Abogados de América y España analizan las regulaciones de protección de datos locales

Albagli Zaliasnik

Compliance Latam, plataforma integrada por diversas firmas de abogados de Latinoamérica, Estados Unidos y España y compuesta por oficiales de cumplimiento, gerentes legales, consultoras, auditores y otros actores relevantes del ecosistema del cumplimiento, estrenó a finales de marzo la versión 2025 de su guía comparada de protección de datos personales donde analizaron las situaciones regulatorias en la materia en diversas regiones.

Los países revisados fueron Chile, España, México, Argentina, Guatemala, El Salvador, Honduras, Nicaragua, Costa Rica, Ecuador, Perú, Brasil, Bolivia, Paraguay, Uruguay, Panamá, Estados Unidos y Colombia. Carolina Cabrera, abogada de Accenture, resaltó en el webinar de lanzamiento de la guía, que la mayoría de los países de América Latina cuenta con autoridades fiscalizadoras de datos. “El tema es si esta autoridad fiscalizará y aplicará sanción o si estará enfocada en la prevención. En cada país deberá establecerse cuál es la prioridad. Sin embargo, la autoridad debería tener un rol educativo y fomento de cultura de datos al interior de las empresas”, añadió.

Respecto a los datos presentados por la guía en sí, hay diversas variaciones sobre cómo funciona la protección de la información en cada jurisdicción. Presentamos los resultados resumidos del informe respecto a las obligaciones de compliance de protección de datos privados en las normativas revisadas.

Diversidad de normas en Iberoamérica

Chile fue analizado por los miembros de Albagli Zaliasnik, Rodrigo Albagli, Yoab Bitran, Ivonne Bueno y Antonia Nudman. En el país se ha reformado su marco legal con la promulgación de la Ley N°21.719, que entrará en vigor el 1 de diciembre de 2026, reemplazando parcialmente a la Ley N°19.628 de 1999. Con estas nuevas normas se crea la Agencia de Protección de Datos Personales como ente supervisor y se introduce figuras como el delegado de protección de datos (DPO), que es obligatorio si se opta por certificar un modelo de cumplimiento.

“Los nuevos programas de compliance no son obligatorios, sin embargo, de implementarse y ser certificados por la futura Agencia de Protección de Datos Personales, servirán como atenuante de responsabilidad en caso de que la organización sea sancionada por dicho organismo”, comenta el informe y señala que estos programas deben incluir, entre otros elementos, protocolos, mapeo de actividades riesgosas, canales de denuncia y mecanismos de reporte tanto internos como hacia la agencia.

Florencia Arrébola, asociada senior de Bartolome & Briones, llevó a cabo el análisis de la situación en España, donde se aplica el Reglamento General de Protección de Datos (RGPD) de la Unión Europea junto con la Ley Orgánica 3/2018 (LOPDGDD). Arrébola destaca que ambas normativas no solo buscan salvaguardar la privacidad de los individuos, sino también fomentar la confianza en el uso de tecnologías digitales.

“Tanto el RGPD como la LOPDGDD establecen la obligación a los responsables y encargados del tratamiento de implementar medidas de cumplimiento en materia de protección de datos que se aplicarán atendiendo a la naturaleza, contexto, finalidad del tratamiento y los riesgos que el tratamiento de datos pueda implicar para los derechos y libertades de los ciudadanos. Estas medidas deben aplicarse desde el diseño y por defecto, es decir que deben tenerse en consideración desde el nacimiento y diseño de un proceso que implica el tratamiento de datos personales” se señala en el documento y que el RGPD exige la figura del DPO en ciertos casos obligatorios (como tratamientos masivos o por organismos públicos), y permite certificaciones oficiales como “Europrivacy” para demostrar conformidad.

La certificación puede ser otorgada por entidades acreditadas encargadas de evaluar el cumplimiento de las normativas de protección de datos, proporcionando una forma de evidenciar la conformidad ante las autoridades.

Renata Buerón, asociada de Basham, revisó la normativa mexicana, donde se reconoce el derecho a la protección de datos personales en la Constitución (art. 16) y se ha adoptado un marco dual: la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados para el sector público y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) para el sector privado. México también es parte del Convenio 108 del Consejo de Europa, lo que refuerza su enfoque internacional.

