Latinoamérica sigue los pasos de España en protección de datos
6 de agosto de 2017
Latinoamérica sigue los pasos de España en protección de datos
Argentina y México toman como modelo de referencia la legislación española. El nuevo Reglamento europeo sirve de guía a la hora de legislar sobre la materia.
La protección de datos es un tema candente en cualquier parte del mundo. El valor de la información que proporcionan dichos datos crece con el tiempo y tanto las empresas como los países lo saben. En Europa nos encontramos en pleno proceso de renovación legislativa gracias al Reglamento General de Protección de Datos (RGPD), que empieza a aplicarse el 25 de mayo de 2018, dos años después de su entrada en vigor.
En el caso de España, que es uno de los países de referencia en protección de datos en Europa, la influencia sobre los países latinoamericanos es muy pronunciada. Países como Argentina, cuya normativa en la materia es muy parecida a la española, y México, son algunos de los ejemplos de la dirección hacia la que se dirigen en la región.
En Latinoamérica, la situación es totalmente diferente. Al no existir una regulación común, cada país ha abordado la problemática de una manera distinta. Sin embargo, su intención es intentar que las normas sobre protección de datos sean comunes. Para ello existen organizaciones como la Red Iberoamericana de Protección de Datos (RIPD), donde se realiza el intercambio de buenas prácticas entre los principales actores del sector privado y público, con las principales agencias de protección de datos de los países miembros.
Precisamente, esta red está marcando las directrices para la futura creación normativa en la región. A finales del mes de junio tuvo lugar en Santiago de Chile el XV Encuentro Iberoamericano de Protección de Datos, cuyas conclusiones se han materializado en una lista de “estándares de Protección de Datos Personales para los Estados Iberoamericanos“, directrices a tener en cuenta a la hora de legislar en la materia en el futuro o para revisar la normativa ya existente.
El problema es que aún queda mucho camino por recorrer. Paloma Bru, of counsel de Jones Day, reconoce la falta de regulación común. Sin embargo, destaca que en materia de protección de datos, los Estados “quieren una normativa compartida, como la europea”. Es precisamente esta última la que sirve como modelo a aquellos países de la región latinoamericana que quieren desarrollar una protección de datos eficiente y moderna.
El RGPD para todos
La idea es simple: usar el RGPD europeo como modelo para asegurar el cumplimiento de los estándares de protección de datos en Latinoamérica. Los beneficios para los países que tomen dicho reglamento como base pueden ser muchos. Paloma Bru destaca como principal beneficio que “cumplir el mínimo europeo de protección de datos sirve para atraer inversión”. Sin embargo reconoce que “existe un aspecto negativo, ya que invertir y cumplir con la norma conlleva un gasto grande”, aunque “les beneficiará cuando superen el escollo”.
El centro de esta cuestión radica en la obligatoriedad que existe para todas las empresas del mundo que cuenten con datos de clientes europeos, de respetar la norma europea aunque no tengan sede en la Unión Europea. Así, un hotel en Punta del Este, Uruguay, que reciba reservas de clientes franceses, por ejemplo, deberá tratar la información personal que estos faciliten con la diligencia pedida por el RGPD. Estamos, por tanto, ante una internacionalización de la protección de datos.
La decisión de tomar el derecho comunitario como referencia, dice Bru que “se debe a la centralización de las normas”. El hecho de que provengan de una sola autoridad y que sean iguales para todos los países en cualquier ámbito, tanto privado como público, facilita la homogenización. Por el contrario, esta experta de Jones Day explica que “la normativa estadounidense es más sectorial”, razón por la que no se ha constituido como ejemplo pese a compartir región.
Las deficiencias
A día de hoy el proceso de creación de un sistema completo y eficiente no ha concluido. Algunos países han tomado la delantera en la materia. Para Paloma Bru, destacan sobre los demás Uruguay, México, Argentina y Chile. Las razones, destaca, son dos. La primera es la antigüedad de la normativa, ya que “estos países cuentan con regulaciones específicas de protección datos desde hace ya años. De hecho algunos, como es el caso de Argentina, están ahora mismo revisando la mismas, tomando como base la nueva normativa europea de protección de datos”. La segunda razón, según Bru, es que “cuentan con autoridades especificas y especializadas en materia de protección de datos, lo que ayuda a la implementación práctica de la normativa existente y a crear cultura de protección de datos”. Por el contrario, a la cola de la implantación se encuentran países como Brasil y Panamá, que “aún discuten las que serán sus primeras normativas en materia de protección de datos”, advierte.
El camino ha empezado a andarse en la dirección correcta. Sin embargo, hay que prestar especial atención a las deficiencias encontradas hasta ahora para solventarlas antes de que sean un problema. La primera, dice Paloma Bru, es la “desigualdad de niveles normativos” que existe entre los países. Otro problema que destaca es “la falta de autoridad en materia de protección de datos, así como de reguladores independientes”. La buena señal es que se están tomando medidas hacia una regulación compartida o, al menos, común.
LAS DIRECTRICES DE LA NUEVA REGULACIÓN
La Red Iberoamericana de Protección de Datos se reunió a finales de junio, encuentro del que surgió el primer documento que sirve como base a las regulaciones y revisiones futuras de la normativa de protección de datos: los “Estándares de Protección de Datos Personales para los Estados Iberoamericanos”.
- Derecho Fundamental. El documento abre con una declaración de intenciones al destacar que la protección de datos de las personas físicas es un derecho fundamental y, por tanto, merece el máximo rango de protección.
- Falta de normas. Uno de los problemas que reconocen es que muchos países no tienen ni siquiera normativa en la materia, lo que supone un gran peligro para los usuarios.
- Contenido. Al tratarse de unas recomendaciones, no es obligatorio. Sin embargo, su objetivo es que sobre ellas se construyan regulaciones con elementos comunes, como las definiciones o los requisitos mínimos de protección.
- Aplicación. Según el documento, los estándares “serán aplicables a los datos personales de personas físicas”. Sin embargo, cada país podrá hacer extensible estas directrices también a las personas jurídicas.