Nos enorgullece anunciar una nueva versión actualizada en ocho países de América Latina y España. Durante más de un año, la EFF ha trabajado con organizaciones asociadas para desarrollar preguntas y respuestas detalladas (FAQs) sobre las leyes de privacidad de las comunicaciones. Nuestro trabajo se basa en la investigación previa y en curso de tales desarrollos en ArgentinaBrasilChileColombia, MéxicoParaguayPanamáPerú y España. Nuestro objetivo es comprender los desafíos jurídicos de cada país, a fin de ayudarnos a detectar las tendencias, identificar las mejores y peores normas y ofrecer recomendaciones para el futuro. Este artículo, sobre la evolución de la protección de datos en la región, forma parte de una serie de artículos sobre el estado actual de las leyes de privacidad de las comunicaciones en América Latina y España.

Si miramos atrás, alrededor de los últimos diez años en la protección de datos, hemos visto un progreso legal considerable en la concesión del control de los usuarios sobre sus vidas personales. Desde 2010, sesenta y dos nuevos países han promulgado leyes de protección de datos, lo que da un total de 142 países con leyes de protección de datos en todo el mundo. En América Latina, Chile fue el primer país que adoptó una ley de este tipo en 1999, seguido de Argentina en 2000. Varios países han seguido ahora el ejemplo: Uruguay (2008), México (2010), Perú (2011), Colombia (2012), Brasil (2018), Barbados (2019) y Panamá (2019). Aunque todavía existen diferentes enfoques de la privacidad, las leyes de protección de datos ya no son un fenómeno puramente europeo.

Sin embargo, la evolución contemporánea de la legislación europea sobre protección de datos sigue teniendo una enorme influencia en la región, en particular, el Reglamento General de Protección de Datos de la UE de 2018 (GDPR). Desde 2018, varios países, entre ellos Barbados y Panamá, han encabezado la adopción de leyes inspiradas en la GDPR en la región, lo que promete el comienzo de una nueva generación de legislación sobre protección de datos. De hecho, la protección de la privacidad de la nueva ley inspirada en la GDPR de Brasil entró en vigor la semana pasada, el 18 de septiembre, después de que el Senado rechazara una orden de aplazamiento del presidente Jair Bolsonaro.

Pero cuando se trata de la protección de datos en el contexto de la aplicación de la ley, pocos países han adoptado las últimas medidas de la Unión Europea. La Directiva de la UE sobre la policía, una ley sobre el tratamiento de datos personales para las fuerzas de policía, todavía no se ha convertido en un fenómeno latinoamericano. México es el único país que cuenta con una reglamentación específica de protección de datos para el sector público. Con ello, los países de América están perdiendo una oportunidad crucial de fortalecer sus salvaguardias de la privacidad de las comunicaciones con derechos y principios comunes al conjunto de instrumentos de protección de datos a nivel mundial.

Nuevas leyes de protección de datos inspiradas en el GDPR


BrasilBarbados y Panamá han sido los primeros países de la región en adoptar leyes de protección de datos inspiradas en la GDPR. La ley de Panamá, aprobada en 2019, entrará en vigor en marzo de 2021. La ley de Brasil ha enfrentado una batalla difícil. Las disposiciones que crean la autoridad de supervisión entraron en vigor en diciembre de 2018, pero el gobierno tardó un año y medio en introducir un decreto para implementar su estructura. Sin embargo, el decreto sólo tendrá fuerza legal cuando el presidente de la Junta sea nombrado oficialmente y aprobado por el Senado. No se ha hecho ningún nombramiento a partir de la publicación de este puesto. Para el resto de la ley, febrero de 2020 fue la fecha límite original para entrar en vigor. Esto se cambió más tarde a agosto de 2020. La ley se retrasó aún más hasta mayo de 2021 a través de una ley ejecutiva emitida por el presidente Bolsonaro. Sin embargo, en un sorprendente giro positivo, el Senado de Brasil detuvo el aplazamiento del presidente Bolsonaro en agosto. Eso significa que la ley está ahora en vigor, excepto por la sección de penalizaciones que han sido aplazadas de nuevo, hasta agosto de 2021.

Definición de datos personales

Al igual que en GDPR, las leyes del Brasil y Panamá incluyen una definición exhaustiva de los datos personales. Incluye cualquier información relativa a una persona identificada o identificable. La definición de datos personales en la ley de Barbados tiene ciertas limitaciones. Sólo protege los datos que se refieren a una persona que puede ser identificada "a partir de esos datos; o a partir de esos datos junto con otra información que está en posesión o que es probable que esté en posesión del proveedor". Los datos anónimos en el Brasil, Panamá y Barbados quedan fuera del alcance de la ley. También hay variaciones en la forma en que estos países definen los datos anonimizados.

