#ProtecciónDedatos #AGESIC
Small Data
América Latina y la protección de datos personales
Entrevista a Laura Nahabetián y Gonzalo Sosa, de la Unidad Reguladora y de Control de Datos Personales de la Agesic
Los países de América Latina están en una situación desigual en sus esfuerzos por proteger a los ciudadanos con respecto al tratamiento automatizado de sus datos personales. En la región, Argentina y Uruguay cuentan con una legislación avanzada mientras que países de la talla de Brasil y Chile carecen de una ley. Colombia, México, Perú, Venezuela y Ecuador cuentan con algún tipo de reglamentación y el resto de los países latinoamericanos apenas tiene el tema en agenda.

La Red Iberoamericana de Protección de Datos trabaja para que América Latina avance en darle un marco regulatorio a este derecho fundamental de las personas. Desde el año pasado la presidencia protémpore del organismo le corresponde a Uruguay, a través de la Unidad Reguladora y de Control de Datos Personales (URCDP) de la Agencia de Gobierno Electrónico (Agesic). El período está marcado por algunos hitos como la aprobación de los estándares para América Latina, la posibilidad de que los mismos sean elevados ante la Asamblea General de la OEA en agosto, y por supuesto, la reciente aprobación en Europa del Reglamento General de Protección de Datos y su repercusión en la región.

Natalia Arralde: ¿Cuál es la situación de América Latina en cuanto a la protección de datos de sus ciudadanos?

Laura Nahabetián: América Latina tiene diferentes niveles de situación vinculados a los datos personales. Tenemos países que tienen ley y países que no tienen nada. Si nos fijamos en América del Sur tenemos a Brasil que es un país muy grande que no tiene ley. Se aprobó recientemente un proyecto en cámara de Diputados pero han circulado por Brasil numerosos proyectos. En el caso de Chile, que tiene una impronta fuertemente comercial y una plataforma de negocios muy importante, tampoco tiene ley. Son dos grandes países que no tienen ley. Después tenemos a Argentina y Uruguay que no solo tienen ley sino que tienen estatus de adecuación con la Unión Europea, lo que posiciona a estos dos países en una situación particular en relación a la normativa europea. Luego Colombia, Perú, Venezuela y Ecuador tienen alguna reglamentación. La colombiana es la que está mas firme, pero en general hay una situación muy dispar.

¿Cómo incide en nuestros países la reglamentación europea sobre protección de datos que entró en vigor recientemente?

Gonzalo Sosa: El contenido del reglamento se conocía desde hace dos años, porque se probó y se dio ese tiempo para adaptar todas las normativas internas de los países europeos. Lo que se refleja es una visión moderna que indica cuál es el camino que Europa ha pensado respecto a la protección de datos personales, y nosotros estamos bastante alineados en considerar la protección de datos como derecho fundamental. Esto ha influido en algunos documentos que la Red Iberoamericana ha dejado disponibles para los países que quieran hacer adecuaciones a su legislación. No para hacerlas en función de esta normativa sino para modernizar su legislación e ir todos hacia el mismo lugar. Los estándares que sugiere la red sirven de inspiración a los países que no están tan avanzados.

LN: Es importante tener en cuenta que en América Latina hemos tomado como criterio la normativa europea en términos jurídicos generales en contraposición a la norteamericana que tiene una lógica anglosajona. Entonces, tiene lógica que los países latinos queramos ir en la línea europea.

¿Cuál es la diferencia de ambas concepciones ?

LN: Europa entiende a la protección de datos como un derecho fundamental. Para Estados Unidos se ve desde la lógica de defensa al consumidor, que es una lógica totalmente distinta. No quiere decir que no lo consideren un derecho importante pero hay fundamentos de base en términos de lo que significa la evaluación de un derecho fundamental que América Latina, desde México para abajo, todos hemos tomado criterios para nuestros ordenamientos jurídicos generales, y eso nos hace también engancharnos en el camino de Europa.

La primera norma internacional general de protección de datos es de 1981 y es el denominado Convenio 108 del Consejo de Europa. Antes se habían aprobado otros documentos pero no con carácter normativo sino declarativo. Este convenio sufrió una modernización y se acaba de suscribir el pasado 25 de junio en Estrasburgo. Es muy importante porque Uruguay fue el primer país no europeo en ser invitado a firmar ese convenio; ahora también se sumaron Argentina y México, pero Uruguay participó de todo el proceso de modernización y eso de alguna manera nos alinea en la lógica europea del sentido de la protección de datos.

La Unidad Reguladora y de Control de Datos Personales preside la Red Iberoamericana de Protección de datos desde el año pasado. ¿Qué hitos podrían destacar en este período?

LN: Nos pasaron dos cosas importantes: la aprobación de los estándares que para nosotros es un hito fuerte que significa poner de acuerdo a América Latina en la línea que queremos seguir. Es un proceso que en los avances primarios lo tomó México, que era quien presidía antes la red, pero con un fuerte compromiso de Uruguay, de Colombia, de Argentina sobre todo, que son además los miembros del comité ejecutivo junto con España.

