El 10 de febrero, la Comisión de Ciencia y Tecnología de la Asamblea Legislativa de Costa Rica dictaminó la Ley de Protección de Datos Personales (LPDP), derivada de la Ley No. 8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales (y de los artículos 23, 24 y 28 de la Constitución Política del país, que conciben los datos de los ciudadanos como parte de su derecho a la intimidad).
Como se explicó en el proyecto de ley presentado en mayo de 2022 (Expediente 23.097) para actualizar la normativa, esta nueva ley surge de la necesidad de reformar el marco regulatorio por cuatro motivos:
- La LPDP se inspiró en la Ley Orgánica de Protección de Datos Personales No 15/1999 de España.
- Costa Rica quiere adherirse al Convenio 108, tratado de alcance global en protección de datos personales, adecuado al propuesto por el Consejo de Europa para las transferencias internacionales de datos personales.
- La nación inició su proceso de ingreso a la Organización para la Cooperación y el Desarrollo Económicos (OCDE), que tiene normas cerradas sobre la protección de datos durante la transferencia internacional de estos.
- La norma a reemplazar tuvo baja aplicación en el sector público.
ChatGPT: Si el autor no es humano, ¿existe plagio?
Un marco base
La LPDP es similar a otras leyes sobre la misma materia en otros países al prohibir la revelación, intercambio o uso insensible de datos personales como la religión, etnia, sexualidad, historial médico y las afiliaciones políticas, religiosas o filosóficas. También establece penas económicas y otras sanciones para los entes (sobre todo algunos públicos) que compartan datos y fija la figura del consentimiento de uso de datos y las reglas para su transferencia entre instituciones públicas, que ahora dependen de la Agencia de Protección de Datos de los Habitantes.
La preocupación por mejorar la protección de los datos ciudadanos no es nueva ni de pocos países. Al contrario, en los últimos años, impulsados sobre todo por la economía digital, muchos países están revisando y mejorando sus protocolos y normativas de protección de datos personales. Se trata de hacerse atractivo para la inversión digital proveniente de Europa, lo que igualmente facilitará la exportación de servicios digitales desde los países externos hacia el mercado europeo, como lo indicó el Expediente 23.097.
Protección de datos de la Unión Europea
La Unión Europea (UE) ha desempeñado un papel crucial en la introducción de leyes de protección de datos desde 1995, cuando emitió en una directiva las primeras normas de protección de datos de las personas físicas. Esto luego se convirtió en el Reglamento General de Protección de Datos (RGPD), en abril de 2016, que es el marco por el que se rige la Unión Europea y los países que conforman el Espacio Económico Europeo (EEE). El RGPD entonces es el referente global en esta materia.
Por ahora, Costa Rica es considerada por la UE un país con “autoridad independiente y ley”, pero no como país “adecuado” ni “medianamente adecuado”, como indica María Lucía Alvarado, sénior manager de EY Law.
Los únicos países latinoamericanos que cumplen con todos los estándares europeos en esta materia son Argentina y Guyana Francesa (por ser territorio francés), mientras “el resto de los países de la región no tiene ningún tipo de normativa con respecto a la protección de datos, pese a que este es uno de los aspectos más relevantes que se deben tratar a nivel país para brindar mayor protección a sus ciudadanos”, apunta la abogada.
Proteger los datos se está convirtiendo en una necesidad global
Es lógico pensar que la adecuación de las normativas de varios países o el aumento de las discusiones sobre este tema son un efecto dominó causado por las exigencias europeas y la necesidad de crear ecosistemas seguros para los clientes y empresarios digitales. También es lógico pensar que se trata de una tendencia inevitable.
Así lo considera Alvarado, quien asegura que los legisladores “no pueden seguir postergando la creación de estas leyes en los países donde no las hay, o las reformas en los países donde las hay, pero necesitan ajustes; y como un efecto dominó, se deben incluir en todos los países latinoamericanos”.
Es obligatorio que las naciones actualicen sus sistemas de protección de datos, para “tener una visión más amplia en este tema, proteger la información de cada ciudadano y contribuir a nivel global con un uso responsable de la tecnología”.
¿Cuáles son los estándares mínimos de la protección de datos?
El ajuste de las leyes en la región se rige bajo los estándares mínimos de protección, “por lo tanto, todo parecería indicar que hay una intención de desarrollar y actualizar la legislación existente en materia de protección de datos personales por parte de los países de América Latina”, dice Diego Fernández, socio del área de PI, Tecnología de la Información y Privacidad de Marval, O’Farrell & Mairal.
Pero, ¿cuáles son esos estándares mínimos de protección? En Argentina, la Ley de Protección de Datos Personales (LPDP) obliga a los responsables del tratamiento de los datos a contar con el consentimiento de los titulares de los datos personales, explicarle a los titulares de los datos cómo y para qué se hace la recolección de sus datos, registrar toda base de datos que contenga datos personales ante el Registro Nacional de Bases de Datos; garantizar la confidencialidad de los datos personales para evitar su adulteración, pérdida, consulta o tratamiento no autorizado; garantizar a los titulares el derecho a revisar, rectificar, actualizar o suprimir sus datos.
Asimismo, la LPDP prevé que todo tratamiento de datos personales debe cumplir con los principios de minimización; licitud, lealtad y transparencia; limitación de la finalidad, exactitud y de limitación del plazo de conservación.
