FIADI analiza a Ecuador, Chile y Perú por su protección de datos personales

En América Latina, los únicos países que poseen la nota de adecuación -una especie de certificación otorgada por la Comisión Europea respecto de protección de datos- son Uruguay y Argentina que fueron ratificados el 15 de enero de 2024.

La 1era Conferencia Anual de Protección de Datos Personales FIADI (Federación Iberoamericana de Asociaciones de Derecho e Informática), transmitida el pasado 21 de febrero, expuso la realidad en materia regulatoria y práctica de la protección de datos en Ecuador, Perú y Chile.

En la actividad, realizada bajo la convocatoria de los 40 años de la organización, abogados representantes de los tres países coincidieron en la importancia de obtener esta nota de adecuación, que consiste en un documento formal -publicado en el Diario Oficial de la Unión Europea- que señala que el país garantiza un nivel adecuado de protección de los datos personales.

Para obtener este documento los países deben cumplir con ciertos requisitos: contar con la existencia de una autoridad autónoma en materia de protección de datos, un régimen se sanciones adecuadas, el respeto a principios legalmente establecidos en el tratamiento de datos personales y el reconocimiento de determinados derechos a las personas, respecto de sus propios datos.

“No somos un país con una cultura de mucha privacidad”

Representó a Ecuador María Paulina Casares, miembro fundador y ex directora de la Asociación Ecuatoriana de Protección de Datos y secretaría general de FIADI, quien se refirió a las leyes imperantes en su país y las propuestas de mejoras.

María Paulina Casares

Durante la conferencia, abordó el proceso que ha vivido su país para poder publicar una ley de protección de datos. A partir del 2018, la Dirección Nacional de Registro de Datos Públicos tomó la iniciativa de juntar a varios sectores de la sociedad, entre ellos, el sector académico y el sector económico. Desde ese año hasta 2021 se fue adaptando el proyecto de ley a la cultura ecuatoriana, con el fin de ir plasmando la idiosincracia del país al formular la norma: “Lo que fuimos haciendo en las mesas técnicas fue ir adaptándola a la realidad nacional, partiendo de la base de que no somos un país con una cultura de mucha privacidad, de muchas reservas. No somos una cultura en la que nuestros datos sean cuidados de alguna manera”.

Pese a que la ley fue publicada en mayo de 2021 y en mayo de 2024 cumple un año desde la entrada en vigencia de la parte sancionatoria, aún no existe un ente regulador que vele por el cumplimiento de la normativa: “Todavía es muy complejo, la gente ve como muy lejano el hecho de que la ley empiece a tener una aplicación real”, dijo.

Se planea crear la Superintendencia de Protección de Datos Personales “que se encuentra en proceso de calificación”, lo que dará como resultado un proceso complejo; en palabras de Casares: “Primero hay que levantar la institución, que no va a ser un trabajo fácil. Estamos atravesando por una situación económica de país bastante complicada, por ejemplo, no va a ser fácil levantar una institución de cero, en términos de recursos”.

Uno de los objetivos —al crear la Superintendencia y la ley de protección de datos— es alcanzar estándares internacionales que permitan certificar a Ecuador cómo un país seguro para la transmisión de datos. Para María Paulina Casares, el objetivo es que el país logre cumplir los estándares internacionales: “La ley está orientada justamente a que nuestro fin último sea que se nos pueda considerar como un país seguro para la transmisión de datos. Creo que va a depender mucho también de las acciones que tome la autoridad en cuanto a las directrices que se den para el cumplimiento de ese fin”.

El león de dientes limados

Carlos Reusser es profesor de derechos digitales en la Universidad Alberto Hurtado y redactor de la Ley de Transformación Digital del Estado . En su ponencia se refirió a la historia legal del derecho de protección de datos en Chile, desde la Constitución de 1980 hasta la actualidad.

Carlos Reusser

La Constitución de 1980 se basa en la Declaración Universal de Derechos Humanos y el Pacto de San José de Costa Rica para dirimir en estos aspectos, explicó el académico.

En 1999 se presentó la ley sobre protección de la vida privada (Ley 19628), la que —a ojos de Reusser— se convirtió en una ley que no legislaba de forma óptima estas materias, ya que se eliminaron las sanciones junto a la autoridad administrativa correspondiente: “Se dicta una ley que tiene principios y derechos, pero no hay formas prácticas de implementarla en los hechos. En el fondo, creamos un león en 1999, pero le limamos rigurosamente los dientes”.