Otra cosa importante es que la Organización de los Estados Americanos (OEA), a través de su Comité Jurídico Interamericano, nombró a nuestro representante como relator para el tema de protección de datos para la OEA. El comité tomó el tema de los estándares y tomó el tema de la protección de datos para intentar hacer una recomendación general más actualizada a la anterior, que tenía diez años. Convinieron que se avanzará más, y que es necesario que se tome el tema para llevarlo a la Asamblea General. La relatoría está prevista para el mes que viene, así que en agosto va a haber novedades.

Esto tiene un valor institucional muy importante. Primero, porque Uruguay participó y es bien importante que el tema se retome y que desde OEA se plantee. Entre otras cosas, porque ahí participa Estados Unidos, que adelantó que no iba a hacer objeción si se aprueba en términos generales. Estos dos fueron sin dudas los hitos más importantes de nuestra presidencia de la Red Iberoamericana de Protección de Datos.

La reciente normativa europea protege a los ciudadanos europeos que pueden estar en cualquier parte del mundo. ¿Qué pasa cuando los ciudadanos europeos están en América Latina haciendo uso de un servicio, por ejemplo el turismo?

GS: La extraterritorialidad en el reglamento es para casos de empresas que ofrezcan productos o servicios a ciudadanos europeos. Los considerandos del reglamento dan explicaciones sobre cuándo los productos o servicios fuera de fronteras están abarcados por el reglamento. Si llego a un hotel uruguayo y ofrezco un servicio en el idioma del país europeo, en euros, podría encontrarme alcanzado. Si hay algún servicio o producto en un país latino que recolecte datos de ciudadanos europeos para poder ofrecerles un servicio, que haga análisis de determinadas tendencias para hacer publicidad u ofrecer servicios, ahí también se encuentra abarcado por el reglamento.

La territorialidad es un tema complicado. El responsable tiene que estar ubicado en el país, y si no está, tiene que tener un representante en el país. La ley uruguaya, por ejemplo, dice que el responsable tiene que estar ubicado en el país o tiene que tener medios en el Uruguay y si tiene medios tiene que designar un representante.

¿La responsabilidad última sobre los datos personales es del ciudadano?

LN: La idea de la Unidad de Protección de Datos ha sido promover la educación y la información para que se sepa que hay que tener cuidado al leer términos y condiciones para poder acceder a determinados servicios, que no todo el mundo lo hace.
La responsabilidad está en cada uno pero es el peso de la persona frente a una industria gigante.

Por eso es importante participar y que las autoridades tengan una participación internacional en este tipo de redes, o en el Convenio 108 del Consejo de Europa. Incluso el convenio prevé colaboración de autoridades ante este tipo de situaciones. Y siempre contar con la consciencia de la gente de que lea las cosas, que sepa a qué se expone.

¿Cuán vigilados estamos?

LN: Los datos están. La responsabilidad de que los datos estén es una responsabilidad absolutamente personal. Yo doy clase de derecho informático en la facultad y le pregunto siempre a mis alumnos quien leyó los términos y condiciones de Facebook, y de 140 levanta la mano uno. No tienen idea de que cedieron por perpetuidad a Facebook sus fotos, las de sus amigos. Estamos vigilados pero porque nosotros habilitamos que eso suceda. Es una cuestión de concientización. La empresa hace un negocio y no te lo oculta.

Algunas cosas no las dijo tan claras.

LN: Pero en términos generales sabés que estás habilitando. Yo soy parte de varias plataformas pero me interesa más ser parte del sistema que en definitiva lo que terminan de hacer con la información. Esa es una de las lineas de la vigilancia. Después hay otras como las cámaras. Los ingleses son los más vigilados del mundo. Hay razones de seguridad pública que requieren que haya vigilancia para controlar cuestiones de seguridad. En la medida que se adecue todo esto a los sistemas de protección al derecho de las personas no hay inconvenientes mayores. Los problemas son los desvíos. ¿Es bueno que estemos vigilados? Depende para qué. Nosotros tenemos guías de recomendaciones de uso de videovigilancia, en medios de transporte, lugares de trabajo que están a disposición.

Hablamos de protección de datos. ¿De qué nos protege la normativa en definitiva? ¿Cuál es el peligro?

GS: Está relacionado con nuestro fuero más íntimo. Nosotros somos nuestros datos, nosotros somos los que tomamos la decisión sobre ellos. Y hay cierto amparo de lo que es nuestra intimidad que tenemos que resguardar. Las normas van en ese sentido y por eso se establecen todas estas obligaciones a los responsables.

