Las dinámicas en los servicios —considerando la transformación de los mercados, ahora en su mayoría digitalizados— demandan desarrollar una gestión en materia de protección de datos personales. A decir del equipo de especialistas en la materia de Consortium Legal, firma con sedes en varias jurisdicciones de Centroamérica, los avances regulatorios dan cuenta de una timidez desde los estados, lo que no se condice con el interés desde el sector privado.
“Producto de los constantes avances tecnológicos y la nueva forma de hacer negocios, resultado de la pandemia y un mayor consumo de la población, por medios digitales, el interés por el tema de la protección de datos ha incrementado”, explica Meyling Sampson, asociada sénior de la firma en Nicaragua.
Por su parte, según Astrid Domínguez, asociada sénior de la sede de Consortium Legal en Guatemala, en lo que concierne a la región centroamericana, Costa Rica y Nicaragua son los países que llevan la delantera en términos regulatorios en materia de protección de datos. La abogada detalla que en Costa Rica existe regulación específica y se clasifican las bases de datos en domésticas (internas o privadas) y públicas, y en Nicaragua, este tema está regulado por la Ley No. 787 o Ley de Protección de Datos Personales y su Reglamento.
A estos dos países se suma Honduras, cuando se hace un mapeo respecto de aquellas jurisdicciones que han planteado un marco regulatorio específico para la materia.
Aunque no ha consolidado un liderazgo en protección de datos personales, este último país, se enfoca en un área interesante, según explica Jeovanny Hernández, socio de la sede de Consortium Legal en Honduras. La jurisdicción establece la fiscalización de las personas naturales y jurídicas, a cargo del desarrollo de bases de datos personales e información confidencial, respecto del uso que estas puedan darle.
“En Honduras, el artículo 42 del Reglamento de la Ley de Transparencia y Acceso a la Información Pública, regula lo atinente a las bases de datos y ordena que las personas naturales y jurídicas que por razón de su trabajo elaboren bases de datos personales e información confidencial, no podrán utilizarla sin el previo consentimiento de la persona a que haga referencia la información”, detalla.
Consortium Legal cuenta con un equipo especializado en la materia, se trata de cinco abogadas y abogados, uno por cada sede de la firma: Astrid Dominguez en Guatemala; Daniel Leiva en El Salvador; Jeovanny Hernández en Honduras; Meyling Sampson en Nicaragua y Yoser González en Costa Rica. El equipo atendió cuatro preguntas claves en materia de regulación, deberes y sanciones. Además, compartió recomendaciones y medidas que los departamentos legales puedan integrar en la gestión de datos personales.
No dejes de leer: Protección de datos y apuestas en línea: ¿Qué institución se encargará de su regulación en Chile?
Regulación, deberes y sanciones: un panorama diverso
¿La norma establece distinciones en relación con los deberes y sanciones entre personas físicas o jurídicas? ¿En qué jurisdicciones se da ello?
Astrid Dominguez (Guatemala): De conformidad al artículo 38 del Código Penal, sí existen sanciones penales distintas tanto para la persona jurídica como para las personas individuales que participaron en el hecho directamente, que sin su participación no se hubiere podido cometer el hecho. No hay una especificidad concreta en materia de datos personales.
Yoser Gónzalez (Costa Rica): Sí existe diferencia. Las personas jurídicas no son sujetos de derechos en cuanto a datos personales se refiere, pero sí son sujetos de deberes y obligaciones. Tampoco hay una especificidad en relación al manejo de datos.
Meyling Sampson (Nicaragua): En materia de protección de datos no existe distinción entre las personas naturales y jurídicas en cuanto a sanciones y deberes.
Daniel Leiva (El Salvador): En términos generales, no existe distinción entre las personas naturales y jurídicas en cuanto a sanciones y deberes. No obstante, para las Agencias de Información Crediticia (burós de crédito), existe un régimen de obligaciones y sanciones especial, regulado en la Ley de Regulación de los Servicios de Información sobre el Historial de Crédito de las Personas.
Jeovanny Hernández (Honduras): Tampoco existe distinción de los deberes entre personas naturales y jurídicas. En cuanto a las sanciones, la única distinción que existe es si el responsable es servidor público o un particular. De acuerdo con ello, la naturaleza de la sanción cambia. La jurisdicción es de naturaleza administrativa. En materia penal, sólo las personas naturales pueden incurrir en responsabilidad penal. La pena varía según sea funcionario o empleado público o un particular.
Sobre la pregunta anterior, ¿cuáles son los principales desafíos que esta distinción genera? Y ¿Cuáles son sus principales aciertos?
Astrid Dominguez (Guatemala): Requiere un esfuerzo para las personas jurídicas, como para las personas individuales. Las personas jurídicas deben crear políticas y procedimientos que se implementen en la realidad, mientras que las personas individuales deben conocer y cumplir estas políticas, con la posibilidad de denunciar a aquellas que no las cumplan.
