El 28 de enero de 1981, en Francia, fue suscrito el “Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal” (Convenio 108), y posteriormente, el 8 de noviembre de 2001, el protocolo adicional relativo a las autoridades de control y a los flujos transfronterizos de datos.
Si bien este instrumento internacional fue elaborado por el Consejo de Europa (organización internacional de cooperación regional compuesta por 47 Estados de Europa), se determinó que una vez que entrara en vigencia, cualquier Estado no miembro del Consejo de Europa podría ser invitado a adherir al Convenio. En Latinoamérica solo Argentina, México y Uruguay son oficialmente parte del Convenio 108.
Con todo, aunque le debamos el día internacional de la protección de datos personales al Convenio 108, no fue el Consejo de Europa que marcó la pauta latinoamericana en materia de datos personales, sino el Consejo de la Unión Europea (UE) con su “Directiva de Protección de Datos” de 1995 (Directiva 95/46/CE). Conforme a sus lineamientos, fuera de la UE, sus países miembros sólo podían transferir datos personales a países que garantizaran un “nivel de protección adecuado”. Esta restricción obligó a los países de nuestra región a buscar lograr dicho nivel mediante la formulación de leyes de materia de datos personales y así no ver trabados sus intercambios comerciales.
En la actualidad la Directiva 95/46/CE se encuentra superada, tras ser sustituida por el “Reglamento general de protección de datos de la Unión Europea” (RGPD), una nueva y más exigente pauta en materia de datos personales. Y en Latinoamérica, ¿cuál es la realidad actual en materia de datos personales?
Chile
Chile fue pionero en la región al ser el primer país latinoamericano en promulgar una ley de protección de datos personales: la ley 19.628 sobre protección de la vida privada de 1999. Desde entonces han pasado más de 20 años, y si bien la realidad es muy distinta a la de aquella época, en el país se sigue aplicando la misma ley, incapaz de hacer frente a las necesidades actuales surgidas de los avances tecnológicos y la capacidad de procesar grandes volúmenes de datos en forma automatizada. Aunque esta situación podría cambiar pronto de aprobarse el proyecto de ley sobre protección de datos personales, en actual discusión legislativa. El pasado 25 de enero, tras cuatro años en el Senado, dicho proyecto fue despachado a la Cámara de Diputados, pasando a segundo trámite constitucional. Se trata de un proyecto de ley fuertemente inspirado en el RGPD, aunque con algunas modificaciones que, lejos de ser adaptaciones a la realidad local, muestran la falta de conocimiento de los/as legisladores/as en la materia. Ejemplo de lo anterior, es la eliminación del principio de lealtad, uno de los principios esenciales de la normativa europea que se busca imitar.
A nivel constitucional, en 2018 el derecho a la protección de los datos personales fue incorporado a la Constitución chilena, como un derecho autónomo e independiente del derecho a la privacidad. Por otra parte, en el marco del proceso constituyente que vive actualmente Chile diversas iniciativas sobre la materia han sido presentadas, entre las cuales destacamos la propuesta del Centro de Estudios en Derecho Informático.
Argentina
En el 2000 Argentina tomó la cabecera en materia de datos, al dictar su Ley de protección de datos personales 25.326 (PDPA), y tres años después se transformó en el primer país latinoamericano en lograr una decisión de adecuación por la Comisión Europea. Esto último significa —en términos resumidos— que Argentina es un país apto para la transferencia internacional de datos desde los países de la Unión Europea, sin necesidad de cumplir con mayores requisitos. Además de la Ley PDPA, la legislación argentina sobre la materia está compuesta por normas contenidas en su Constitución, y por el Decreto reglamentario 1558/2001.
Pero muchos años han pasado desde entonces, y hoy la normativa argentina no solo se encuentra desactualizada, sino que es posible observar un notable deterioro en su sistema de protección de datos personales. Recientemente, se ha denunciado que el sector público argentino sería el mayor infractor de la Ley PDPA, y el año pasado la autoridad en la materia renunció tras el escándalo de la filtración de la información de los documentos nacionales de identidad desde el Registro Nacional de las Personas (RENAPER), sin que a la fecha se haya designado su reemplazo. Además, el gobierno anunció que el censo previsto para el año 2022, como novedad, incluirá información de identificación unívoca como el DNI, cuestión incompatible con la garantía del anonimato necesaria para proteger la información sensible.