LN: Ya la convención americana establece que tenemos derecho a no recibir injerencias arbitrarias en nuestra vida privada. Estamos hablando de una norma del año 1969. A partir de ahí nos preguntamos entonces qué son injerencias arbitrarias en nuestras vidas. Que no se metan con mi historia clínica sino hay consentimiento para eso, que no se metan con mi orientación sexual, cuáles son mis ideas sobre política, sobre el sindicalismo, cuáles son mis actitudes en relación con eso. Hay un profesor colombiano que dice que la vida privada es una cuestión de afectación moral. Entonces ahí está todo, incluso situaciones que originalmente eran parte de nuestra vida pero que hoy no queremos que se sepa. De pronto nuestro origen racial. Esas cosas hacen a mi vida privada y las normas permiten que si yo no quiero que se sepa, que no se sepa. Si se sabe va a haber un responsable y hay que sancionar a ese responsable. Pero la idea es proactiva, que si yo no quiero que se sepa, no se pueda saber. Yo tengo que dar el consentimiento para eso.

GS: La ley plantea eso y plantea distintos niveles asociados a cuánto me puede impactar a mí el conocimiento de distintas situaciones. Hay algunos datos que cuentan con mayor protección por el impacto que tiene en las personas; no es lo mismo que se sepa mi nombre a que se sepa que tengo alguna enfermedad, por ejemplo.

LN: La historia clínica tiene que tener doble protección: en términos de seguridad tecnológica, seguridad jurídica, de manipulación de información, quién puede acceder a esa información, a quién autorizo yo, a quién autoriza el sistema médico. Lo mismo los datos de filiación política o religión. Ese tipo de cosas requiere una protección adicional. De pronto a mí no me importa pero me genera algún problema para algo, como para conseguir un trabajo. Hay experiencias muy negativas en América Latina vinculadas con ese tema. Hay que proteger el entorno completo de la persona.

Hoy no se sabe para qué se van a usar los datos en el futuro. ¿Cómo se controla que tus datos puedan ser usados en el futuro para algo que no está planteado en la actualidad?

LN: Es una responsabilidad colectiva. Tenemos una responsabilidad estatal sin duda; el Estado tiene que controlar los datos de sus ciudadanos de una forma adecuada en relación con la funcionalidad que el Estado tiene. Hay finalidades específicas, no es que el Estado puede tener los datos y usarlos como quiera. La ley de protección de datos es muy clara: hay un principio que es el principio de finalidad que dice que los datos tienen que ser usados para la razón por los cuales fueron recavados. El Estado tiene una obligación de controlar los datos que tiene pero en el ejercicio de su propia función. Lo mismo pasa con las empresas. Si te piden información deben decirte para qué la quieren, y estás en tu derecho de negarte a dar tus datos.

Después estamos las personas en el ejercicio de nuestra libertad, y decidimos qué queremos hacer y qué no.

¿Cuáles son los desafíos más importantes para América Latina en los próximos años, en cuanto a la protección de datos?

LN: Para América Latina lo importante sería que los países que hoy no tienen ley avancen en la protección. El desafío es para los legisladores de los países que no tienen normativa porque toda norma protectora de derechos al final es protectora de la libertad de las personas. Si nos enorgullecemos de vivir en contextos democráticos ésto es un elemento sustantivo. Es un desafío muy importante.

Otro es seguir armando mecanismos de cooperación como la Red Iberoamericana de Protección de Datos y fortalecerlos. Ahí es donde los grupos de interés forman una masa crítica bien fuerte que sirve para hacer los lobbies necesarios para que se den los corrimientos normativos. Después incentivar la sensibilización, el conocimiento, lo importante es que sepamos aplicar la norma. Es bien importante poder entender cuáles son los mecanismos para que frente a determinada situación sepamos adónde recurrir, quien me defiende, qué derechos tengo, cuánto dinero necesito (si es que lo necesito) para ejercer ese derecho. Y por último, el desafío para las empresas es que sigan incorporándose a la lógica de la protección de datos. Empresas grandes, chiquitas y medianas.
Laura Nahabetián es Doctora en Derecho y Ciencias Sociales egresada de la UDELAR. Magíster en Ciencias de la Legislación y Governance Política, por la Universidad de Pisa. Magister en Derecho con énfasis en Derecho Constitucional y Derechos Humanos por la Universidad Católica del Uruguay. Doctorada en Ciencias Jurídicas por la Universidad Católica Argentina. Diplomada en Chile en Teoría Política y Gestión Pública, Relaciones Internacionales y Desarrollo Político Latinoamericano. Integra el Instituto de Derecho Informático de la UDELAR y es docente de la cátedra de Informática Jurídica.

Gonzalo Sosa trabaja en AGESIC en proyectos de implantación de soluciones y en protección de datos personales, aportando el punto de vista normativo. Es Abogado, Escribano, Licenciado en Relaciones Internacionales y Magister en Derecho de la Empresa. Realiza actividad docente en la Universidad de la República y la Universidad de Montevideo en el área de técnica notarial.
Contenido Relacionado
Contenidos XS de Amenaza Roboto
Tech & Twitter
Ideas breves sobre la tecnología y la sociedad.
Roboto News
Noticias tech en 3 minutos. Dale play!
Que comience el diálogo
¡Ponete en contacto con nosotros!
amenazaroboto@gmail.com