La semana pasada, la larga novela sobre la protección de datos personales en Brasil agregó un nuevo capítulo a la saga: el presidente Jair Bolsonaro sancionó -con vetos- la ley que habilita la creación de una autoridad pública de control de datos personales, reduciendo algunas de las garantías previstas en la versión original de la Ley general de protección de datos, aprobada en 2018.
Inicialmente proyectado como un órgano independiente a cargo de la interpretación de la ley a través de la promulgación de normas administrativas complementarias, así como de garantizar y fiscalizar su cumplimiento, el primer ataque contra las facultades de la naciente Autoridad Nacional de Protección de Datos ocurrió durante el gobierno del ex presidente Michel Temer, quien vetó su creación en agosto de 2018.
El 27 de diciembre, a pocos días del término de su mandato, Temer presentó una “medida provisional” que creaba una autoridad en materia de datos personales dependiente de la Presidencia de la República. En el necesario paso por el Congreso para transformar la medida en ley, se determinó que la autoridad sería sometida a revisión dos años después de entrar en operaciones. Así, bajo este escenario, la solución de cualquier controversia u omisión quedará a cargo de un ente administrativo carente de recursos e independencia política del gobierno de turno.
Lamentablemente, esta no es la única modificación relevante a la Ley general de protección de datos. El nuevo texto amplía la posibilidad de usar datos sensibles con fines de lucro, como aquellos relativos a la salud. La obligación del sector público de notificar el uso y transferencia de datos fue retirada, al igual que la posibilidad de solicitar una revisión de las decisiones automatizadas por parte de una persona natural. Además, la versión actual del texto contempla normas diferenciales para pequeñas y microempresas, así como para las autoproclamadas startups o “empresas de innovación”, con obligaciones más blandas, sin importar el riesgo de sus actividades para el ejercicio del derecho a la privacidad y la protección de los datos personales.
Por su parte, las sanciones administrativas previstas para los casos de violaciones graves o reiteradas también fueron excluidas del texto final, tras los vetos de Bolsonaro. Estas sanciones permitían la suspensión -parcial o total- y la prohibición de las actividades de tratamiento de datos a las entidades infractoras, mecanismo similar al contemplado, por ejemplo, en el Reglamento general sobre protección de datos europeo. Este y otros vetos están pendientes de ser analizados por el Congreso.
Protección constitucional
Recientemente el Senado aprobó una norma que busca incluir la protección de datos como un derecho fundamental en la Constitución brasileña, con una mención explícita los medios digitales. La propuesta incluye una clausula que establece que solo el gobierno federal, la Unión, tendrá competencia para legislar sobre protección de datos. Pero, a pesar de estar alineada con las mejores prácticas internacionales, esta medida se enfrenta a innumerables propuestas de regulación en el ámbito municipal y estatal.
Aunque sea crucial que los gobiernos locales sigan los principios establecidos por la Ley general de protección de datos, es necesario fomentar el desarrollo de normas complementarias y más detalladas, que respondan a los desafíos locales específicos; un caso ejemplar es el de Seattle, en Estados Unidos, que desarrolló un programa propio de privacidad ante el despliegue de tecnologías invasivas en espacios públicos.
En un país de características continentales como Brasil, la restricción puede comprometer el derecho a la protección de datos de la ciudadanía, contrariando el espíritu principal de la propuesta que es justamente fortalecerlo.
Desarrollo económico: ¿a qué costo?
Que la economía más importante de América Latina actualice su normativa de datos personales es una aspiración que no solamente afecta a cientos de millones de personas en Brasil, sino que se extiende a toda la región. Sin embargo, se trata de un proceso que ha sido secuestrado por la incertidumbre de una clase política en crisis y la presión de industrias poderosas.
Gracias a una nueva composición del Congreso Federal, muchos intereses económicos encontraron apoyo en parlamentarios que desconocían el desarrollo histórico y los acuerdos que dieron forma a la Ley. Al presentar una serie de modificaciones al término de su gobierno, Temer permitió la introducción de ambigüedades en su interpretación, optando explícitamente por priorizar los modelos de negocio de las startups, las empresas de crédito y las financieras, por sobre la protección de sus ciudadanos y ciudadanas.
No queda duda de que hay aspectos positivos y avances concretos en la ley brasileña. Sin embargo, su efectividad va a depender en gran medida de la capacidad que tengan los actores preocupados por el interés público de presionar a los órganos de fiscalización y control para que hagan valer las protecciones previstas en la ley. La manera en que se harán efectivas sus garantías pondrá a prueba la fuerza de las instituciones democráticas del país. La participación de la sociedad civil en los debates y en la documentación de evidencias de violaciones, principalmente por medio de la Coalizão Direitos na Rede, ha sido y seguirá siendo central en el proceso.
La protección de datos en América Latina continúa sumando antecedentes que, más allá de evidenciar las falencias en materia de políticas públicas en la región, hacen visible la necesidad de generar nuevos referentes legales que actúen en función del contexto donde se desarrollan: protegiendo así los derechos humanos que también pasan por los entornos digitales.