Panamá lo define como datos que no pueden ser re-identificados por medios razonables. Sin embargo, la ley no establece parámetros explícitos para guiar esta evaluación. La ley del Brasil deja claro que los datos anonimizados se considerarán datos personales si el proceso de anonimización se invierte utilizando exclusivamente los medios propios del proveedor, o si se puede invertir con esfuerzos razonables. La ley brasileña define factores objetivos para determinar lo que es razonable, como el costo y el tiempo necesarios para invertir el proceso de anonimización, de acuerdo con las tecnologías disponibles, y el uso exclusivo de los medios propios del proveedor. Estos parámetros afectan a las grandes empresas de tecnología con una gran potencia de cálculo y grandes colecciones de datos, que tendrán que determinar si sus propios recursos podrían utilizarse para volver a identificar los datos anonimizados. Esta disposición no debe interpretarse de manera que se ignoren los casos en que el hecho de compartir o vincular datos anónimos con otros conjuntos de datos, o con información de dominio público, conduzca a la reidentificación de los datos.

Derecho a la portabilidad

Los tres países conceden a los usuarios el derecho a la portabilidad, es decir, el derecho a tomar sus datos de un proveedor de servicios y transferirlos a otro lugar. La portabilidad se suma a los llamados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), un conjunto de derechos de los usuarios que les permite ejercer el control sobre sus propios datos personales.

Los encargados de hacer cumplir las leyes de portabilidad tendrán que tomar decisiones cuidadosas sobre lo que sucede cuando una persona quiere portar datos que se relacionan tanto con ella como con otra persona, como su gráfico social de contactos e información de contacto como los números de teléfono. Esto implica la privacidad y otros derechos de más de una persona. Además, si bien la portabilidad ayuda a los usuarios a salir de una plataforma, no les ayuda a comunicarse con otras personas que siguen utilizando la anterior. Los efectos de red pueden impedir que los competidores advenedizos despeguen. Por eso también necesitamos la interoperabilidad para permitir que los usuarios interactúen entre sí a través de los límites de las grandes plataformas.

Una vez más, los diferentes países tienen diferentes enfoques. La ley brasileña trata de resolver los problemas de datos de varias personas y de interoperabilidad no limitando los "datos portables" a los datos que el usuario ha dado a un proveedor. Tampoco detalla el formato a adoptar. En su lugar, la autoridad de protección de datos puede establecer las normas, entre otras, de interoperabilidad, seguridad, períodos de retención y transparencia. En Panamá, la portabilidad es un derecho y un principio. Es uno de los principios generales de protección de datos que guían la interpretación y aplicación de su ley general de protección de datos. Como derecho, se asemeja al modelo de la GDPR. El usuario tiene derecho a recibir una copia de sus datos personales en un formato estructurado, de uso común y legible por máquina. El derecho se aplica únicamente cuando el usuario ha facilitado sus datos directamente al proveedor de servicios y ha dado su consentimiento o cuando los datos son necesarios para la ejecución de un contrato. La ley de Panamá establece expresamente que la portabilidad es "un derecho irrevocable" que puede ser solicitado en cualquier momento.

Los derechos de portabilidad en Barbados son similares a los de Panamá. Pero, al igual que el GDPR, hay algunas limitaciones. Los usuarios sólo pueden ejercer sus derechos de transferir directamente sus datos de un proveedor a otro cuando sea técnicamente posible. Al igual que en Panamá, los usuarios pueden transferir los datos que ellos mismos han proporcionado a los proveedores, y no los datos sobre ellos mismos que otros usuarios han compartido.

Toma de decisiones automatizada sobre los individuos

Los sistemas automatizados de toma de decisiones están tomando decisiones continuas sobre nuestras vidas para ayudar o reemplazar la toma de decisiones humanas. Por lo tanto, existe un derecho emergente inspirado en la RBP de no estar sometido únicamente a procesos de toma de decisiones automatizados que puedan producir efectos legales o de similar importancia en el individuo. Este nuevo derecho se aplicaría, por ejemplo, a los sistemas automatizados de toma de decisiones que utilizan "perfiles" para predecir aspectos de nuestra personalidad, comportamiento, intereses, lugares, movimientos y hábitos. Con este nuevo derecho, el usuario puede impugnar las decisiones tomadas sobre ellos, y/o obtener una explicación sobre la lógica de la decisión. Aquí también hay algunas variaciones entre países.

