, acceso no autorizado, modificación, destrucción y divulgación.

Principio de garantías contra el acceso ilegítimo y derecho a recurso efectivo

Los Estados deben considerar leyes que penalicen el acceso a metadatos de forma ilegal de parte de los entes públicos y privados. En este sentido, se hace necesario contemplar sanciones penales y civiles para quienes incurran en delito y medidas de protección para las personas afectadas.

Legislación sobre la protección de datos en América Latina

Desde hace una década la preocupación por la legislación sobre la protección de datos en América Latina ha tenido un progreso considerable. En la actualidad existen un total de 142 países que han promulgado leyes sobre la protección de datos en vista de la acelerada transformación digital.

Aun cuando en los países haya diferentes enfoques en la manera de abordar la protección de datos, América Latina ha hecho algunos esfuerzos al respecto. Chile fue uno de los primeros países de la región en adoptar una ley para la protección de datos en el año 1999, seguido de Argentina en el año 2000.

La legislación europea en cuanto a protección de datos ejerce una fuerte influencia en la región, siguiendo el Reglamento General de Protección de Datos de UE del 2018, de modo que las leyes en el continente se han inspirado en el documento.

Aun cuando existan avances en el diseño de las leyes, cabe decir que su ejercicio todavía es bastante deficiente en relación con la privacidad de las comunicaciones, la salvaguarda de los derechos y el seguimiento de los principios de protección.

Características de las leyes de protección de datos en algunos países

A continuación, analizaremos el panorama de la legislación de protección de datos en algunos países de Latinoamérica.

Brasil

Brasil, se inspira en las leyes de protección de datos de la GDPR. Comprende una de las leyes de protección de datos más completas de América Latina con más de 40 regulaciones diferentes.

La LGPD o Ley General de Protección de Datos del país, regula todo lo relativo a su tratamiento. Su aprobación fue en agosto del 2018 y otorga a los ciudadanos del país nueve derechos exigibles acerca de sus datos personales.

Impone importantes obligaciones de cumplimiento a todas las entidades legales que se encarguen de procesar datos personales, públicos y privados.

Toda compañía se encuentra en obligación de adquirir el consentimiento del dueño de los datos, y se le debe notificar cuáles se están utilizando, el motivo y el tiempo de almacenamiento. Posteriormente la compañía se encuentra en la obligación de destruir los mismos, una vez haya finalizado su investigación.

Como medida de penalización, si los sistemas de recopilación de datos están incumpliendo las normas, existen penalidades anuales del 2% de las ganancias a las empresas que incurran en delito.

Esta ley entiende por datos personales aquellos “sobre” una persona que se almacenan en computadora o incluso en papel, y se etiquetan referidos a una persona en particular. Entre estos se pueden citar: fecha de nacimiento, información de pertenencia a sindicatos, número de cuentas bancarias, entre otros. Por su parte los datos anónimos quedan fuera del alcance de la ley, pero se contempla el derecho a la portabilidad.

Entre otros puntos de interés, la ley brasileña señala que el consentimiento de acceso a los datos no se puede obtener mediante una “autorización genérica”, sino que debe contribuir a propósitos concretos. Esto quiere decir que empresas, organizaciones y páginas web primero deben obtener el consentimiento específico de los interesados antes de que se lleve a cabo cualquier uso de sus datos personales, y debe tener carácter revocable en cualquier momento.

Por su parte, el procesamiento de datos personales o sensibles debe ser documentado desde su obtención hasta el final de su uso. Se hace obligatorio presentar una descripción de qué tipo de datos se están recopilando, cuál es el propósito de esa recopilación y el trato que están recibiendo, los tiempos de uso, y con quién se pueden compartir esos datos.

Colombia

Posee una de las leyes de protección de datos más completas del continente, vigente desde el año 2012. Contiene disposiciones sobre almacenamiento, tratamiento, uso y eliminación de datos personales.

La ley colombiana ha estado en constante cambio, y actualmente, se está discutiendo una reforma de ley en el congreso para ampliar la ley vigente. Tiene como propósito añadir nuevos conceptos, entre ellos velar por la privacidad junto a otras leyes e instituciones financieras.

La política de protección de datos debe cumplirse al interno de las compañías y debe ser de conocimiento de todos los empleados.

La legislación colombiana proporciona una interesante tipología de protección de datos de acuerdo al grado de aceptabilidad de su divulgación:

  • El dato público: aquel que no es de carácter ni privado ni semiprivado.
  • El dato semiprivado: no tiene naturaleza íntima, y sin embargo, pude interesar tan solo al titular.
  • El dato privado: posee naturaleza íntima y reservada con importancia para el titular de la información.
  • El dato sensible: afecta la intimidad del titular, ya que un uso inapropiado del mismo puede provocar discriminación.

La ley de protección de datos en este país no se aplica a los archivos o bases de datos que permanezcan en el ámbito doméstico ni aquellos archivos que contengan información periodística.

México

Desde el 5 de julio del año 2010, México posee una ley que regula el tratamiento de los datos personales a las empresas del sector privado. Tiene por nombre la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

La ley es aplicable a las personas físicas y morales del sector privado, aquellas que utilicen, agrupen, y transfieran datos personales dentro de sus actividades operacionales. Todas estas actividades se les denominan “tratamiento” de datos personales. De acuerdo con la Ley, a los principales involucrados en el tratamiento se les llama “responsable” y “encargado”.

El “responsable” toma las decisiones sobre el tratamiento de datos; mientras que el “encargado” trata los datos bajo las instrucciones del “responsable”, y será quien enfrente las sanciones del INAI en caso de incumplimiento.