El reglamento de la LFPDPPP (RLFPDPPP), determina en su artículo 48 los medios para cumplir con el principio de responsabilidad, entre ellos desarrollar un programa de privacidad. De acuerdo con Buerón no se establece específicamente qué debe incluir ese programa; sin embargo, basándose en el contenido de dicho artículo, los programas de privacidad por lo general deben contar con estas características: ser obligatorios y exigibles al interior de la organización del responsable; establecer un sistema de supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento de las políticas de privacidad; destinar recursos para la instrumentación de los programas y políticas de privacidad; instrumentar un procedimiento para que se atienda el riesgo para la protección de datos personales por la implementación de nuevos productos, servicios, tecnologías y modelos de negocios, entre otras medidas.

El responsable debe designar un encargado interno de protección de datos, sin que exista un criterio para excepciones. Por otro lado, Buerón señala que no existen en México procesos de certificación de los programas de cumplimiento en protección de datos. La autoridad fiscalizadora era el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, que será disuelta tras una reforma constitucional reciente, por lo que está pendiente la designación de una nueva entidad encargada.

La situación de Argentina fue analizada por Florencia Rosatti y Andrea Sanchez Vicentini de Beccar Varela. La Ley 25.326 y su Decreto Reglamentario 1558/2001 forman el núcleo del régimen de protección de datos personales argentino. También se reconoce el derecho a la privacidad y al “hábeas data” como derecho constitucional desde la reforma de 1994. La Agencia de Acceso a la Información Pública (AAIP) actúa como autoridad supervisora, aunque no existe obligación legal de contar con programas de cumplimiento ni con un DPO.

A pesar de la falta de obligatoriedad, existen herramientas como el Módulo de Protección de Datos del RITE (Registro de Integridad y Transparencia) que permiten evaluar de forma voluntaria el nivel de cumplimiento. «Dado que en Argentina no es obligatorio tener un programa de cumplimiento en protección de datos personales, no existen requisitos específicos establecidos de manera oficial. Sin embargo, de existir, los programas de cumplimiento deben ajustarse a la LPDP y su normativa complementaria”, se comenta en el documento.

Un nuevo proyecto de ley buscaría incorporar un enfoque de fiscalización de datos extraídos desde el extranjero forma expresa, junto con requisitos como la designación obligatoria de un DPO, pero el proyecto perdió estado parlamentario en febrero de 2025​ debido a que no ha sido tratado en el Congreso.

Problemas legislativos en Centroamérica

León Weinstok, director del área de ciberseguridad y protección de datos de Business Law Partners (BLP), revisó el estado de Guatemala, El Salvador, Honduras, Nicaragua y Costa Rica. Una problemática que se repite en la mayoría de los países de la región centroamericana es una falta de normas o poca claridad en la legislación de datos personales.

Guatemala no cuenta con una ley marco específica para la protección de datos personales. La única normativa relevante es la Ley de Acceso a la Información Pública (Decreto 57-2008), que aplica únicamente a datos contenidos en archivos de entidades estatales y ciertos entes privados que gestionan fondos públicos. Esta limitación excluye completamente el sector privado común del ámbito regulatorio de protección de datos​

“No existen programas ni obligatoriedad por la falta de regulación local. En cuanto a información pública, de conformidad con la Ley de Acceso a la Información Pública, cada sujeto obligado, es decir, cada organismo del Estado sujeto a esta ley, deberá contar con programas de actualización permanente (interna) en materia de protección de datos personales de los particulares. Estos programas son obligatorios y administrados por cada unidad dentro de la institución”, explica Weinstok sobre la normativa guatemalteca y añade que las sanciones existentes se aplican únicamente a funcionarios y empleados públicos.

Respecto a El Salvador, se aprobó en noviembre de 2024 la Ley para la Protección de Datos Personales (LPDP). La norma incluye un enfoque amplio sobre el consentimiento informado, el tratamiento de datos de menores y personas incapaces, así como restricciones para transferencias internacionales y comercialización de datos sin autorización​.
.
La ley obliga a las empresas al nombramiento de un DPO dentro de las empresas como primer paso de adecuación. “Cabe considerar que el artículo 60 de la ley establece que la Agencia de Ciberseguridad del Estado deberá emitir políticas, medidas, directrices y cualquier otro documento necesario para la aplicación de la ley dentro de los primeros tres meses desde su entrada en vigor (a mediados de febrero de 2025). Sin embargo, hasta la fecha, no se ha hecho público ningún avance en este asunto”, se señala en el documento.

