Artículo de Luis Javier Sánchez en Confilegal. Publicado el 4 de febrero de 2018.
En un momento en el que Europa está haciendo un esfuerzo por adaptarse al nuevo Reglamento Europeo de Protección de Datos (RGPD), una norma consensuada en los últimos años y con cerca de 4.000 enmiendas que pretende homogeneizar la privacidad en el Viejo Continente, conviene saber qué puede pasar en Latinoamérica, donde la privacidad también importa cada vez más.
CONFILEGAL ha preguntado a alguno de los principales abogados del país, unidos por el Observatorio Hispanoamericano de Protección de Datos, galardonado con el premio de investigación por la Agencia Vasca de Protección de Datos, su opinión sobre este tema y como se ve a América Latina en este entorno tras el próximo 25 de mayo, fecha en la que el RGPD entrará en vigor en toda Europa
Para Daniel López Carballo, coordinador de la obra y Socio del Área de Privacidad y Protección de Datos de ECIJA, “el cambio normativo que estamos viviendo en Europa en relación con el Reglamento General de Protección de Datos, también está teniendo impacto en Iberoamérica”.
Para este experto “en primer lugar sobre los países que actualmente tenían la consideración de países con nivel adecuado de Protección (conforme al Convenio 108 y sendas decisiones europeas), casos de Argentina y Uruguay, que se encuentran analizando el impacto que el RGPD va a tener, de cara a adecuar sus normativas y mantener el estatus comentados”.
En su opinión “de otra parte nos encontramos con países que ya han manifestado su intención de poder gozar de el nivel adecuado, una cuestión que tiene incidencia, también, en el plano económico, a la hora de que empresas contraten servicios con empresas nacionales. En este grupo podemos destacar a México, Colombia y Costa Rica”.
Y destaca al mismo tiempo que “debemos recordar que la propia Organización de Estados Americanos, ponía de relevancia a través de un informe de su Gabinete Jurídico, la necesidad de unificar criterios en materia de protección de datos, avanzando, incluso, en la adopción de una ley marco. Así, este momento supone una oportunidad, incluso de car a países que están en proceso de adoptar nuevas normas, casos de Honduras, Chile o Ecuador”.
Para López Carballo “si en Europa el RGPD implica un cambio, no sólo de modelo de cumplimiento, sino también cultural sobre como proteger la información y emponderar los derechos de las personas, este cambio también afecta a los modelos normativos iberoaméricanos, donde determinadas obligaciones se arrastraban de la normativa española o Directiva Europea (e.g. la notificación de ficheros a la autoridad de control).
A juicio de este experto “en todo caso, este proceso a ambos lados del Atlántico redundará en beneficios para ciudadanos, empresas e instituciones, para la protección efectiva de un derecho erga omnes y la seguridad jurídica necesaria para las empresas y nuevos modelos de negocio, en una sociedad cada vez mas global.
Educación, clave para adaptarse al nuevo modelo de privacidad
En este nuevo entorno formativo, la educación es clave para adaptarse al mismo. Así lo señala Oscar Costa Román, Director del Master TIC para la Educación y el Aprendizaje Digital de la Universidad Antonio de Nebrija y coautor de la obra.
“Debe recordarse que en una sociedad digitalizada como la que nos encontramos, donde cada vez se encuentran más asentados conceptos como “nativos digitales”, para una efectiva protección de los datos personales y por tanto de la privacidad de las personas, es necesario el complemento educativo y formativo, tanto en relación con los derechos de las personas, como en los riesgos de la utilización de las nuevas tecnologías a su alcance” comenta.
En opinión de Francisco González-Calero Legal & Privacy Advisory Leader en Govertis Advisory Services “el RGPD impone un cambio de cultura en las empresas y administraciones públicas que obliga a tener presente a la privacidad en todos los aspectos y decisiones que afecten al tratamiento de datos de personas”.
Por ello el Estudio premiado por la AVPD aporta una serie de principios y pautas de actuación a los países latinoamericanos tanto a nivel legislativo para los poderes públicos como a nivel organizativo y técnico para los responsables de tratamiento que pueden ayudar a facilitar las transferencias internacionales de datos entre la Unión Europea y Latinoamérica con figuras como el Sello Iberoamericano de Protección de Datos.
A su juicio “el RGPD es un modelo exportable a Latinoamérica puesto que las legislaciones actuales se basan en el modelo europeo de la Directiva 95/46 y nuestra LOPD, por lo que cuentan con las mismas carencias que nuestra normativa vigente para abordar los nuevos retos que plantean las tecnologías emergentes del Big Data y el Internet de las Cosas. Es por ello recomendable que aborden procesos de reforma legislativa al igual que se ha hecho en Europa”.
Muchos cambios en un mundo global
En este entorno global “el componente digital e Internet han cambiado la forma en que nos relacionamos y que afronta importantes cambios desde el punto de vista normativo, en un año en que, junto con la plena aplicación del Reglamento General de Protección de Datos, diferentes países están afrontando procesos legislativos para adoptar nuevas normas o adaptar las ya existentes en esta materia” apunta Alonso Hurtado Bueno, Socio del Área de Risk and Compliance en ECIJA Abogados.
Según Héctor Guzmán, director de privacidad del despacho mejicano BGBG Abogados, “el trabajo de este Observatorio Hispanomericano demuestra su compromiso uno de sus objetivos principales: extender la cultura de la protección de datos personales hacia toda la región Iberomericana, y en especial hacia aquellos países donde ésta comienza a conocerse e implementarse de forma cotidiana.
