Seleccionar página

El 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos (“GDPR”) de la Unión Europea (UE) e impulsó a varios países de América Latina a reformar y actualizar sus regímenes locales de protección de datos. Brasil, por ejemplo, elaboró ??una regulación integral de protección de datos que refleja las leyes de la UE a pesar de no tener una regulación previa, mientras que Chile, Argentina y México están tomando medidas notables para aumentar la protección de la privacidad y la seguridad de los ciudadanos. En este artículo, analizamos los cambios en curso en materia de protección de datos en algunos países de América Latina y en qué medida siguen los pasos de la UE.

La UE es tradicionalmente conocida por establecer el estándar para las regulaciones de protección de datos a nivel mundial y GDPR no es una excepción. Basado en sus disposiciones de protección de datos de vanguardia y medidas y sanciones estrictas, GDPR ya está impactando la legislación mundial y está estableciendo el estándar más alto en el tratamiento de datos personales.

GDPR alcanzó relevancia internacional, no solo porque contiene amplias disposiciones relacionadas con la protección de datos personales y la privacidad, sino también por su aplicación extraterritorial. El RGPD puede imponer obligaciones no solo a las empresas ubicadas en la UE que procesan datos personales, sino también a las empresas ubicadas en países no pertenecientes a la UE que procesan datos personales de ciudadanos de la UE.

Este reglamento también ha otorgado a las autoridades de la UE la facultad de realizar determinaciones de adecuación. Las autoridades pueden evaluar si un tercer país, territorio o sector dentro de un tercero o una organización internacional garantiza un nivel adecuado de protección de conformidad con las disposiciones del RGPD. Los países fuera de la UE pueden tener una motivación financiera para imponer obligaciones de protección de datos a nivel del RGPD con el fin de aprovechar los beneficios potenciales de que sus disposiciones nacionales se consideren adecuadas según el RGPD para las transferencias de datos desde la UE.

Antes de 2018, varios países de América Latina ya contaban con alguna medida de políticas de protección de datos. Tras la entrada en vigor del RGPD, estamos asistiendo a un brote de reformas a la ley de privacidad, ya que los países latinoamericanos elevan sus estándares de protección de datos para cumplir con los establecidos en la normativa de la UE.

Argentina

Argentina aprobó una de las primeras leyes de protección de datos en la región de América Latina, pero permanece prácticamente sin cambios desde 2000. Argentina está buscando revisar las leyes de privacidad actuales para mantener su estatus como un país con un nivel adecuado de protección desde una perspectiva de la UE. .

En 2018, se propuso un proyecto de ley para reemplazar la Ley Argentina N° 25.326 para alinearse con GDPR y, por lo tanto, incluye derechos y principios similares. Éstos incluyen:

  • Incorporación de conceptos como “datos genéticos”, “datos biométricos” y “computación en la nube”;
  • Alcance limitado referido únicamente a personas naturales, excluyendo a personas jurídicas;
  • Obligación de las agencias gubernamentales de designar un oficial de protección de datos si se procesan datos confidenciales y grandes; y
  • Incorporación de normas sobre la licitud del tratamiento de datos.

También se abordan los derechos adicionales de los interesados; el proyecto de ley reconoce expresamente el derecho a oponerse o restringir el tratamiento y el derecho a la portabilidad de los datos.

Brasil

Hasta hace muy poco, Brasil carecía de una ley específica para regular los aspectos de protección de datos e incluso carecía de una definición de datos personales. En cambio, durante años el país ha mantenido varias leyes sectoriales relativas a las disposiciones generales sobre protección de las personas y sus datos relacionados. El Código de Protección al Consumidor, por ejemplo, otorgó algunos derechos de privacidad para acceder y corregir los datos del consumidor. El Marco Legal de Internet reguló el procesamiento de datos personales, incluyendo la recolección, almacenamiento, retención, tratamiento y comunicación de datos personales. El Código Penal, modificado por la Ley N° 12.737/12, también conocida como ley de delitos informáticos, también cubría ciertos aspectos. Esta regulación fragmentada llegó a su fin en julio de 2018 cuando el Senado brasileño aprobó la Ley General de Protección de Datos de Brasil, estableciendo un régimen único de protección de datos basado en las disposiciones de GDPR.