En México, estos niveles mínimos de protección los resguardan los principios de licitud (los datos no deben recabarse a través de medios engañosos o fraudulentos); consentimiento (la recabación de datos está sujeta al consentimiento de su titular); información (quien guarda datos debe describir el tratamiento al que serán sometidos); calidad (los datos deben ser exactos, completos, pertinentes, correctos y actualizados); finalidad (solo pueden usarse para lo que se dijo se usarían); lealtad, proporcionalidad (solo se usan los datos para los fines para las que se obtuvieron) y responsabilidad. Ambos principios son abarcados por la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados de 2017.
Esto es la teoría, pero en la práctica, “estos principios teóricos resultan poco útiles cuando los responsables del tratamiento de los datos no los aplican. En tanto no se robustezcan los mecanismos de los reguladores para verificar el cumplimiento de la normatividad aplicable, existe el riesgo latente de que los datos personales recabados por particulares -en su carácter de responsables- no se encuentren debidamente protegidos y puedan ser vulnerados por terceros o utilizados para fines para los que no fueron consentidos”, explica Elián Ávila, asociada sénior del área de Protección de Datos de Mijares, Angoitia, Cortés y Fuentes.
Tanto México como Argentina son firmantes del Convenio 108, por lo que -al igual que Costa Rica- se comprometieron a realizar las reformas necesarias en su legislación para cumplir con las exigencias del Convenio.
Podría interesarte: Tatuajes de autor, ¿el derecho es del tatuador o del tatuado?
El caso Argentina y los avances continentales
Lo que hace a Argentina pionera en protección de datos personales en Latinoamérica es no solo haber sido la primera nación en establecer protocolos de protección de datos personales (por medio del artículo 43 de la Constitución Nacional, la Ley N° 25.326 de la LPDP, su Decreto Reglamentario N° 1558/2001 y las normas complementarias dictadas por la Agencia de Acceso a la Información Pública), sino haber firmado y adecuado sus prácticas al Convenio 108 (y luego al Protocolo que modifica el Convenio 108, comúnmente conocido como el Convenio 108+, aprobado por la Ley N° 27.699).
Esto permitió que la CE reconociera al país austral como uno que ofrece una protección adecuada para la transferencia internacional de datos personales.
Pero, aunque las prácticas argentinas han demostrado ser las correctas, Fernández recuerda que para que el continente ajuste sus legislaciones no debe tomar en cuenta los modelos europeos como el ideal -o el suyo en dado caso- sino atender las necesidades y contextos específicos de cada país de América Latina.
De similar opinión es Iara Peixoto Melo, socia de Protección de Datos y Ley Digital de Chenut Oliveira Santiago Advogados, quien afirma que si bien Europa es uno de los continentes más avanzados en materia de protección de datos y muchas legislaciones nacionales buscan ajustarse a sus requerimientos, “copiar la legislación de un lugar y aplicarla en otro no es lo ideal. Es necesario considerar las peculiaridades de cada país y su legislación”, pero, ya que la UE ha estado tratando el tema de la protección de datos personales durante muchos años, “inspirarse en su experiencia puede ser muy beneficioso para América Latina.”
Algunas naciones están avanzando por el camino correcto, tal es el caso de Brasil, Ecuador y Uruguay, que cuentan con leyes que reflejan los principios y garantías del Reglamento Europeo de Protección de Datos Personales, mientras Bolivia, Chile, Costa Rica y Paraguay están discutiendo proyectos de ley tanto para regular en materia de protección de datos o actualizar el marco normativo existente.
Querrás leer: Economía naranja en Venezuela: las ideas rentables
La adopción de medidas de ciberseguridad en muchos países latinoamericanos es otro avance que resalta el abogado argentino. “El aumento de ciberataques en el último tiempo ha hecho que países como Perú y México prioricen el desarrollo de un marco normativo en ciberseguridad robusto y actualizado”, señala, al tiempo que destaca que ha habido un fortalecimiento de las autoridades de control de protección de datos, un caso es el de Colombia, donde han aumentado significativamente las sanciones impuestas por violaciones a la Ley Estatutaria de Protección de Datos N° 1581 y se espera que este año la Superintendencia de Industria y Comercio nombre al nuevo Superintendente Delegado para la Protección de Datos Personales.
“No podemos garantizar que todos los datos personales estén efectivamente seguros en América Latina, pero creo que podemos considerar que el escenario ha mejorado mucho en los últimos años”, añade la abogada brasileña, quien resalta que gracias a la adopción de mejores medidas de protección nacionales muchas empresas actualizaron sus políticas de privacidad, implementaron recopilaciones de consentimiento y avisos de privacidad.
En el caso de Brasil, se han hecho “avances significativos” con la creación de la Autoridad Nacional de Protección de Datos (ANPD), el Marco de Derechos Civiles para Internet (ley 12.965/2014), la Ley de Acceso a la Información (ley 12.527/2011) y la entrada en vigor de la Ley General de Protección de Datos (LGPD, por sus siglas, y muy similar a la RGPD). Con esto, dice Peixoto Melo, “creo que Brasil pronto estará en condiciones de ser considerado un país seguro para la transferencia internacional de datos personales a los ojos de la Unión Europea”, especialmente porque la ANPD ha estado muy activa y ha publicado diversos materiales con el objetivo de orientar a la población. “Creo que los próximos años serán fundamentales para que la LGPD y las prácticas de protección de datos personales se consoliden en Brasil, pero considero que el panorama brasileño es positivo”, predice.
}
Add new comment