La Ley mexicana, también actúa conforme a los principios de tratamiento como lo son: consentimiento, licitud, finalidad, información, lealtad, responsabilidad y proporcionalidad. A su vez se prevén las reglas de seguridad y de confidencialidad, de obligatorio cumplimiento de parte del responsable.

Por su parte, las empresas están en la obligación de proporcionar información clara a los titulares sobre el uso de sus datos personales y adquirir su consentimiento.

En materia de derechos del titular de los datos, México no otorga el derecho a la portabilidad ni el derecho al olvido, en el cual el titular podría pedir la eliminación de sus datos personales.

Chile

En el año 2018, gracias a la modificación del artículo 19 Nº 4 de la Constitución, se incluyó el derecho constitucionalizado a la protección de datos personales dentro de los derechos fundamentales.

De esta forma, la Ley 21.096 sostiene que toda persona tiene derecho a la protección de sus datos personales, y que el tratamiento que se haga de los mismos, solo será posible mediante las condiciones que estipula la Ley, tal como se había hecho en la ley 19.628 del año 1999.

En el 2018 se presentaron alrededor de 50 proyectos de ley, ya que se trata de una de las preocupaciones más fuertes de las autoridades gubernamentales y parlamentarias.

El nuevo proyecto pretende adecuar la ley 19.628 al estándar internacional de la Unión Europea, en el reconocimiento de un conjunto de derechos para los titulares, las normativas del tratamiento de datos y la existencia de una autoridad con autonomía e independencia para velar por su cumplimiento.

Chile busca ser considerado como un país adecuado por los estándares de Europa, para que los datos personales de chilenos residentes en otros países puedan ser transferidos sin problemas en tiempo real. Esto le permitiría al país obtener ventajas competitivas en cuanto a la provisión de servicios globales relativos al tratamiento de datos personales.

En lo referente a los principios de tratamiento de datos, persiguen ampliar cada uno de los principios. Entre los derechos de los titulares se puede mencionar:

  • Derecho al acceso: en el cual el titular puede solicitar y obtener del responsable la finalidad del uso de datos, el tiempo y demás información que requiera.
  • Derecho a la rectificación: cuando sean inexactos, incompletos o desactualizados
  • Derecho a la cancelación: para suprimir los datos personales cuando no sean necesarios en relación con los objetivos del tratamiento
  • Derecho a la oposición: en caso de que el titular desee oponerse a que se haga un tratamiento de sus datos en caso de que vulnere sus derechos y libertades fundamentales.

Entre otros rasgos, durante la tramitación del proyecto de ley se dispuso que la autoridad de control quede a cargo del Consejo para la Transparencia, ahora llamado, Consejo para la Transparencia y la Protección de Datos Personales.

Argentina

El país se encuentra trabajando en nuevo proyecto de Ley para actualizar el régimen actual de protección de datos personales aprobado en el año 2001.

El objetivo del proyecto es modernizar la legislación en curso manteniendo los derechos y garantías de la Constitución Nacional, pero adaptándolos al contexto actual en medio de nuevas tecnologías y los cambios del derecho comparado.

Para estar a tono con el GDPR de la UE se propone una reforma más acorde con los estándares internacionales.

El proyecto de ley introduce nuevas definiciones en consonancia con GDPR, tales como datos genéticos y biométricos. Además, incorpora nuevas bases legales para el tratamiento de datos personales diferentes al consentimiento.

Introduce el concepto de rendición de cuentas, amplía el listado de los derechos de los titulares, añadiendo el derecho a la oposición y aumenta los montos de las sanciones.

Actualmente, el proyecto aún es objeto de debate en la Cámara de Diputados del Congreso de la Nación.

Tendencias en América Latina en la protección de datos personales

Reforma de las leyes existentes

Ecuador y El Salvador están avanzando en la construcción de una regulación integral de la privacidad. Brasil y Panamá han aprobado su nueva legislación, mientras que Chile, Uruguay y Argentina, están trabajando en proyectos de ley acordes con la economía digital.

Cada uno de los países se encuentra en etapas diferentes. Se espera que en conjunto lograrán contribuir a respetar la privacidad de los usuarios y otorgar seguridad jurídica en su uso.

Mayor participación en la economía digital

Sabemos que los datos constituyen la fuente de vida de la sociedad digital y dirigen la economía global. Los desafíos que demanda el comercio actual, requiere de la capacidad que tengan las organizaciones para utilizar los datos.

Los acuerdos internacionales como la creciente adhesión de América Latina al Convenio 108, exige la creación de estándares de protección de datos, que den lugar a marcos regulatorios de privacidad y mecanismos de cooperación transfronterizos.

Reconocimiento del potencial de los datos y la importancia de proteger al ciudadano digital

El uso de los datos está ejerciendo un impacto transformador en todos los sectores económicos, y un uso ético de los mismos podría contribuir a introducir importantes mejoras sociales.

A la par, vienen nuevas tecnologías como 5G, Internet de las Cosas o la Inteligencia Artificial, que demandan soluciones de protección de la privacidad dentro de marcos regulatorios horizontales.  

La transformación digital es indetenible, de manera que América Latina también se suma a la necesidad de construir marcos legales que brinden protección a las personas en lo referente al uso de sus datos por parte de instituciones públicas y privadas.

Las leyes en curso constituyen puntos de partida importantes al respecto. La región amerita más transparencia en sus operaciones y en la forma de aplicar las leyes.

Si quieres profundizar sobre este u otro tema relacionado, ¡no olvides suscribirte a nuestro newsletter para estar al día con más novedades!