En 2018 se reformó la Constitución, que ahora asegura a todas las personas la protección de los datos personales. Consecuentemente, se han propuesto modificaciones a la ley 19.628, entre las cuales está una especial protección a los datos de niños, niñas y adolescentes, exigiendo el consentimiento informado por parte de los padres: “Los menores de edad necesitan consentimiento de los padres y respecto a los adolescentes, ellos determinan si dan sus datos o no. Hay que tener presente que esto responde al interés superior de los niños y el respeto a su autonomía progresiva”.

Al igual que en el caso ecuatoriano, en Chile se busca obtener las certificaciones que acrediten un nivel adecuado de protección de datos, las cuales se traducen en una “decisión” de la Comisión de las Comunidades Europeas.

Esta sería una de las razones de fondo para legislar. “Esta ‘certificación’ nos permite estar en condiciones de ventaja a la hora de ofrecer productos o servicios relacionados, en materia de protección de datos. Por así decirlo, somos reconocidos como un país con un nivel adecuado y, por lo tanto, un país seguro para el tráfico de datos o para todas las operaciones de comercio relacionadas con datos”, expuso Reusser.

Con la nueva legislación ya puesta en marcha se podría solicitar esta decisión de la comisión. Según el académico, Chile va encaminado a cumplir este logro: “Estando esto funcionando en regla, podemos ir perfectamente a pedir nuestro precioso certificado de que somos un país con un nivel adecuado de protección de datos”.

Perú y la inteligencia artificial

Julio Núñez Ponce, profesor de Derecho en la Universidad Peruana de Ciencias Aplicadas y vicepresidente de Formación y Desarrollo del Capital Humano de FIADI, explicó que en Perú existe la Autoridad Nacional de Protección de Datos y que el país cuenta con diversas normativas que tienen como fin regular la materia, como lo son la Ley 31814 de inteligencia artificial y la Ley 29733 de protección de datos personales.

Julio Núñez Ponce

La ley 29.733 indica que todo el tratamiento de datos personales debe hacerse de acuerdo a la ley y prohíbe expresamente la recopilación ilícita. “Todos los datos personales deben tener una afinidad expresa de proporcionalidad, que debe ser adecuada y no excesiva”, explicó Núñez y añadió que existe un proyecto para la creación de un nuevo reglamento que busca actualizar una serie de normas existentes a nivel comparado, como el tratamiento objetivo de datos personales y su utilización en sistemas de inteligencia artificial.

La ley 31.814 también legisla sobre protección de datos y promueve el uso de la inteligencia artificial en favor del desarrollo económico y social del país. Núñez afirma que esta ley está relacionada con el principio de privacidad, por lo cual se estableció que “la inteligencia artificial no debe transgredir la privacidad de la persona y debe actuar de manera segura para lograr un impacto positivo y de bienestar en los ciudadanos”.

En el caso de Perú se comenzó a fiscalizar el sistema educativo y hotelero con base en el Registro Nacional de Protección de Datos Personales. Julio Núñez da ejemplos: “Había muchos colegios que publicaban en sus páginas web imágenes de niños sin autorización de sus padres. La autoridad les empezó a multar y esto implicó que muchos colegios se pusiesen en regla con la Ley de Protección de Datos Personales. Pasó también en el sector hotelero, en que se empezó a fiscalizar que efectivamente los documentos que los hoteles emitían de acuerdo a lo exigido por la ley, estuviesen ajustados a la ley y a las medidas de seguridad técnicas y legales”.

Perú ha avanzado en sus políticas, pero aún no obtiene la aprobación de la Comisión Europea. Para Núñez, ello se debe a la carencia de facultades de la Autoridad Nacional de Protección de Datos: “Creo que sería muy deseable que fuese autónoma. Eso fue uno de los requerimientos que hicimos desde el inicio de la norma. El Ministerio de Justicia le ha quitado esa preponderancia que debiera tener”.

FIADI busca —tal como lo señala su sitio web— “fomentar el desarrollo del derecho de la informática y las tecnologías de la información y la Comunicación (TIC) en la región iberoamericana, impulsando la cooperación, el intercambio de conocimientos y experiencias entre sus miembros, así como estableciendo colaboraciones con entidades académicas, gubernamentales y del sector privado”.

A este evento se suman otros que realizará la entidad este año: en el mes de marzo habrá una primera conferencia anual de ciberdelitos y cibercrimen;en abril, una primera conferencia anual de inteligencia artificial y en el mes de mayo, una primera conferencia anual sobre legaltech.

 
También te puede interesar:
—La búsqueda de una regulación efectiva de datos personales en América Latina
—Uribe Legal abre área de derecho público y datos personales
—Datos personales: situación actual y protección a través de seguros