Respecto al RGPD, coincide con muchos expertos en que hay que verlo “como un reto y una oportunidad extraordinaria tanto para los países de la UE, como para todos aquellos que serán de una u otra forma afectados por su aplicación efectiva desde el próximo 28 de mayo de 2018.”
Y señala que “a través del RGPD, la UE extenderá en diversos niveles su grado de protección a los datos personales de los ciudadanos y residentes de la UE y pondrá sobre la mesa, en otros países ajenos a la UE, cuál es el nivel de protección que brindan a los datos personales en sus relaciones con los países de esta zona del mundo”.
Sobre si este modelo europeo nuevo de privacidad es exportable a Latam, Guzmán confiesa que “México ya ha importado el modelo del RGPD”, el incorpora desde 2010 el principio de responsabilidad proactiva (accountability) dentro de otros principios ampliamente conocidos en la UE dirigidos a la protección de los datos personales.
“Asimismo, me consta que en México existe inquietud y deseos por conocer y adoptar medidas de cumplimiento que deben afrontar ciertos responsables que de manera activa ofrecen sus servicios a ciudadanos de la UE; creo es inevitable que, en mayor o menor medida, determinados aspectos del RGPD vayan a terminar siendo parte de futuras disposiciones legales, directrices y políticas de las autoridades de control.
Desde su punto de vista, “a medio y largo plazo, estoy convencido que veremos reformas legales en México y otros países de Latam, inspiradas en las propias disposiciones del RGPD, siempre con la necesaria adecuación a la región “importadora”
“México ya ha importado “el modelo del RGPD”, el incorpora desde 2010 el principio de responsabilidad proactiva (accountability) dentro de otros principios conocidos en la UE dirigidos a la protección de los datos personales”
El RGPD ayudará a profesionalizar el sector de la privacidad
José Luis Colom, director de Auditoría y Complimiento Normativo en AUDERTIS, el RGPD hay que verlo como “un paso adelante”. Se puede plantear como un mayor nivel de madurez en la protección de datos al no basarse en un numerus clausus o catálogo de medidas de seguridad tasadas, sino en un enfoque en función del riesgo”.
Al mismo tiempo, “en base a él, las medidas organizativas y técnicas necesarias para proteger los datos personales y sus tratamientos, se adoptarán en función de una evaluación previa del impacto que pueden representar en la privacidad, sin olvidar las medidas de orden jurídico-organizativo tanto o más importantes”.
Otra cuestión que le llama la atención es que incidirá “en una mayor profesionalización de quienes se dedican a la importante tarea de asesorar a las organizaciones para que puedan cumplir con sus obligaciones”.
Desde su punto de vista, este modelo europeo es exportable a América Latina “ sin duda. Es una tendencia global ir basando en el riesgo todas las normas jurídicas como es el RGPD, por un lado, y las de adscripción voluntaria, por otro, como son las normas ISO desde el año 2012. En un mundo con recursos finitos, éstos deben destinarse a adoptar las medidas más necesarias en función del nivel de riesgo, criterio cada vez más consensuado universalmente”.
Cumplir el RGPD como valor competitivo de cara clientes
Ruth Benito, of counsel de Elzaburu ve una lectura positiva en el nuevo RGPD “ Espero sirva para que los sujetos obligados realicen una correcta y continua gestión de la protección de datos, algo que ha sido en muchas ocasiones muy mal entendido y manejado, al menos en España, así como para que las personas físicas utilicen los mecanismos que tiene a su alcance para reivindicar el respeto a sus derechos.”.
Para esta experta , “no obstante, debemos ser conscientes de que ahora mismo necesariamente debe pasar una etapa de “rodaje” de la norma y que muchas cuestiones no quedarán bien definidas o delimitadas hasta que vayamos teniendo resoluciones de las autoridades de control y sentencias de los tribunales”.
En opinión de Sara Molina, CEO de Marketingnize, también integrante de este grupo de trabajo la adaptación al RGPD hay que verlo desde aspectos competitivos “la satisfacción del cliente y la generación de confianza en los servicios prestados es un pilar básico en la era digital en la que tanto hablamos del machine learning, la inteligencia artificial, del big data, IOT… Por tanto, la adaptación normativa del tratamiento de los datos no se trata sólo de un imperativo legal sino de un KPI necesario de calidad para ser competitivos.
Y en este cambio que supone el RGPD, como cambio a un modelo más innovador destaca “que la nueva normativa implica hacer hincapié en el Privacy by Design, la definición del modelo de negocio y de los procesos de gestión centrados en la innovación y la calidad”. A su juicio el proyecto del Observatorio es global y diverso, capaz de abordar la temática de una forma única y extraordinario.
La satisfacción del cliente y la generación de confianza en los servicios prestados es un pilar básico en la era digital en la que tanto hablamos del machine learning, la inteligencia artificial, del big data, IOT…
Por su parte, Andrés Blázquez García, responsable del Departamento Legal GEFCO España y Secretario del Consejo de Administración recuerda que “el Observatorio nació con una idea ambiciosa y con mínimos recursos, ha llegado a ser un foro internacional de profesionales para profesionales”.
Y destaca que “debido a la falta de armonización en la materia de protección de datos a nivel iberoamericano, se hacía necesaria la creación de dicho foro (pluridisciplinar, no únicamente jurídico) de intercambio de información”.
También recuerda que “en un mundo globalizado, la transferencias de datos es necesariamente global, debiendo las empresas y administraciones efectuar dichos intercambios por cauces ordenados y que garanticen en todo caso los derechos de los particulares y aporten en dichas transacciones la seguridad jurídica necesaria. Este foro ha supuesto para muchos profesionales jurídicos vinculados a la empresa multinacional, como es mi caso, un entorno de cierto confort en qué algo se está moviendo entre profesionales”.