Yoser Gónzalez (Costa Rica): El mayor peso en el cumplimiento de las obligaciones legales recae sobre las personas jurídicas. En la mayor parte de los casos, las personas físicas son más sujetos pasivos de derechos, lo cual, además, los vuelve en objetivos difíciles de fiscalizar por parte de los entes gubernamentales correspondientes.
Meyling Sampson, Nicaragua: Las obligaciones y sanciones aplican tanto a personas naturales como jurídicas.
Daniel Leiva (El Salvador): Requiere que ambos tipos de personas empiecen a fomentar una cultura de protección de datos. Para ello, se necesita una ley especial que regule la protección de datos de forma específica y que determine obligaciones y sanciones.
Jeovanny Hernández (Honduras): Con relación a las personas naturales y jurídicas particulares que captan y manejan información sensible o confidencial, principalmente aquellas que mantienen relaciones comerciales con empresas estadounidenses o europeas, deberían crearse protocolos y políticas de protección de datos. Ello, en vista que las regulaciones de esas jurisdicciones obligan a las empresas a tomar las medidas necesarias para la protección de datos, cuando contraten con cualquier persona en otras latitudes.
¿Qué tendencias normativas se avizoran en la materia hacia el 2023?
A decir del equipo de Consortium Legal, en Centroamérica está marcando la pauta Guatemala y Costa Rica. Así lo desarrollan las especialistas de la firma.
Astrid Dominguez (Guatemala): La tendencia está marcada por dos iniciativas, las explico a continuación:
- Iniciativa 5921, que corresponde a la Ley de Protección de Datos. La iniciativa de ley presupone establecer los principios, derechos, obligaciones y procedimientos que regulan la protección de datos personales y considera su interrelación con la vida privada y demás derechos y libertades de los ciudadanos.
- Iniciativa 6103, que dispone aprobar Ley Integral de Protección de Datos Personales en Poder de Terceros. Esta iniciativa tiene por objeto garantizar la protección de los datos personales en poder de terceros, su tratamiento legítimo, adecuado, proporcional, seguro, controlado e informado, para salvaguardar la privacidad y el derecho a la autodeterminación informativa de las personas. Asimismo, su objeto es instituir normas y procedimientos adecuados para garantizar, a toda persona, la protección de los datos personales que se encuentren en los archivos, fichas, registros, base, banco o cualquier otra forma de almacenamiento de datos y que sean sujetos a la presente iniciativa.
Yoser Gónzalez (Costa Rica): Considerando el debate hasta ahora desarrollado, se espera incluir la protección de datos personales dentro de la Constitución Política. Esta propuesta garantizaría una mayor protección al tema.
Para recordar: La protección de datos personales como criterio ESG
Políticas y recomendaciones
¿Qué políticas principales deben implementar las compañías locales para lograr una correcta protección de los datos personales? ¿Qué estándares mejorarían su capacidad para captar inversiones extranjeras?
Astrid Dominguez (Guatemala): A nivel de legislación, es importante que cuenten con protocolos de actuación que regulen todos los aspectos relacionados con el tratamiento de datos personales en la compañía. Esto implica designar un responsable e implementar políticas y procedimientos para mantener la confidencialidad y responder a las solicitudes de los titulares de los datos personales. También contempla capacitar e informar al personal sobre estos temas e implementar medidas de seguridad físicas, administrativas y tecnológicas para salvaguardar los datos personales.
Meyling Sampson (Nicaragua): Para evitar un mal uso del tratamiento de los datos personales, es recomendable que pueda elaborarse una política de protección de datos mediante la cual se regula el procedimiento.
Esta política se aplicaría desde la obtención del consentimiento del trabajador, cliente o proveedor, la conservación de datos, hasta la definición del personal responsable del tratamiento de datos. Establecería, incluso, un marco de sanciones en caso de no guardar la confidencialidad requerida, a efecto de proteger la información de carácter sensible suministrada por los trabajadores, clientes o proveedores.
En otro extremo, la política debería contemplar que los responsables de datos capaciten a su personal de forma constante sobre los temas de protección de datos para garantizar la confidencialidad de la información.
Adicional a lo mencionado y de cara a los inversionistas, será valioso apegarse a los estándares de la Unión Europea.
Imperdible: Campus LexLatin: Un espacio de formación continua para abogados
¿Cuándo se consideraría necesario asignar a una persona responsable de la gestión de datos personales? ¿Qué perfil debe tener el profesional que ocupe tal rol?
Yoser Gónzalez (Costa Rica): Se considera que es necesario un profesional responsable de la gestión de datos personales cuando en el giro comercial de la empresa se desarrollen actividades u operaciones que requieran de una observación habitual y sistemática de interesados a gran escala. Asimismo, cuando se realice en forma constante el tratamiento de datos que son considerados como “sensibles”, tales como el origen étnico o racial, afiliación sindical, opiniones políticas religiosas, entre otros.
Sus funciones dependen del nivel de tratamiento y del volumen de datos personales que realice la compañía. Dicha persona deberá contar con un perfil con una sólida y acreditable formación jurídica y en una amplia experiencia práctica y tecnológica, en sede administrativa y judicial sobre asuntos de privacidad, tecnológicos, corporativos y organizativos.
Add new comment