Olas de cambios en materia de protección de datos personales en LATAM
- Escrito por María Sol PORRO CIMAROSTI
(La autora fue estudiante de la XIII Edición del Máster en Propiedad Intelectual, Industrial y NN.TT. UAM)
La protección de datos personales es un derecho fundamental de los ciudadanos de inexcusable aplicación por cualquier tipo de organización tanto pública como privada, según lo establece el art. 18.4 de la CE y varias sentencias judiciales del TC que sustentan esta condición (sentencias judiciales: STC 96/2012; STC 241/2012; STC 41/2006, entre otras) En este sentido, y si bien la normativa abarca cualquier persona física o jurídica que trate datos considerados personales o sensibles de acuerdo con el nuevo Reglamento, las empresas, profesionales o cualquier tipo de organización que recojan y traten datos de personas físicas (clientes, pacientes o empleados, entre otros) serán responsables de la seguridad y protección de dichos datos.
En este sentido, tras la aprobación del nuevo Reglamento 2016/679, General de Protección de Datos (RGPD) en la Unión Europea en el año 2016, con su correspondiente entrada en vigor el 25 de mayo del 2018, que ha derogado la Directiva 95/46/CE, las reglas de juego han cambiado en el plano mundial. Esto se debe a que no sólo los países comunitarios y sus instituciones, tanto públicas como privadas, deben amoldar sus reglamentaciones sobre Protección de Datos al RGPD, sino que la ola de actualización de las normativas nacionales sobre este tema ha llegado hasta Latinoamérica (específicamente a Argentina, Uruguay, Chile y Brasil) ya que el Reglamento prevé su aplicación a terceros países, ajenos a la Unión Europea, que presten sus servicios en algún Estado miembro o tengan como clientes personas residentes o con establecimiento en algún estado miembro.
En el caso de Argentina, recientemente se presentó un proyecto de ley al Congreso que reemplazaría la Ley de Protección de Datos Personales No. 25.326, que ha estado vigente desde el año 2000, en un intento por alinear los estándares de protección de datos del país con el GDPR. El proyecto de ley incluye los requisitos para la notificación de incumplimiento obligatorio, el nombramiento de un DPO en determinadas circunstancias, el derecho a la portabilidad de datos y el derecho a ser olvidado, así como los nuevos estándares de responsabilidad. Asimismo, a través de la Resolución 159/2018, publicada en el Boletín Oficial de fecha 05 de diciembre de 2018, se dispuso la modificación de autoridad de protección de datos personales, siendo hasta el momento la Dirección Nacional de Protección de Datos Personales. Con la entrada en vigor de esta resolución en el año corriente, la nueva autoridad argentina será la Agencia de Acceso a la Información Pública.
Por otro lado, Chile tiene una ley dedicada a la protección de datos, la Ley Nº 19.628 sobre Protección de la Privacidad, que se publicó en el Boletín Oficial el 28 de agosto de 1999. Actualmente hay un proyecto de ley en el Senado, que está a punto de ser aprobado y que modificaría significativamente la ley mencionada, con el fin de aumentar la protección de la privacidad para cumplir con las normas internacionales de procesamiento de datos y las directrices de la Organización para la Cooperación y el Desarrollo Económico (OCDE). Es importante resaltar que la autoridad de protección de datos chilena fue creada relativamente hace poco, en el año 2017.
En cuanto a Uruguay, en agosto del año 2018, se adoptó un decreto que exige que la mayoría de los controladores de datos registren sus bases de datos con la Autoridad de Protección y Supervisión de Datos. Asimismo, la legislación uruguaya introdujo modificaciones en la normativa, tal es así que la nueva ley de Rendición de cuentas Nº 19.670, la cual modificó algunos artículos de la Ley Nº 18.331 con el objetivo de adaptarse a los nuevos cambios internacionales que se introducen en el tema y garantizar mayor protección a los datos personales. Igualmente, establece un cambio respecto al ámbito territorial de aplicación de la ley y la obligación de designación de un delegado de protección de datos para las entidades que traten datos sensibles, entre otros.
Por último, y quizás sea el cambio más radical sobre esta materia en Latinoamérica, es importante mencionar el caso de Brasil. El 14 de agosto de 2018, este país promulgó la ley ¨Lei Geral de Proteção de Dados Pessoais (LGPD)¨, la primera ley de privacidad general en la historia de esta nación. La mencionada ley, que entrará en vigor el 16 de febrero de 2020, es muy similar al RGPD, incluso en su definición expansiva de datos personales y su fuerte énfasis tanto en los derechos de los interesados, como en el requisito de bases legales de procesamiento de datos personales. Esto marca un hito muy importante en esta materia para Brasil, ya que anteriormente no contaba con una ley apropiada que regulara la protección de los datos personales.
En conclusión, y como mencionamos al principio de este artículo, esta actividad legislativa en América del Sur sigue a una ola de esfuerzos para modernizar las leyes de protección de datos a nivel mundial, que incluye otras latitudes, además de la europea, como son, entre otros, Israel, Japón y Sudáfrica. Por lo tanto, es de esperar que durante el curso del año 2019 nuevos países se adhieran a este movimiento.