¿Cómo se encuentra la protección de datos en Latinoamérica?
Desde la perspectiva de la protección de datos, en los últimos 10 años se ha visto un progreso legal considerable en esta materia en la región. Aún queda camino por recorrer.
Katitza Rodríguez y Veridiana Alimonti *
Durante más de un año, la EFF ha trabajado con organizaciones asociadas para desarrollar preguntas y respuestas detalladas (FAQs) sobre las leyes de privacidad de las comunicaciones. Nuestro trabajo se basa en la investigación previa y en curso de tales desarrollos en Argentina, Brasil, Chile, Colombia, México, Paraguay, Panamá, Perú y España.
Nuestro objetivo es comprender los desafíos jurídicos de cada país, a fin de ayudarnos a detectar las tendencias, identificar las mejores y peores normas y ofrecer recomendaciones para el futuro. Este artículo, sobre la evolución de la protección de datos en la región, forma parte de una serie de artículos sobre el estado actual de las leyes de privacidad de las comunicaciones en América Latina y España.
Si miramos atrás, alrededor de los últimos 10 años en la protección de datos, hemos visto un progreso legal considerable en la concesión del control de los usuarios sobre sus vidas personales. Desde 2010, 62 nuevos países han promulgado leyes de protección de datos, lo que da un total de 142 países con leyes de protección de datos en todo el mundo. En América Latina, Chile fue el primer país que adoptó una ley de este tipo en 1999, seguido de Argentina en 2000. Varios países han seguido ahora el ejemplo: Uruguay (2008), México (2010), Perú (2011), Colombia (2012), Brasil (2018), Barbados (2019) y Panamá (2019). Aunque todavía existen diferentes enfoques de la privacidad, las leyes de protección de datos ya no son un fenómeno puramente europeo.
Sin embargo, la evolución contemporánea de la legislación europea sobre protección de datos sigue teniendo una enorme influencia en la región, en particular, el Reglamento General de Protección de Datos de la UE de 2018 (GDPR). Desde 2018, varios países, entre ellos Barbados y Panamá, han encabezado la adopción de leyes inspiradas en la GDPR en la región, lo que promete el comienzo de una nueva generación de legislación sobre protección de datos. De hecho, la protección de la privacidad de la nueva ley inspirada en la GDPR de Brasil entró en vigor la semana pasada, el 18 de septiembre, después de que el Senado rechazara una orden de aplazamiento del presidente Jair Bolsonaro.
Pero cuando se trata de la protección de datos en el contexto de la aplicación de la ley, pocos países han adoptado las últimas medidas de la Unión Europea. La Directiva de la UE sobre la policía, una ley sobre el tratamiento de datos personales para las fuerzas de policía, todavía no se ha convertido en un fenómeno latinoamericano. México es el único país que cuenta con una reglamentación específica de protección de datos para el sector público. Con ello, los países de América están perdiendo una oportunidad crucial de fortalecer sus salvaguardias de la privacidad de las comunicaciones con derechos y principios comunes al conjunto de instrumentos de protección de datos a nivel mundial.
Toma de decisiones automatizada sobre los individuos
Los sistemas automatizados de toma de decisiones están tomando decisiones continuas sobre nuestras vidas para ayudar o reemplazar la toma de decisiones humanas. Por lo tanto, existe un derecho emergente inspirado en la GDPR de no estar sometido únicamente a procesos de toma de decisiones automatizados que puedan producir efectos legales o de similar importancia en el individuo. Este nuevo derecho se aplicaría, por ejemplo, a los sistemas automatizados de toma de decisiones que utilizan “perfiles” para predecir aspectos de nuestra personalidad, comportamiento, intereses, lugares, movimientos y hábitos. Con este nuevo derecho, el usuario puede impugnar las decisiones tomadas sobre ellos, y/o obtener una explicación sobre la lógica de la decisión. Aquí también hay algunas variaciones entre países.
La legislación brasileña establece que el usuario tiene derecho a revisar las decisiones que le afecten y que se basen únicamente en el tratamiento automatizado de datos personales. Entre ellas se incluyen las decisiones destinadas a definir perfiles personales, profesionales, de consumo o de crédito, u otros rasgos de la personalidad de una persona. Lamentablemente, el presidente Bolsonaro vetó una disposición que exigía la revisión humana en esta toma de decisiones automatizada. Por el lado positivo, el usuario tiene derecho a pedir al proveedor que revele información sobre los criterios y procedimientos adoptados para la adopción automatizada de decisiones, aunque lamentablemente hay una excepción para los secretos comerciales e industriales.