En Honduras no hay una ley específica sobre protección de datos personales. La regulación se deriva de disposiciones generales en la Constitución y la Ley sobre Justicia Constitucional. No existe un marco que contemple programas obligatorios de cumplimiento, lineamientos mínimos ni organismos técnicos reguladores​.

A pesar de la ausencia normativa, el Instituto de Acceso a la Información Pública (IAIP) impone sanciones por infracciones vinculadas a la protección de datos en el ámbito público. “Considerando que no existe una normativa específica, las organizaciones comienzan a aplicar sus procedimientos internos en aras de velar por la protección de datos personales, con especial atención a las pocas disposiciones que regulan este tema en Honduras”, escribe Weintok al respecto.

Nicaragua cuenta con una ley específica: la Ley No. 787 de Protección de Datos Personales (2012). Aunque establece principios fundamentales y sanciones, la Dirección de Protección de Datos Personales —órgano previsto para aplicar la ley— no ha sido formalmente constituida por el Ejecutivo​.

La normativa exige la existencia de un responsable del tratamiento de datos, pero no hay programas de cumplimiento obligatorios ni procesos de certificación. “Por el momento, ante la falta de un regulador activo, las organizaciones están comenzando a desarrollar políticas internas alineadas a la Ley 787 y capacitar a su personal”, se describe en el documento.

Costa Rica tiene un marco regulatorio consolidado mediante la Ley N° 8968 o “Ley de Protección de la Persona frente al tratamiento de sus datos personales”, y su reglamento. No existe una obligación legal de establecer programas de cumplimiento ni de contar con un DPO. Tampoco hay procesos de certificación para programas de cumplimiento. “No se establece legalmente ningún tipo de guía o recomendación en este sentido. Sin embargo, lo recomendado es iniciar por un análisis del tratamiento de datos que se realiza, preparar los procedimientos y protocolos necesarios y, por último, la implementación y capacitación”, expresa Weintok.

Otras normas de protección de datos del cono sur

Esteban Dávila Caicedo y Rafael Gabela de la firma Bustamante Fabara analizaron la situación en Ecuador. La Ley Orgánica de Protección de Datos Personales (LOPDP), vigente desde 2021, también cuenta un el reglamento expedido el 13 de noviembre de 2023. “La LOPDP establece la obligación de implementar medidas de responsabilidad proactiva para garantizar el cumplimiento de la normativa de protección de datos. Entre estas medidas, se incluye la designación de un delegado de protección de datos personales en ciertos casos específicos, como cuando el tratamiento de datos se realiza por entidades del sector público o cuando las actividades del responsable o encargado requieren un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento”, se señala en el documento.

Los abogados también señalan que la Superintendencia de Protección de Datos Personales puede establecer mecanismos de certificación para responsables y encargados del tratamiento de datos. Los detalles sobre estos procesos y quienes pueden otorgar la certificación deberán ser definidos por la institución: “Los preceptos de la LOPDP son de cumplimiento obligatorio para todas las instituciones, públicas o privadas, que traten datos personales de titulares”.

En Perú, Victor Bosleman y Ayrton Huamán Nuñez de CPB Abogados revisaron la situación de compliance de datos privados de su país. Dentro de la normativa peruana se regulan los datos privados mediante la Ley N.º 29733 y su reglamento, recientemente actualizado mediante el Decreto Supremo N.º 016-2024-JUS, que entró en vigor el 30 de marzo de 2025. La autoridad supervisora es la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia.

Bajo esta ley, en Perú los DPO son obligatorios para las empresas que realicen tratamiento de grandes volúmenes de datos personales o que su giro de negocio comprenda el tratamiento de datos confidenciales. A la fecha, no se han establecido procesos de certificación de compliance de protección en los códigos de conducta en Perú.

“La normativa actual no contempla programas obligatorios de prevención de infracciones en protección de datos personales. Sin embargo, una de las novedades del nuevo Reglamento de Protección de Datos Personales es la incorporación de los códigos de conducta como una herramienta opcional para fomentar el cumplimiento normativo. Estos códigos de conducta son iniciativas voluntarias que las empresas o grupos empresariales pueden implementar para demostrar su compromiso con las obligaciones legales en esta materia”, comentan en el documento y añaden que si se aplican antes del inicio de un procedimiento sancionador, pueden ser considerados como un factor atenuante de responsabilidad a pesar de no ser obligatorios.

