El reglamento general de protección de datos (RGPD) que desde hoy es de obligado cumplimiento es una norma compleja que trasciende el ámbito europeo. La nueva normativa afectará a todas las empresas, con independencia de su origen, siempre que gestionen datos de ciudadanos que se encuentren en la Unión Europea, aunque la compañía en cuestión no tenga presencia física o legal en territorio europeo.

En Latinoamérica, donde además existe una amplia presencia de compañías europeas, es previsible que los cambios en el reglamento conlleven nuevas medidas en la legislación relacionada con la protección de datos. En el siguiente artículo resumimos la actual regulación en Brasil, Chile, Colombia, México y Perú, y cómo puede influir el RGPD en el desarrollo legislativo de estos países.

  1. ¿Cómo se regula la protección de datos?

  2. ¿Cómo influye el RGPD?

Brasil

1. No existe, hasta la fecha, un reglamento efectivo y detallado sobre la protección de datos personales, sino principios generales de inviolabilidad de la intimidad, de la vida privada, del honor y de la imagen de las personas, así como del secreto de las comunicaciones, previstos tanto en la Constitución Federal como en el Código Civil brasileño, además de normas escasas que regulan de forma muy amplia la materia.

Este es el caso de la ley 12.965/2014, conocida como "Marco civil de internet", que establece los principios, las garantías, los derechos y los deberes para el uso de internet en el país. Este marco incluye normas generales que deben observarse en la obtención, uso, almacenamiento y tratamiento de los datos personales, así como del Código de Defensa del Consumidor (ley 8.078/1990), que contiene disposiciones escasas acerca del derecho de los consumidores al acceso a su propia información existente en registros, archivos y bases de datos personales y de consumo.

2. Además de la adecuación a las nuevas reglas del RGPD por parte de empresas brasileñas que manejen datos personales de personas que se encuentran en la Unión Europea, una influencia directa de su entrada en vigor es que el pasado miércoles se aprobó la tramitación en régimen de urgencia de uno de los tres proyectos de ley para tratar específicamente la protección de datos personales (PLS 330/2013), que desde hace años se tramitaba en el Congreso Nacional sin avances significativos. El proyecto será votado por el Senado Federal en su próxima sesión deliberativa, por lo que el actual escenario de ausencia de regulación específica podrá ser significativamente modificado en el corto plazo.

El proyecto establece reglas específicas para la gestión de datos personales y se aplicaría incluso para las actividades realizadas por extranjeros que tengan acceso a datos de personas brasileñas.

Chile

1. En Chile la protección de datos personales está regulada legalmente desde el año 1999, mediante la ley 19.628 sobre protección de datos de carácter personal. Esta ley regula en términos generales la información de carácter personal por parte de terceros. La principal obligación que afecta a estos terceros es que deben contar con una autorización por escrito de su titular, previa comunicación del propósito del almacenamiento de estos datos, sin establecerse mayores formalidades o requisitos. Sin embargo, la ley vigente no establecía adecuados mecanismos de fiscalización ni recogía el tratamiento de información a través de medios digitales, además de otras deficiencias. En atención a esas limitaciones, desde hace algunos años se encuentra en avanzado trámite legislativo una reforma que propone como elemento central una Agencia de Protección de Datos Personales para velar por el cumplimiento de las obligaciones legales y sancionar las infracciones.

2. El diseño de la nueva Agencia chilena de Protección de Datos Personales, incorporado en el actual proyecto de ley en tramitación, consideró de manera explícita la experiencia de la misma agencia en España. Se inspiró en esta institución y en la normativa europea para fijar los elementos centrales del nuevo marco jurídico con el que operará la protección de datos en Chile. Por esa razón, la opinión mayoritaria del mercado es que el Ministerio de Economía, organismo responsable de la tramitación del proyecto, considerará el RGPD e incluirá modificaciones al proyecto de ley para estar en sintonía con sus disposiciones.

Colombia

1. En Colombia, la ley 1581 de 2012 y el decreto 1377 de 2013 regulan la forma en la que se deben proteger los derechos de los titulares de los datos personales y las obligaciones que nacen para quienes los recolectan y administran. Así mismo, con anterioridad a estas normas, en el año 2008 se expidió la ley 1266, mediante la cual se reguló especialmente la protección de datos personales relacionados con información crediticia y financiera. En adición a las normas mencionadas, se expidió el decreto 886 de 2014, que reglamentó el Registro Nacional de Bases de Datos, definido como un directorio público de información que debe ser alimentado por los sujetos que recolectan los datos personales.

2. A nivel normativo, se han presentado proyectos de ley que pretenden que la normativa colombiana tenga el mismo alcance internacional que tiene el RGPD (Proyecto de Ley 89 de 2017 Senado). El RGPD incluye obligaciones que no se encuentran reguladas por el derecho colombiano, entre las que se encuentran el derecho al olvido, la elaboración de perfiles y la designación de delegados de protección de datos.

México

1. Con el surgimiento de las nuevas tecnologías y la web 3.0, la protección de datos personales juega un rol fundamental que es regulado por distintos sistemas legales en el mundo. En México, la ley federal de protección de datos personales en posesión de los particulares (vigente desde el 6 de julio de 2010) y su reglamento (en vigor desde el 22 de diciembre de 2011) son las principales fuentes de derecho que, de manera conjunta, tienen como finalidad regular el tratamiento legítimo, controlado e informado de los datos personales, para garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

2. Hasta el año 2016, según cifras oficiales del gobierno mexicano, España representaba el 13,2% de la inversión extranjera directa, lo que equivale a 5.800 empresas aproximadamente. Adicionalmente, la inversión de empresas pertenecientes a la Unión Europea alcanzó el 33,5% de la inversión extranjera directa. Muchas de estas compañías están participadas en más del 50% o controladas por empresas europeas que están obligadas al cumplimiento del nuevo reglamento. En este contexto, aunque legislación mexicana no ha tomado medidas particulares para homologar la normativa local con el RGPD, será de vital importancia la difusión del contenido del nuevo reglamento para garantizar su correcta aplicación de forma armónica con el sistema legal mexicano.

Perú

1. Desde el año 2011, el Perú cuenta con una regulación específica en materia de protección de datos personales. La ley 29733 y sus normas reglamentarias aprobadas por decreto supremo (003-2013-JUS), proveen el marco normativo que regula los derechos y las obligaciones aplicables al tratamiento de datos personales a través de dos ejes principales: la protección y garantía de un adecuado ejercicio de los derechos del titular de los datos personales y el cumplimiento de obligaciones que deberán observar las entidades que incurren en tratamiento de datos personales. En septiembre de 2017, se aprobó una reforma que incluye una nueva clasificación de incumplimientos e infracciones en materia de protección de datos personales.

2. Actualmente el grado de cumplimiento de la legislación en materia de protección de datos personales es bastante incipiente (a partir de ello se explica una reforma local orientada al aspecto exclusivamente sancionador). Los nuevos derechos y obligaciones del RGPD exigirán medidas y garantías específicas que, en muchos casos, resultarán novedosas para la legislación local.