Artículos

¿El RGPD es exportable a América Latina?

 

Por fin ha llegado el día 25 de mayo (viernes). El día D donde todos los datos personales pasan a estar protegidos. Donde ya no se van a producir incidentes de seguridad. Donde todos los tratamientos de datos personales pasan a ser legítimos. Donde los datos ya no van a ser conservados sine díe. Donde los usuarios tenemos todo el control de nuestros datos. Donde el derecho al olvido es una realidad. Donde todo el mundo ha sido informado de que todas las políticas de privacidad del planeta han sido actualizadas (sí, la nuestra también). El día más esperado ha llegado. Y una vez llegado a este grado de regocijo, ¿y ahora qué?

Es un cambio de conducta significativo. No se trata solamente de una cuestión de cumplimiento legal, sino que se vincula directamente con el modelo de negocios de muchas de las empresas más grandes del mundo y que operan en internet. La monetarización basada en la recolección y el procesamiento de los datos personales enfrenta, al menos en la Unión Europea, algo más que un reproche ético y político, sumando ahora la necesidad de respetar una serie de reglas que devuelven un poco de control sobre los datos propios.

Y, ¿América Latina?

En julio de 2017 se realizó en Santiago de Chile el XV encuentro de la Red Iberoamericana de Protección de Datos (RIPD), grupo de trabajo que desde su creación en 2003 reúne a representantes de agencias gubernamentales iberoamericanas, con el objetivo de avanzar en la creación de marcos normativos para la protección de datos personales.

Durante la reunión se debatieron temas relacionados con el ejercicio efectivo de la privacidad, tales como el derecho a la desindexación, el uso de tecnologías de vigilancia, las implicancias de la internet de las cosas y el uso de big data. Además, la RIPD aprobó y presentó oficialmente los denominados “Estándares de Protección de Datos de los Estados Iberoamericanos”, directrices que servirán de referencia para futuras regulaciones o para la revisión de las ya vigentes en países Iberoamericanos.

Y es que en nuestra región, la protección efectiva de datos personales no es una realidad todavía. Muchos países carecen totalmente de un marco regulatorio general en la materia; varios han reconocido el habeas data en sus Constituciones; otros han regulado el acceso a la información pública o han otorgado algún grado mínimo de protección a través de normativas sectoriales como derecho del consumo, normativa financiera o de salud, entre otros. Países como Brasil y Panamá discuten por estos días las que serán sus primeras normativas generales de protección de datos personales; otros como Argentina y Chile inician importantes reformas a sus estándares desactualizados de protección.

Esa fragmentación total en los niveles de protección de datos personales nos presenta una tarea urgente de armonización para dotar a los habitantes de nuestra región con estándares de protección adecuados al ejercicio de sus derechos y al respeto de su dignidad. Por eso resulta tan valiosa una iniciativa como esta, en la que se promueve una discusión multisectorial (público, privado y social) sobre el nivel adecuado de protección de datos personales en un contexto democrático y global.

Su valor radica, además, en la posibilidad de invitar a la ciudadanía a tomar un rol activo en la defensa de su derecho a la privacidad, en un contexto donde la tecnología ha avanzado más rápido que los marcos jurídicos encargados de orientar su uso con respeto a los derechos fundamentales. Finalmente, permiten reclamar a los estados reconocer y acatar sus compromisos internacionales en materia de derechos humanos relativos a la protección de datos personales.

Ante este favorable panorama, sin embargo, vale la pena hacer un llamado de cautela a los países latinoamericanos, frente a nuestra particular realidad política, económica, social e histórica, la cual no debe resultar indiferente a la hora de diseñar y adoptar una regulación de protección de datos personales.

La influencia de la regulación europea en materia de diseño del marco normativo para la protección de datos personales en América Latina no es una novedad, ya que desde el inicio tal inclinación se ha dejado sentir, en parte motivado por la afinidad de tradiciones legales, en parte porque Europa se ha encontrado a lo largo del tiempo consistentemente a la vanguardia de la protección de los datos personales. Pero también motivado por necesidades de orden económico, específicamente para mantener la posibilidad de prestar servicios a empresas europeas.

La normativa europea pareciera un modelo a seguir para América Latina. Una importante consecuencia de lo anterior es el impacto que para nuestra región puede llegar a tener la más reciente actualización de la normativa europea que resulta en un nuevo Reglamento General de Protección de Datos (RGPD) que entró en vigencia el pasado 25 mayo de 2018. A este respecto debe considerarse que el RGPD fue fruto de una negociación política de más de 4 años en la Unión Europea, y que sus particularidades no escapan a las complejidades de una Unión de países de las más diversas tradiciones jurídicas, así como realidades políticas, económicas y sociales. Esto es clave a la hora de analizar las consecuencias que para América Latina tendría el hecho de buscar su armonización regulatoria en una réplica de la regulación europea.

Lo que sí debe resultar inspirador del modelo europeo es la posibilidad la armonización normativa para la garantía del pleno ejercicio de los derechos y el florecimiento de la actividad económica en un contexto de reglas claras y protectoras de las personas que habitan una región. Esto cobra particular relevancia en una economía digital globalizada donde los servicios tecnológicos ofrecidos a través de Internet -y en el mundo físico- obedecen a estrategias globalizadas de compañías que operan sin límites nacionales en su oferta de productos y servicios.