La legislación brasileña establece que el usuario tiene derecho a revisar las decisiones que le afecten y que se basen únicamente en el tratamiento automatizado de datos personales. Entre ellas se incluyen las decisiones destinadas a definir perfiles personales, profesionales, de consumo o de crédito, u otros rasgos de la personalidad de una persona. Lamentablemente, el presidente Bolsonaro vetó una disposición que exigía la revisión humana en esta toma de decisiones automatizada. Por el lado positivo, el usuario tiene derecho a pedir al proveedor que revele información sobre los criterios y procedimientos adoptados para la adopción automatizada de decisiones, aunque lamentablemente hay una excepción para los secretos comerciales e industriales.

En Barbados, el usuario tiene derecho a conocer, previa solicitud al proveedor, la existencia de decisiones basadas en el tratamiento automatizado de datos personales, incluida la elaboración de perfiles. Al igual que en otros países, esto incluye el acceso a la información sobre la lógica implicada y las consecuencias previstas sobre ellos. Los usuarios de Barbados también tienen derecho a no ser sometidos a procesos automatizados de adopción de decisiones sin intervención humana, y a decisiones automatizadas que produzcan efectos jurídicos o de importancia similar en la persona, incluida la elaboración de perfiles. Hay excepciones para cuando las decisiones automatizadas son: necesarias para celebrar o ejecutar un contrato entre el usuario y el proveedor; autorizadas por la ley; o basadas en el consentimiento del usuario. Barbados ha definido el consentimiento de manera similar a la definición de la GDPR. Esto significa que debe haber una indicación libre, específica, informada e inequívoca de los deseos del usuario para el procesamiento de sus datos personales. El usuario tiene la posibilidad de cambiar de opinión.

La ley panameña también otorga a los usuarios el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de sus datos personales, sin intervención humana, pero este derecho sólo se aplica cuando el proceso produce efectos jurídicos negativos para el usuario o afecta negativamente a sus derechos. Al igual que en Barbados, Panamá permite la adopción de decisiones automatizadas que son necesarias para celebrar o ejecutar un contrato, sobre la base del consentimiento del usuario, o permitidas por la ley. Pero Panamá define el "consentimiento" de una manera menos protectora para el usuario: cuando una persona proporciona una "manifestación" de su voluntad.

Base jurídica del tratamiento de datos personales

Es importante que las leyes de protección de datos exijan a los proveedores de servicios que tengan una base legal válida para procesar datos personales, y que documenten esa base antes de iniciar el procesamiento. De no ser así, el procesamiento será ilegal. Los regímenes de protección de datos, incluidos todos los principios y derechos de los usuarios, deben aplicarse independientemente de que se requiera o no el consentimiento.

La nueva ley de Panamá permite tres bases legales distintas del consentimiento: cumplir con una obligación contractual, cumplir con una obligación legal o según lo autorice una ley particular. El Brasil y Barbados establecieron diez bases jurídicas para el procesamiento de datos personales, cuatro más que el GDPR, y el consentimiento es sólo una de ellas. La legislación del Brasil y Barbados trata de equilibrar este enfoque proporcionando a los usuarios información clara y concisa sobre lo que los proveedores hacen con sus datos personales. También otorga a los usuarios el derecho a objetar el procesamiento de sus datos, lo que permite a los usuarios detener o impedir el procesamiento.

La protección de datos en el contexto de la aplicación de la ley

América Latina está rezagada en cuanto a un régimen amplio de protección de datos que se aplica no sólo a las empresas, sino también a las autoridades cuando procesan datos personales con fines de aplicación de la ley. Por otra parte, la Unión Europea ha adoptado no sólo la Directiva sobre el GDPR sino también la Directiva sobre la policía de la Unión Europea, una ley que regula el tratamiento de datos personales para las fuerzas de policía. La mayoría de las leyes de protección de datos de Letonia eximen de la aplicación de la ley a las actividades de represión e inteligencia. Sin embargo, en Colombia, algunas normas de protección de datos se aplican al sector público. La ley de esa nación es aplicable al sector público, con excepciones en materia de seguridad nacional, defensa, regulaciones contra el lavado de dinero e inteligencia. La Corte Constitucional ha declarado que esas excepciones no son exclusiones absolutas de la aplicación de la ley, sino una excepción a sólo algunas disposiciones. La ley complementaria debe regularlas, con sujeción al principio de proporcionalidad.

España aún no ha implementado la Directiva de la UE sobre la policía. Como resultado, el procesamiento de datos personales para las actividades de aplicación de la ley sigue estando sujeto a las normas de la anterior ley de protección de datos del país. Las leyes de la Argentina y Chile se aplican a los organismos encargados de hacer cumplir la ley, y México tiene una reglamentación específica de protección de datos para el sector público. Sin embargo, Perú y Panamá excluyen a los organismos encargados de hacer cumplir la ley del ámbito de sus leyes de protección de datos. La ley del Brasil crea una excepción al procesamiento de datos personales únicamente para la seguridad pública, la seguridad nacional y las investigaciones penales. Sin embargo, establece que debe aprobarse una legislación específica para regular estas actividades.

