Protección de Datos en América Latina

El “mapa regulatorio” de protección de datos personales en Latinoamérica empieza a salir de su letargo, tras una parada de seis, años a raíz de la aprobación de la ley general colombiana nº 1581, en 2012, o de cinco años si el cómputo lo hacemos desde la aprobación de la norma dominicana, en 2013, si bien ésta tiene un carácter básicamente “principal”.

Con la promulgación en agosto de 2018 de la ley brasileña y en marzo de este año de la ley de protección de datos de Panamá parece que el panorama legislativo inicia un nuevo despegue, cuya causa principal habrá que encontrarlo en la plena entrada en vigor, en mayo de 2018, del Reglamento Europeo de Protección de Datos.

A este respecto, se ha reconocido la utilidad del Reglamento Europeo de Protección de Datos en lo que supone de actualización del modelo de cumplimiento y supervisión, pero teniendo en cuenta la necesidad de hacerlo compatible con las distintas culturas nacionales, con otros referentes, como pueden ser la Convención 108 del Consejo de Europa o las directrices de la OCDE, entre otros.

En efecto, no sólo hay que fijarse en el RGPD a la hora de explicar las causas de este nuevo renacer de la producción legislativa en la región. Ahí están las recientes adhesiones de México y de Argentina al Convenio 108 del Consejo de Europa para corroborarlo.

Este convenio, en la medida que ha ido ampliando sus fronteras más allá del territorio europeo, se ha acabado convirtiendo, de facto, en un verdadero tratado internacional en la materia; y de forma más precisa, en el único convenio internacional en esa materia, lo que le está dando un valor del que carecía hasta la fecha. Con las adhesiones de México y Argentina, unidas a las de Uruguay, que fue el primer país iberoamericano que lo suscribió, más la reciente solicitud de adhesión de Costa Rica, se va conformando de forma creciente un bloque latinoamericano de peso.

La aparición del Reglamento General de Protección de Datos lo que sí provoca es una línea clara de separación entre aquellas leyes iberoamericanas que aún no se han adaptado al mismo, y cuya base regulatoria se encuentra en la Directiva de 1995 y, en gran parte, en la ley española de 1999, como es el caso de Colombia, Costa Rica, México (ley de PD en posesión de sujetos particulares), Nicaragua y Perú, y aquellas otras que ya estarían adaptadas al reglamento europeo, como es el caso de España y Portugal y, en gran medida, Brasil.

Un caso aparte son las leyes generales de Argentina y Uruguay, que necesitan adaptarse a la norma europea como uno de los requisitos previos y fundamentales para superar el proceso revisión de la adecuación a la normativa europea que obtuvieron en 2003 y 2013, respectivamente. Argentina ha impulsado un proyecto de ley de adaptación a la normativa europea que actualmente está en tramitación en el Parlamento, y Uruguay aprobó a finales del pasado año una ley de adaptación al RGPD, pero que aún necesita de un amplio desarrollo reglamentario durante los próximos meses.

En este nuevo renacer del mapa regulatorio latinoamericano en la materia, hay que hacer un apartado especial a los “Estándares de protección de datos personales para los Estados Iberoamericanos”, que aprobó la Red Iberoamericana de Protección de Datos en su XV Encuentro, celebrado en junio de 2017 en Santiago de Chile, con el apoyo y la presencia de la propia Comisión Europea. Estos “Estándares”, aunque no tengan un carácter imperativo, suponen un intento muy serio de dotar a la región de un marco regulatorio común y homogéneo, que sirva de referencia a la hora de acometer los nuevos procesos legislativos o de adecuar los existentes al Reglamento europeo.

En los Estándares se hace hincapié en la necesidad de superar tradicionales modelos administrativos, desarrollando otros basados en la proactividad, la privacidad desde el diseño y por defecto, y la diligencia en la garantía de los derechos de los ciudadanos. Y también la necesidad de que sean un instrumento adecuado para promover el desarrollo de la actividad económica y las relaciones comerciales internacionales, como ha puesto de manifiesto la decisión de adecuación mutua entre Japón y la UE.

Se empieza a hablar así en la región de nuevos modelos de negocio ligados a los datos; de la dimensión económica y ética en el tratamiento de la información personal de los datos, no siendo suficiente el mero cumplimiento de la normativa; de la necesidad de compatibilizar la garantía de los derechos con estos nuevos modelos de negocio; de la importancia de tener una legislación con una visión de futuro y unas claras reglas claras; y de la importancia de la autorregulación y de la formación de los profesionales de la privacidad.

Este nuevo enfoque se ha vinculado también a la necesidad de promover la ética en el tratamiento de datos personales, inclusive más allá del mínimo de las exigencias legales. Las medidas proactivas de cumplimiento como la privacidad desde el diseño se han considerado como un instrumento que facilita esa dimensión ética en el tratamiento de los datos.

Todos estos procesos legislativos, unidos a otros que están en marcha (El Salvador) o a punto de concluir (Chile), convierten este momento de la regulación de la protección de datos en Iberoamérica en uno de los más interesantes de su corta existencia -de poco más de 20 años- y que, por tanto, habrá que seguir con mucho interés y expectación los próximos años.

Máster en el Reglamento General de Protección de Datos

Compartir:

Email de información: jglez@cee.uned.es - rhc@agpd.es

Ir arriba