Mientras América Latina carezca de estándares adecuados para la protección de datos personales estaremos renunciando tanto al pleno ejercicio de nuestros derechos, como a obtener una participación justa de los beneficios económicos que se derivan de la economía digital, condenándonos a la adhesión a modelos de consumo y ejercicio de derechos impuestos desde otras latitudes.

El RGPD no es cosa de un día

Pues siento deciros que el RGPD no es cosa de un día. El 25 de mayo de 2018 entró en aplicación el Reglamento General de Protección de Datos, conocido por RGPD o GDPR por sus siglas en inglés. Pero que entre hoy en aplicación (lleva en vigor desde 2016) no quiere decir que todo lo que no hayamos hecho no hace falta hacerlo, o que si ya hemos hecho una adecuación no tengamos que hacer nada más. ¿Por qué?

Uno de los conceptos que introduce el RGPD y quizá el que más impacto produzca es el conocido accountability. Ese término que nos invita a aplicar las medidas técnicas y organizativas que la organización considere apropiadas para garantizar la privacidad de los datos, a ser capaz de demostrar el cumplimiento de los principios del tratamiento recogidos en el artículo 5 de la norma europea, en definitiva, a ser responsables de forma proactiva.

Pongo algunos ejemplos de tareas o acciones que se deben aplicar desde hoy para cumplir con el reglamento:

  • Evaluaciones de impacto. Como sabemos, son una herramienta preventiva que nos ayudará a identificar, evaluar y gestionar los riesgos a los que está expuesto un tratamiento. De esta forma seremos capaces de identificar las medidas apropiadas para garantizar los derechos y las libertades de las personas físicas. Por tanto, debemos aplicar los controles necesarios para identificar posibles nuevos tratamientos y poder realizar las evaluaciones de impacto que sean necesarias.
  • Medidas para mitigación del riesgo. Seguro que todos vosotros conocéis el nuevo enfoque de riesgo que introduce la norma europea, lo que nos lleva a tener que realizar una revisión periódica del mismo, así como a analizar cada uno de los riesgos residuales para gestionarlo y decidir qué medidas aplicar en cada casos.
  • Ejercicio de derechos. La llegada de nuevos derechos como es, por ejemplo, el derecho a la portabilidad, nos lleva a tener que actualizar nuestros procedimientos de atención de derechos para garantizar la respuesta al ejercicio de este derecho en el plazo establecido legalmente.
  • Controles periódicos. Como estamos comentando a lo largo de este artículo, esto del RGPD no es algo estático sino que se debe revisar y supervisar el cumplimiento. Por tanto, recomendamos establecer controles periódicos que garanticen el cumplimiento de las medidas de seguridad establecidas por la organización.
  • Vulneraciones de seguridad. Creo que todos los que estamos metidos en este mundillo de la seguridad somos conscientes de que en caso de un incidente de seguridad es importante la gestión que se realice del mismo desde el minuto 0. En el caso de los datos personales también, además de que ahora es un requisito legal la notificación a la autoridad de control siempre que la violación de seguridad constituya un riesgo para los derechos y libertades de los interesados.
  • Encargados del tratamiento. Y por último pero no menos importante hay que establecer un procedimiento y una revisión periódica de los contratos y medidas de seguridad que los encargados del tratamiento están aplicando. No nos olvidemos que el RGPD nos deja el deber a los responsables del tratamiento de vigilar y determinar qué proveedores elegimos como encargados del tratamiento.

¿Dónde se aplicara el Reglamento?

Si bien para muchos expertos el modelo europeo de privacidad es exportable a Latinoamérica, ¿se aplicarán estas reglas de protección allí donde el servicio alcanza igualmente a usuarios europeos y latinoamericanos? En parte, podríamos esperar que sí. Pero eso no es en absoluto suficiente para asegurar el pleno respeto de los derechos de las internautas en América Latina. Los cambios introducidos por el RGPD sirven como una demostración adicional del relativo abandono en que buena parte de la región mantiene sus reglas de protección de datos personales. Porque no existen, porque llevan años de tramitación como en Brasil y Chile, o porque sus alcances operativos son limitados.

La autorregulación, a estas alturas, es deseable pero insuficiente. En el espacio que brinda la ausencia de reglas protectoras han nacido prácticas con décadas de asentamiento, como la recolección de huellas dactilares o números de identidad para condicionar la entrega de servicios, la formación de bases de datos opacas, fugas de datos sin compensación alguna, y un constante desdén por la idea del consentimiento y la finalidad.

Si las reglas del RGPD contribuyen al establecimiento de un nuevo estándar global, es inaplazable que los gobiernos de América Latina contemplen ese estándar como la guía para la protección de sus propias ciudadanías. No es una cuestión de mera información o transparencia, sino de igualdad, libertad, autonomía y dignidad.

Fuente: SecurityArtWork | Derechos Digitales | El Espectador