La ley panameña también otorga a los usuarios el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de sus datos personales, sin intervención humana, pero este derecho sólo se aplica cuando el proceso produce efectos jurídicos negativos para el usuario o afecta negativamente a sus derechos. Al igual que en Barbados, Panamá permite la adopción de decisiones automatizadas que son necesarias para celebrar o ejecutar un contrato, sobre la base del consentimiento del usuario, o permitidas por la ley. Pero Panamá define el “consentimiento” de una manera menos protectora para el usuario: cuando una persona proporciona una “manifestación” de su voluntad.
La protección de datos en el contexto de la aplicación de la ley
América Latina está rezagada en cuanto a un régimen amplio de protección de datos que se aplica no sólo a las empresas, sino también a las autoridades cuando procesan datos personales con fines de aplicación de la ley. Por otra parte, la Unión Europea ha adoptado no sólo la GDPR sino también la Directiva sobre la policía de la Unión Europea, una ley que regula el tratamiento de datos personales para las fuerzas de policía. La mayoría de las leyes de protección de datos de Letonia eximen de la aplicación de la ley a las actividades de represión e inteligencia.
Sin embargo, en Colombia, algunas normas de protección de datos se aplican al sector público. El GDPR de esa nación se aplica al sector público, con excepciones para la seguridad nacional, la defensa, las normas contra el blanqueo de dinero y la inteligencia. La Corte Constitucional ha declarado que esas excepciones no son exclusiones absolutas de la aplicación de la ley, sino una excepción a sólo algunas disposiciones. La ley complementaria debe regularlas, con sujeción al principio de proporcionalidad.
España aún no ha implementado la Directiva de la UE sobre la policía. Como resultado, el procesamiento de datos personales para las actividades de aplicación de la ley sigue estando sujeto a las normas de la anterior ley de protección de datos del país. Las leyes de la Argentina y Chile se aplican a los organismos encargados de hacer cumplir la ley, y México tiene una reglamentación específica de protección de datos para el sector público. Sin embargo, el Perú y Panamá excluyen a los organismos encargados de hacer cumplir la ley del ámbito de sus leyes de protección de datos. La ley del Brasil crea una excepción al procesamiento de datos personales únicamente para la seguridad pública, la seguridad nacional y las investigaciones penales. Sin embargo, establece que debe aprobarse una legislación específica para regular estas actividades.
Recomendaciones y perspectivas
La privacidad de las comunicaciones tiene mucho que ganar con la intersección de sus tradicionales salvaguardias de inviolabilidad y el conjunto de herramientas de protección de datos.
Esa intersección ayuda a afianzar las normas internacionales de derechos humanos aplicables al acceso de las fuerzas del orden a los datos de las comunicaciones. Los principios de minimización de datos y limitación de los fines en el mundo de la protección de datos se correlacionan con los principios de necesidad, adecuación y proporcionalidad en virtud de la legislación internacional de derechos humanos. Son necesarios para poner freno a la retención masiva de datos o para frenar el acceso de los gobiernos a los datos. La idea de que todo procesamiento de datos personales requiere una base legítima sostiene los principios básicos de la legalidad y el objetivo legítimo de imponer limitaciones a los derechos fundamentales. El acceso de las fuerzas del orden a los datos de las comunicaciones debe estar prescrito por ley de manera clara y precisa. En este contexto, no es aceptable ningún otro fundamento legítimo que el cumplimiento de una obligación legal.
La transparencia de la protección de datos y las salvaguardias de la información refuerzan el derecho de un usuario a recibir una notificación cuando las autoridades gubernamentales han solicitado sus datos.
Los tribunales europeos han afirmado que este derecho se deriva de las salvaguardias de la privacidad y la protección de datos. En los casos Tele2 Sverige AB y Watson, el Tribunal de Justicia de la Unión Europea (TJUE) sostuvo que “las autoridades nacionales a las que se ha concedido acceso a los datos retenidos deben notificar a las personas afectadas... tan pronto como esa notificación ya no pueda poner en peligro las investigaciones que están llevando a cabo dichas autoridades”. Anteriormente, en Szabó and Vissy v. Hungary, el Tribunal Europeo de Derechos Humanos (TEDH) había declarado que la notificación a los usuarios de las medidas de vigilancia también está inextricablemente vinculada al derecho a un recurso efectivo contra el abuso de las facultades de vigilancia.