Perú
En Perú, el fuerte de la protección de datos personales está dado por la Ley de protección de datos personales (29733) del año 2011, y su reglamento del año 2013. Entre los aspectos a destacar, encontramos la obligación de inscribir los bancos de datos en el Registro nacional de protección de datos personales, para que la ciudadanía pueda conocer qué categorías de datos personales son recolectadas por una determinada entidad y con qué finalidad. Otro punto destacable, es la existencia y actividad de la Autoridad nacional de protección de datos personales, que mediante distintas actividades, tales como campañas y charlas, busca promover la cultura de protección relativa a los datos personales.
Uruguay
En 2012 Uruguay se transformó en el segundo y último país de Latinoamérica en ser declarado “país adecuado”. Entre las consideraciones para su decisión de adecuación, la UE destacó que, a pesar de que la Constitución uruguaya de 1967 no reconoce expresamente el derecho a la vida privada y la protección de datos personales, sí reconoce que su catálogo de derechos fundamentales no es una lista cerrada; el hecho que la ley uruguaya 18.331 de Protección de datos personales y acción de habeas data, de 2008, donde establece expresamente que “El derecho a la protección de datos personales es inherente a la persona humana, por lo que está comprendido en el artículo 72 de la Constitución de la República”; y que la misma se basara en gran medida en la Directiva 95/46/CE. La ley uruguaya se complementa con el Decreto 414/009, de 2009, que clarificó ciertos aspectos de la ley y reguló en detalle la organización, facultades y funcionamiento de la autoridad de protección de datos.
Brasil
Así como Chile fue pionero al promulgar su ley de protección de datos basándose en la normativa europea en 1999, Brasil fue el primer país de la región en promulgar una ley de protección de datos personales inspirada directamente en el modelo europeo del RGPD de 2016: la Ley general de protección de datos – LGPD (13.709/2018).
Brasil cuenta con una Autoridad nacional de protección de datos (ANPD), la que recientemente realizó el lanzamiento de la “Guía de Orientación – Aplicación de la Ley General de Protección de Datos Personales” por parte de los agentes de tratamiento de datos, en el contexto de las próximas elecciones en octubre 2022. La ANPD anteriormente ya había publicado una guía de seguridad de la información dirigida a los pequeños agentes de tratamiento, además de otras publicaciones de herramientas y plantillas en cumplimiento de su rol orientador, para apoyar a las distintas organizaciones en el cumplimiento de la LGPD.
Ecuador
El 26 de mayo de 2021, finalmente se promulgó la tan esperada Ley orgánica de protección de datos personales de Ecuador (LOPD). Recién el pasado 26 de enero fue presentado ante el Ejecutivo el Proyecto de reglamento a la ley de protección de datos Personales, un documento de 107 artículos inspirado en el RGPD. Access Now, Asociación para el Progreso de las Comunicaciones (APC) y Derechos Digitales colaboraron en este proceso legislativo desde sus inicios, enviando sugerencias sobre los presupuestos básicos para la elaboración de la ley, así como comentarios para mejorar el proyecto que hoy son ley.
Bolivia
Bolivia es uno de los pocos países del mundo que no cuenta con una ley específica para la protección de datos personales, a pesar que su Constitución Política contempla el derecho a la privacidad, intimidad, honra, honor, propia imagen (artículo 21), y a la autodeterminación informativa (artículo 130).
Sin embargo, desde hace ya algunos años que Bolivia comenzó su proceso de transformación digital. Este proceso contempla —entre otras cosas— la interoperabilidad de datos entre organismos públicos, algunos avances en materia de ciudadanía digital, economía digital y gobierno electrónico. Todos estos procesos implican la recolección y tratamiento de grandes volúmenes de datos, por lo que contar con una ley que regule de manera integral la protección de datos personales, estableciendo obligaciones claras para quienes traten datos personales, y derechos en favor de los titulares de los datos, resulta urgente para Bolivia.
Venezuela
Venezuela es otro de los países que no cuenta con una ley de protección de datos personales, ni políticas estructurales que protejan este derecho. Esta situación tiene lugar a pesar que su Constitución reconoce el derecho a la privacidad y el derecho de las personas a “acceder a la información y a los datos que sobre sí misma o sobre sus bienes consten en registros oficiales o privados”.
El caso de Venezuela es particularmente preocupante, ya que existen indicios de acceso indebido a datos personales, que involucra recursos públicos, así como la incursión directa de entidades públicas en las prácticas de robo de información. El pasado 28 de enero se presentó el informe Privacidad y datos personales en Venezuela: una aproximación a la legislación y práctica vigentes, cuya elaboración se apoyó en una compilación representativa de leyes, regulaciones y casos que retratan patrones estructurales de vulneración a la libertad de expresión e información, en conexión con la protección de datos y la privacidad.