Recomendaciones y perspectivas

La privacidad de las comunicaciones tiene mucho que ganar con la intersección de sus tradicionales salvaguardias de inviolabilidad y el conjunto de herramientas de protección de datos. Esa intersección ayuda a afianzar las normas internacionales de derechos humanos aplicables al acceso de las fuerzas del orden a los datos de las comunicaciones. Los principios de minimización de datos y limitación de los fines en el mundo de la protección de datos se correlacionan con los principios de necesidad, adecuación y proporcionalidad en virtud de la legislación internacional de derechos humanos. Son necesarios para poner freno a la retención masiva de datos o para frenar el acceso de los gobiernos a los datos. La idea de que todo procesamiento de datos personales requiere una base legítima sostiene los principios básicos de la legalidad y el objetivo legítimo de imponer limitaciones a los derechos fundamentales. El acceso de las fuerzas del orden a los datos de las comunicaciones debe estar prescrito por ley de manera clara y precisa. En este contexto, no es aceptable ningún otro fundamento legítimo que el cumplimiento de una obligación legal.

La transparencia de la protección de datos y las salvaguardias de la información refuerzan el derecho de un usuario a recibir una notificación cuando las autoridades gubernamentales han solicitado sus datos. Los tribunales europeos han afirmado que este derecho se deriva de las salvaguardias de la privacidad y la protección de datos. En los casos Tele2 Sverige AB y Watson, el Tribunal de Justicia de la Unión Europea (TJUE) sostuvo que "las autoridades nacionales a las que se ha concedido acceso a los datos retenidos deben notificar a las personas afectadas... tan pronto como esa notificación ya no pueda poner en peligro las investigaciones que están llevando a cabo dichas autoridades". Anteriormente, en Szabó and Vissy v. Hungary, el Tribunal Europeo de Derechos Humanos (TEDH) había declarado que la notificación a los usuarios de las medidas de vigilancia también está inextricablemente vinculada al derecho a un recurso efectivo contra el abuso de las facultades de vigilancia.

La transparencia de la protección de datos y las salvaguardias de la información también pueden desempeñar un papel fundamental en el fomento de una mayor comprensión de las prácticas de las empresas y los gobiernos en lo que respecta a la solicitud y entrega de los datos de las comunicaciones de los usuarios. En colaboración con la EFF, muchas ONG latinoamericanas han estado presionando a los proveedores de servicios de Internet para que publiquen sus directrices de aplicación de la ley y agreguen información sobre las solicitudes de datos de los gobiernos. Hemos progresado a lo largo de los años, pero todavía hay mucho que mejorar. En lo que respecta a la supervisión pública, las autoridades de protección de datos deberían tener el mandato legal de supervisar el procesamiento de datos personales por parte de las entidades públicas, incluidos los organismos encargados de hacer cumplir la ley. Deben ser autoridades imparciales e independientes, versadas en la protección de datos y la tecnología, y disponer de recursos adecuados para ejercer las funciones que se les asignen.

Ya hay muchas salvaguardias esenciales en la región de Latam. Las constituciones de la mayoría de los países han reconocido explícitamente la privacidad como un derecho fundamental y la mayoría ha adoptado leyes de protección de datos. Cada constitución reconoce un derecho general a la vida privada o la intimidad o un conjunto de múltiples derechos específicos: un derecho a la inviolabilidad de las comunicaciones; un derecho explícito de protección de datos (Chile, España, México); o el "habeas data" (Argentina, Perú, Brasil) como derecho o recurso legal. (En general, el hábeas data protege el derecho de toda persona a conocer los datos que se tienen sobre ella misma). Y, más recientemente, un fallo histórico del Tribunal Supremo del Brasil ha reconocido la protección de los datos como un derecho fundamental extraído de la Constitución del país.

A través de nuestro trabajo en la región, nuestras preguntas frecuentes ayudan a detectar las lagunas, señalar las normas o destacar las salvaguardias fundamentales (o la falta de ellas). Está claro que el aumento de las leyes de protección de datos ha ayudado a asegurar la privacidad de los usuarios en toda la región: pero hay que hacer más. Unas normas estrictas de protección de datos que se apliquen a las actividades de aplicación de la ley mejorarían la protección de la privacidad de las comunicaciones en la región. Se necesita urgentemente más transparencia, tanto en la forma en que se aplicarán los reglamentos como en el trabajo adicional que están realizando las empresas privadas y el sector público para proteger proactivamente los datos de los usuarios.

Invitamos a todos a leer estos informes y a reflexionar sobre el trabajo que debemos defender en los próximos días y lo que aún queda por hacer.