La transparencia de la protección de datos y las salvaguardias de la información también pueden desempeñar un papel fundamental en el fomento de una mayor comprensión de las prácticas de las empresas y los gobiernos en lo que respecta a la solicitud y entrega de los datos de las comunicaciones de los usuarios.
En colaboración con la EFF, muchas ONG latinoamericanas han estado presionando a los proveedores de servicios de Internet para que publiquen sus directrices de aplicación de la ley y agreguen información sobre las solicitudes de datos de los gobiernos. Hemos progresado a lo largo de los años, pero todavía hay mucho que mejorar. En lo que respecta a la supervisión pública, las autoridades de protección de datos deberían tener el mandato legal de supervisar el procesamiento de datos personales por parte de las entidades públicas, incluidos los organismos encargados de hacer cumplir la ley. Deben ser autoridades imparciales e independientes, versadas en la protección de datos y la tecnología, y disponer de recursos adecuados para ejercer las funciones que se les asignen.
Ya hay muchas salvaguardias esenciales en la región. Las constituciones de la mayoría de los países han reconocido explícitamente la privacidad como un derecho fundamental y la mayoría ha adoptado leyes de protección de datos. Cada constitución reconoce un derecho general a la vida privada o la intimidad o un conjunto de múltiples derechos específicos: un derecho a la inviolabilidad de las comunicaciones; un derecho explícito de protección de datos (Chile, España, México); o el “habeas data” (Argentina, Perú, Brasil) como derecho o recurso legal. (En general, el hábeas data protege el derecho de toda persona a conocer los datos que se tienen sobre ella misma). Y, más recientemente, un fallo histórico del Tribunal Supremo del Brasil ha reconocido la protección de los datos como un derecho fundamental extraído de la Constitución del país.
* Este artículo fue publicado originalmente por la Electronic Frontier Foundation bajo una licencia Creative Commons. Su versión original puede verse aquí.
Durante más de un año, la EFF ha trabajado con organizaciones asociadas para desarrollar preguntas y respuestas detalladas (FAQs) sobre las leyes de privacidad de las comunicaciones. Nuestro trabajo se basa en la investigación previa y en curso de tales desarrollos en Argentina, Brasil, Chile, Colombia, México, Paraguay, Panamá, Perú y España.
Nuestro objetivo es comprender los desafíos jurídicos de cada país, a fin de ayudarnos a detectar las tendencias, identificar las mejores y peores normas y ofrecer recomendaciones para el futuro. Este artículo, sobre la evolución de la protección de datos en la región, forma parte de una serie de artículos sobre el estado actual de las leyes de privacidad de las comunicaciones en América Latina y España.
Si miramos atrás, alrededor de los últimos 10 años en la protección de datos, hemos visto un progreso legal considerable en la concesión del control de los usuarios sobre sus vidas personales. Desde 2010, 62 nuevos países han promulgado leyes de protección de datos, lo que da un total de 142 países con leyes de protección de datos en todo el mundo. En América Latina, Chile fue el primer país que adoptó una ley de este tipo en 1999, seguido de Argentina en 2000. Varios países han seguido ahora el ejemplo: Uruguay (2008), México (2010), Perú (2011), Colombia (2012), Brasil (2018), Barbados (2019) y Panamá (2019). Aunque todavía existen diferentes enfoques de la privacidad, las leyes de protección de datos ya no son un fenómeno puramente europeo.
Sin embargo, la evolución contemporánea de la legislación europea sobre protección de datos sigue teniendo una enorme influencia en la región, en particular, el Reglamento General de Protección de Datos de la UE de 2018 (GDPR). Desde 2018, varios países, entre ellos Barbados y Panamá, han encabezado la adopción de leyes inspiradas en la GDPR en la región, lo que promete el comienzo de una nueva generación de legislación sobre protección de datos. De hecho, la protección de la privacidad de la nueva ley inspirada en la GDPR de Brasil entró en vigor la semana pasada, el 18 de septiembre, después de que el Senado rechazara una orden de aplazamiento del presidente Jair Bolsonaro.