Marcelo Coimbra, Virgínia Coelho y Stefano Fabbri de Fleury, Coimbra & Rhomberg Advogados revisaron la normativa de Brasil, donde rige la Lei Geral de Proteção de Dados (LGPD), que se aplica tanto en el ámbito público como privado. La Autoridad Nacional de Protección de Datos (ANPD) regula y fiscaliza el cumplimiento, e incluso emite guías sobre mejores prácticas y sanciones.

“Aunque la LGPD no establece la obligatoriedad de un programa formal de cumplimiento en protección de datos, sí impone principios y obligaciones que, en la práctica, exigen la implementación de medidas organizacionales y técnicas para garantizar la prevención de infracciones y el cumplimiento de la normativa aplicable en materia de protección de datos personales. Además, la ANPD fomenta la adopción de programas de gobernanza en privacidad, que deben estructurarse según el tamaño y el volumen de datos tratados por la organización”, se señala en el documento.

Marlyn Narkis Assis, socia de MDU Legal, analizó la situación en Panamá, donde se cuenta con la Ley 81 de 2019 y su reglamentación mediante el Decreto Ejecutivo 285 de 2021, que establece los principios generales de protección de datos y las obligaciones de responsables y encargados. Se complementa con normas sectoriales como la Ley 51 de 2008 sobre firma electrónica, y regulaciones de autoridades como la Superintendencia de Bancos o la Autoridad Nacional para la Innovación Gubernamental​.

“la Ley 81 de 2019 y su reglamento establecen la obligación de adoptar medidas de seguridad para garantizar la protección de los datos personales. Aunque no se exige expresamente la implementación de un programa de cumplimiento, se requiere que las empresas y organizaciones que traten datos personales implementen protocolos, políticas y controles que aseguren la confidencialidad, integridad y disponibilidad de la información”, comenta Narkis.

La Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) es el organismo técnico que fiscaliza, dicta directrices, autoriza mecanismos de autorregulación y ejecuta inspecciones sectoriales. “Actualmente, en Panamá no existe un proceso de certificación oficial a nivel gubernamental para programas de cumplimiento en protección de datos personales, sin embargo, las organizaciones pueden adoptar certificaciones internacionales”, se añade en el documneto.

Colombia tiene una normativa consolidada en torno a la Ley 1581 de 2012, complementada por los Decretos 1377 de 2013 y 1074 de 2015, que regulan el tratamiento, registro, derechos de los titulares, autorización y sanciones. Adicionalmente, la Ley 1266 de 2008 se aplica al manejo de datos crediticios y financieros​. Sarita Enríquez, asociada de Posse Herrera Ruiz, fue la encarga de analizar la situación en la jurisdicción colombiana.

“El régimen colombiano prevé la obligación de dar cumplimiento al Principio de Responsabilidad Demostrada o ‘Accountability’”, menciona Enriquez en el documento. El principio de “Accountability” es obligatorio y su cumplimiento puede ser verificado por la Superintendencia de Industria y Comercio (SIC)​. Los programas de cumplimiento deben considerar la estructura de la organización, el tipo de datos tratados, los riesgos, la adopción de mecanismos internos y la existencia de un canal adecuado para consultas o reclamos. También deben incluir autorización expresa del titular y mecanismos para asegurar su consentimiento informado​

Colombia se distingue por exigir manuales de políticas internas, así como reportes a la SIC en caso de incidentes de seguridad. La aplicación territorial incluye a cualquier responsable que trate datos de residentes colombianos.

Estados Unidos y el análisis de Ferrere

Facundo Galeano de Miller & Chevalier presentó su análisis de la situación en Estados Unidos. El país no tiene una ley federal integral de protección de datos personales, pero sí tiene un conjunto de leyes sectoriales como la Ley de Privacidad de 1974, la Ley de Protección de la Privacidad Infantil en Línea (COPPA), y una normativa de la Comisión Federal de Comercio (FTC) mediante la prohibición de prácticas engañosas bajo el principio de “UDAP”. A nivel estatal, se destacan leyes como la California Consumer Privacy Act (CCPA) y la Virginia Consumer Data Protection Act (VCDPA), que sí establecen sistemas integrales parecidos al RGPD europeo.