La Ley General de Protección de Datos de Brasil rige los derechos y obligaciones relacionados con el procesamiento de datos personales, así como las buenas prácticas, y también:

  • Crea una autoridad nacional de protección de datos;
  • Incorpora el alcance extraterritorial del RGPD; se aplicará a los sectores público y privado si el procesamiento ocurre en Brasil o los datos personales se obtienen de interesados ??ubicados en Brasil, independientemente de la ubicación del controlador;
  • Obliga a las empresas y organismos públicos que manejan datos personales a designar un oficial de protección de datos; y
  • Crea la posible imposición de multas de hasta el 2% de los ingresos brutos de un grupo en Brasil en el último año fiscal por incumplimiento.

Chile

La protección de datos personales en Chile está regulada por la Ley N° 19.628 desde 1999. Su objeto fue establecer disposiciones generales respecto de los datos personales tratados por terceros. Si bien esta ley chilena establece que los interesados ??deberán ser informados sobre las finalidades del tratamiento de sus datos personales y que se recabará su consentimiento, no establece mecanismos para supervisar el adecuado cumplimiento de las obligaciones legales en la materia. Ante esto, Chile busca reformar la Ley N° 19.628 para adecuarla a las normas y disposiciones del RGPD. Este proyecto de ley:

  • Regular la protección y tratamiento de datos personales;
  • Crear un consejo de protección de datos para hacer cumplir la ley e imponer multas de hasta $700,000 USD; y
  • Introducir los datos biométricos en la definición de datos sensibles.

Es de gran importancia mencionar que Chile también acordó enmendar su constitución para incluir el derecho a la protección de datos personales.

Colombia

Colombia es consciente de la necesidad de incorporar disposiciones pertinentes a sus leyes de protección de datos vigentes, la Ley N° 1.581 y la Ley N° 1.266, que aborden las innovaciones tecnológicas contemporáneas. El RGPD incluye obligaciones que no están reguladas por las leyes colombianas vigentes, como el derecho al olvido y la designación de delegados de protección de datos. Uno de los temas más importantes en Colombia es el proyecto de ley que pretende dotar a la Ley de privacidad de datos N° 1.581 del alcance internacional del RGPD, entre ellos:

  • Nuevas definiciones de datos sensibles, datos públicos y aviso de privacidad, y
  • Especificación de ciertos requisitos para las políticas de privacidad.

Colombia creó recientemente una lista de “adecuación” para transferencias transfronterizas, que contiene una lista de países que cumplen con los estándares de nivel de protección de datos adecuados según los criterios colombianos.

México

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México, vigente desde 2010, es la base de un sistema integral de privacidad que rige el tratamiento de los datos personales, incluida su recolección, uso, transferencia y almacenamiento. De conformidad con las leyes vigentes, se otorgan a los interesados ??derechos de acceso, rectificación, cancelación u oposición al tratamiento de los datos.

La autoridad de protección de datos más activa de América Latina

Los Interesados ??son cada vez más conscientes de estos derechos y los ejercen activamente. Entre enero de 2012 y junio de 2017, la Autoridad de Protección de Datos de México (conocido como “INAI”) tramitó: (a) 820 Procedimientos de Protección de Derechos ARCO y; (b) 2.094 reclamos presentados por los interesados ??ante el INAI, que han resultado en 1.520 procedimientos (fase de descubrimiento) y 208 Procedimientos de Verificación. Además, el INAI es probablemente la autoridad de protección de datos más activa de América Latina. Entre enero de 2012 y junio de 2017, el INAI ha impuesto sanciones a empresas que operan en México en 147 casos, por un monto total aproximado de $16.7 millones de dólares en multas.