Pero cuando se trata de la protección de datos en el contexto de la aplicación de la ley, pocos países han adoptado las últimas medidas de la Unión Europea. La Directiva de la UE sobre la policía, una ley sobre el tratamiento de datos personales para las fuerzas de policía, todavía no se ha convertido en un fenómeno latinoamericano. México es el único país que cuenta con una reglamentación específica de protección de datos para el sector público. Con ello, los países de América están perdiendo una oportunidad crucial de fortalecer sus salvaguardias de la privacidad de las comunicaciones con derechos y principios comunes al conjunto de instrumentos de protección de datos a nivel mundial.
Toma de decisiones automatizada sobre los individuos
Los sistemas automatizados de toma de decisiones están tomando decisiones continuas sobre nuestras vidas para ayudar o reemplazar la toma de decisiones humanas. Por lo tanto, existe un derecho emergente inspirado en la GDPR de no estar sometido únicamente a procesos de toma de decisiones automatizados que puedan producir efectos legales o de similar importancia en el individuo. Este nuevo derecho se aplicaría, por ejemplo, a los sistemas automatizados de toma de decisiones que utilizan “perfiles” para predecir aspectos de nuestra personalidad, comportamiento, intereses, lugares, movimientos y hábitos. Con este nuevo derecho, el usuario puede impugnar las decisiones tomadas sobre ellos, y/o obtener una explicación sobre la lógica de la decisión. Aquí también hay algunas variaciones entre países.
La legislación brasileña establece que el usuario tiene derecho a revisar las decisiones que le afecten y que se basen únicamente en el tratamiento automatizado de datos personales. Entre ellas se incluyen las decisiones destinadas a definir perfiles personales, profesionales, de consumo o de crédito, u otros rasgos de la personalidad de una persona. Lamentablemente, el presidente Bolsonaro vetó una disposición que exigía la revisión humana en esta toma de decisiones automatizada. Por el lado positivo, el usuario tiene derecho a pedir al proveedor que revele información sobre los criterios y procedimientos adoptados para la adopción automatizada de decisiones, aunque lamentablemente hay una excepción para los secretos comerciales e industriales.
La ley panameña también otorga a los usuarios el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de sus datos personales, sin intervención humana, pero este derecho sólo se aplica cuando el proceso produce efectos jurídicos negativos para el usuario o afecta negativamente a sus derechos. Al igual que en Barbados, Panamá permite la adopción de decisiones automatizadas que son necesarias para celebrar o ejecutar un contrato, sobre la base del consentimiento del usuario, o permitidas por la ley. Pero Panamá define el “consentimiento” de una manera menos protectora para el usuario: cuando una persona proporciona una “manifestación” de su voluntad.
La protección de datos en el contexto de la aplicación de la ley
América Latina está rezagada en cuanto a un régimen amplio de protección de datos que se aplica no sólo a las empresas, sino también a las autoridades cuando procesan datos personales con fines de aplicación de la ley. Por otra parte, la Unión Europea ha adoptado no sólo la GDPR sino también la Directiva sobre la policía de la Unión Europea, una ley que regula el tratamiento de datos personales para las fuerzas de policía. La mayoría de las leyes de protección de datos de Letonia eximen de la aplicación de la ley a las actividades de represión e inteligencia.
Sin embargo, en Colombia, algunas normas de protección de datos se aplican al sector público. El GDPR de esa nación se aplica al sector público, con excepciones para la seguridad nacional, la defensa, las normas contra el blanqueo de dinero y la inteligencia. La Corte Constitucional ha declarado que esas excepciones no son exclusiones absolutas de la aplicación de la ley, sino una excepción a sólo algunas disposiciones. La ley complementaria debe regularlas, con sujeción al principio de proporcionalidad.
España aún no ha implementado la Directiva de la UE sobre la policía. Como resultado, el procesamiento de datos personales para las actividades de aplicación de la ley sigue estando sujeto a las normas de la anterior ley de protección de datos del país. Las leyes de la Argentina y Chile se aplican a los organismos encargados de hacer cumplir la ley, y México tiene una reglamentación específica de protección de datos para el sector público. Sin embargo, el Perú y Panamá excluyen a los organismos encargados de hacer cumplir la ley del ámbito de sus leyes de protección de datos. La ley del Brasil crea una excepción al procesamiento de datos personales únicamente para la seguridad pública, la seguridad nacional y las investigaciones penales. Sin embargo, establece que debe aprobarse una legislación específica para regular estas actividades.