“Debido a la falta de una sola ley integral que regule la protección de datos a nivel federal, habría que analizar cada una de las normativas para entender cuáles requieren de un programa de prevención o de cumplimiento y cuáles no”, explica Galeano, poniendo a modo de ejemplo, en el caso de la FTC, que la misma mantiene una norma para la salvaguardia de la información del cliente que proporciona orientación concreta a las instituciones financieras sujetas a su jurisdicción, requiriendo que dichas empresas tengan un programa de seguridad de la información de los clientes con salvaguardas administrativas, técnicas y físicas.

La regla general en EE.UU. es que las empresas no reguladas pueden usar, vender o compartir datos sin obligación de informar a los usuarios, salvo que una ley estatal o federal específica lo prohíba. En consecuencia, la protección depende del estado de residencia y del tipo de datos tratados​

Alberto Rivera, Jorge Plaza, Martín Pesce, María Canziani, Montserrat Puente, y Galo Molinas de la firma Ferrere escribieron sobre la situación en Bolivia, Paraguay y Uruguay.

Bolivia no cuenta con una ley específica sobre protección de datos personales. Sin embargo, su Constitución Política del Estado reconoce la acción de protección de privacidad, y se han establecido normas sectoriales en telecomunicaciones (Ley 164 General de Telecomunicaciones), servicios financieros (Ley 393 de Servicios Financieros) y tecnologías de la información​ (Decreto Supremo No. 1793 que aprueba el Reglamento para el Desarrollo de Tecnologías de Información y Comunicación). No existe una autoridad técnica, ni figura del DPO, ni sanciones administrativas específicas por incumplimiento.

“Dado que no existe una ley de protección de datos en Bolivia, tampoco existen sanciones por la realización de conductas que puedan afectar los derechos de los titulares de datos personales.”, explican en el informe. No obstante, dado que el Código Civil boliviano reconoce al derecho a la intimidad como un derecho civil, quien se vea afectado en su derecho a la intimidad podría solicitar el resarcimiento por el hecho ilícito mediante un proceso ordinario en vía civil.

Paraguay basa su regulación en disposiciones constitucionales, como el Habeas Data, y en la Ley N.º 6534/2020 sobre información crediticia, que regula principalmente el tratamiento de datos en ese sector. Esta ley establece deberes de confidencialidad y derechos de acceso, rectificación y cancelación​.

No existe obligatoriedad de programas de cumplimiento ni figura del DPO. La Secretaría de Defensa del Consumidor (SEDECO) y el Banco Central del Paraguay (BCP) son los órganos responsables en protección de datos según el ámbito (consumidores y burós de crédito, respectivamente), pero hasta ahora no se han emitido directrices específicas.

En Uruguay, la normativa en la materia está compuesta por la Ley N°18.331, el Decreto Reglamentario N°414/009, los artículos 37 a 40 de la Ley N°19.670 y el Decreto N°64/2020 (LPD). Este marco está armonizado con el Reglamento General de Protección de Datos (RGPD) europeo, y ha sido reconocido por la Comisión Europea como país adecuado para la transferencia internacional de datos​.

“La LPD establece principios clave que deben ser observados en todas las fases del ciclo de vida de los datos personales, desde su recolección hasta su destrucción, tales como el previo consentimiento informado, finalidad, legalidad (registro de la base de datos), confidencialidad, seguridad y reserva”, se comenta en el informe y se añade que se obliga a los responsables y encargados del tratamiento de datos a aplicar medidas preventivas, evaluaciones de impacto, seguridad desde el diseño y por defecto, y eventualmente a nombrar un DPO.

Las organizaciones deben registrar sus bases de datos en la Unidad Reguladora y de Control de Datos Personales (URCDP) y declarar el cumplimiento de las exigencias normativas. Se promueve que incorporen esta normativa dentro de sus sistemas generales de compliance, con protocolos, auditorías internas y formación del personal.

 
También te puede interesar:
— Chile y Perú comienzan 2025 con nueva ley y nuevo reglamento de protección de datos
— Publican libro sobre cumplimiento en protección de datos personales
— FIADI analiza a Ecuador, Chile y Perú por su protección de datos personales