Si bien la ley mexicana también brinda mucho espacio para la flexibilidad y la autorregulación, es probable que México adopte, al menos hasta cierto punto, disposiciones de seguridad y protección de datos comparables a las regulaciones europeas. Por ejemplo, México se adhirió recientemente al Convenio Europeo para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos Personales (“Convenio 108”) y su Protocolo Adicional sobre Autoridades de Supervisión y Flujos Transfronterizos de Datos. El Convenio 108 impone obligaciones a los Estados miembros, como incorporar a sus leyes internas principios y disposiciones para el tratamiento de datos personales de las personas.

Dado que México es plenamente consciente de la relevancia de cumplir con las disposiciones de privacidad en la mayor medida posible, se esperan en el corto plazo importantes reformas a la ley de privacidad actual para adecuar la normativa mexicana al RGPD y al Convenio 108.

Perú

En 2011, Perú promulgó la Ley N° 29.733, cuyas disposiciones buscan una amplia protección y otorgan derechos adecuados a los interesados ??en caso de que las empresas que procesan datos personales incumplan con sus obligaciones.

La ley de protección de datos en Perú se actualizó recientemente para ampliar las pautas legales para el procesamiento de datos y fortalecer su régimen de protección de datos. Se han incorporado algunas disposiciones relevantes relacionadas con la transferencia de datos:

  • El responsable del tratamiento está obligado a notificar cualquier transferencia de datos que resulte de las fusiones y adquisiciones de una empresa y a inscribir las transferencias internacionales de datos en un registro nacional peruano.
  • También se incluyen nuevas exenciones a la obtención del consentimiento para el tratamiento de datos, principalmente para prevenir el blanqueo de capitales y la financiación del terrorismo.

El cumplimiento de los más altos estándares es importante ya que la UE juega un papel importante en muchos mercados e industrias latinoamericanos. La modificación de las leyes nacionales de protección de datos actuales puede mejorar la relación con los socios comerciales europeos y puede proporcionar un mayor reconocimiento internacional. Este es el impulso para que América Latina dé a conocer su presencia global en un mundo basado en datos.

Para obtener más información sobre los requisitos actuales de privacidad de datos y los próximos problemas en todo el mundo, consulte el manual de privacidad en línea de Baker Mc K enzie en https://tmt.bakermckenzie.com/-/media/minisites/tmt/files/global_privacy_handbook-_2018.pdf?la =es.

Publicación invitada aportada por Paulina Bojalil, Asociada de Baker McKenzie México, Michael Egan, Socio Comercial Internacional de Baker McKenzie Washington, DC y Carlos Vela-Treviño, TMT/Privacy Partner de Baker McKenzie México.

¿El RGPD se aplica a Colombia?

Materias no reguladas por la Ley Colombiana

Es importante resaltar que el RGPD regula explícitamente materias que no están cubiertas por las leyes colombianas, como el derecho a la supresión ("derecho al olvido"), la elaboración de perfiles de datos y la designación de un oficial de protección de datos.

¿Es aplicable el RGPD en México?

Mientras que el RGPD de la UE incluye el interés legítimo del responsable del tratamiento como una de las condiciones para el tratamiento legítimo de los datos personales, de conformidad con el artículo 7(f) de la Directiva 95/46/CE, la legislación mexicana no incluye tal disposición para el tratamiento o la cesión de datos personales a terceros.

¿El RGPD se aplica internacionalmente?

El RGPD se aplica fuera de Europa

El objetivo del RGPD es proteger los datos que pertenecen a los ciudadanos y residentes de la UE. La ley, por lo tanto, se aplica a las organizaciones que manejan dichos datos, ya sean organizaciones con sede en la UE o no, lo que se conoce como "efecto extraterritorial".

¿Es aplicable el RGPD en Brasil?

Brasil aprobó la Ley General de Protección de Datos en 2018 y entrará en vigencia en febrero de 2020. Este artículo examina el RGPD frente a la LGPD, en qué se diferencia y qué deben hacer los empresarios a nivel mundial para prepararse.

Video: bob marley soccer