Recomendaciones y perspectivas
La privacidad de las comunicaciones tiene mucho que ganar con la intersección de sus tradicionales salvaguardias de inviolabilidad y el conjunto de herramientas de protección de datos.
Esa intersección ayuda a afianzar las normas internacionales de derechos humanos aplicables al acceso de las fuerzas del orden a los datos de las comunicaciones. Los principios de minimización de datos y limitación de los fines en el mundo de la protección de datos se correlacionan con los principios de necesidad, adecuación y proporcionalidad en virtud de la legislación internacional de derechos humanos. Son necesarios para poner freno a la retención masiva de datos o para frenar el acceso de los gobiernos a los datos. La idea de que todo procesamiento de datos personales requiere una base legítima sostiene los principios básicos de la legalidad y el objetivo legítimo de imponer limitaciones a los derechos fundamentales. El acceso de las fuerzas del orden a los datos de las comunicaciones debe estar prescrito por ley de manera clara y precisa. En este contexto, no es aceptable ningún otro fundamento legítimo que el cumplimiento de una obligación legal.
La transparencia de la protección de datos y las salvaguardias de la información refuerzan el derecho de un usuario a recibir una notificación cuando las autoridades gubernamentales han solicitado sus datos.
Los tribunales europeos han afirmado que este derecho se deriva de las salvaguardias de la privacidad y la protección de datos. En los casos Tele2 Sverige AB y Watson, el Tribunal de Justicia de la Unión Europea (TJUE) sostuvo que “las autoridades nacionales a las que se ha concedido acceso a los datos retenidos deben notificar a las personas afectadas... tan pronto como esa notificación ya no pueda poner en peligro las investigaciones que están llevando a cabo dichas autoridades”. Anteriormente, en Szabó and Vissy v. Hungary, el Tribunal Europeo de Derechos Humanos (TEDH) había declarado que la notificación a los usuarios de las medidas de vigilancia también está inextricablemente vinculada al derecho a un recurso efectivo contra el abuso de las facultades de vigilancia.
La transparencia de la protección de datos y las salvaguardias de la información también pueden desempeñar un papel fundamental en el fomento de una mayor comprensión de las prácticas de las empresas y los gobiernos en lo que respecta a la solicitud y entrega de los datos de las comunicaciones de los usuarios.
En colaboración con la EFF, muchas ONG latinoamericanas han estado presionando a los proveedores de servicios de Internet para que publiquen sus directrices de aplicación de la ley y agreguen información sobre las solicitudes de datos de los gobiernos. Hemos progresado a lo largo de los años, pero todavía hay mucho que mejorar. En lo que respecta a la supervisión pública, las autoridades de protección de datos deberían tener el mandato legal de supervisar el procesamiento de datos personales por parte de las entidades públicas, incluidos los organismos encargados de hacer cumplir la ley. Deben ser autoridades imparciales e independientes, versadas en la protección de datos y la tecnología, y disponer de recursos adecuados para ejercer las funciones que se les asignen.
Ya hay muchas salvaguardias esenciales en la región. Las constituciones de la mayoría de los países han reconocido explícitamente la privacidad como un derecho fundamental y la mayoría ha adoptado leyes de protección de datos. Cada constitución reconoce un derecho general a la vida privada o la intimidad o un conjunto de múltiples derechos específicos: un derecho a la inviolabilidad de las comunicaciones; un derecho explícito de protección de datos (Chile, España, México); o el “habeas data” (Argentina, Perú, Brasil) como derecho o recurso legal. (En general, el hábeas data protege el derecho de toda persona a conocer los datos que se tienen sobre ella misma). Y, más recientemente, un fallo histórico del Tribunal Supremo del Brasil ha reconocido la protección de los datos como un derecho fundamental extraído de la Constitución del país.
* Este artículo fue publicado originalmente por la Electronic Frontier Foundation bajo una licencia Creative Commons. Su versión original puede verse aquí.