Blog

Nota sobre los “Principios actualizados del Comité Jurídico Interamericano (CJI) sobre la Privacidad y la Protección de Datos Personales”

Posted on mayo 8, 2021 Categories: Columna de Opinión No comments yet

El pasado 9 de abril, el Comité Jurídico Interamericano (CJI), uno de los principales órganos de la Organización de los Estados Americanos (OEA) en materias jurídicas, aprobó los “Principios Actualizados sobre la Privacidad y la Protección de los Datos Personales, con Anotaciones” (documento CJI/doc. 638/21). Este documento actualiza la “Guía Legislativa sobre Privacidad y Protección de Datos Personales” del año 2015, cuyo objetivo era convertirse en una hoja de ruta para los Estados Miembros de la OEA en el desarrollo de normativa en la materia.

Estos Principios constituyen un importante avance respecto del año 2015. Para su elaboración, el CIJ realizó un proceso de consultas, entre agosto de 2020 y febrero de 2021, abierto a todos los Estados Miembros. Por cierto, también se tuvo a la vista el desarrollo de la legislación internacional de los últimos años, como los Estándares de Protección de Datos Personales para los Estados Iberoamericanos de la Red Iberoamericana de Protección de Datos (RIPD), el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) y el Convenio 108 plus del Consejo de Europa (que aún no entra en vigor).

Debemos recordar que el CJI está encargado de promover el desarrollo y codificación del derecho internacional y la uniformidad de las legislaciones de los países del continente americano. En este caso, sus directrices representan un estándar importante a nivel regional en materia de protección de datos, especialmente para aquellos países sin regulación o sin autoridad de protección.

El documento contempla los siguientes principios, más sus respectivas “Anotaciones” (que son una explicación detallada de los mismos y que tienen por objeto orientar la reflexión al interior de cada Estado Miembro de la OEA): (1) Finalidades Legítimas y Lealtad; (2) Transparencia y Consentimiento: (3) Pertinencia y Necesidad; (4) Tratamiento y Conservación Limitados; (5) Confidencialidad; (6) Seguridad de los Datos; (7) Exactitud de los Datos; (8) Acceso, Rectificación, Cancelación, Oposición y Portabilidad; (9) Datos Personales Sensibles; (10) Responsabilidad; (11) Flujo Transfronterizo de Datos y Responsabilidad; (12) Excepciones; y, (13) Autoridades de Protección de Datos.

Como primera aproximación, cabe notar que el documento realiza una actualización de conceptos básicos en relación al 2015; incluye los derechos ARCOP (acceso, rectificación, cancelación, oposición y portabilidad), donde antes solo estaba el derecho de acceso y corrección; y se agrega un Principio Trece, sobre la autoridad de protección de datos.

Destaca la incorporación de la portabilidad de los datos personales, el cual es un derecho relativamente nuevo, incluido en el RGPD, y aún en discusión en algunos Estados Miembros de la OEA. Este, en términos simples, permite a los titulares obtener una copia de los datos personales que están siendo tratados por un determinado Responsable, para utilizarlos y transferirlos a otro Responsable, sin impedimento.

En términos generales, se observa un avance de la OEA en materia de protección de datos en dirección a la regulación europea, alejándose de la influencia del modelo estadounidense. Un ejemplo es la promoción de la “privacidad por diseño” y de la “privacidad por defecto” en las anotaciones del Principio Diez (Responsabilidad). La “privacidad por diseño”, consiste en prácticas y herramientas que deben incorporar Responsables y Encargados en una fase temprana, previa a la recopilación de datos, con el objetivo de identificar y minimizar los riesgos para la privacidad de las personas. Por su parte, la “privacidad por defecto” implica que la configuración básica de privacidad conforme a la legislación de cada país debe aplicarse a los usuarios de una plataforma, cuenta, sitio, aplicación, etc., de manera automática, por el solo hecho de registrarse en ellas. La apuesta del CIJ, entonces, es por un enfoque preventivo, a diferencia del modelo más liberalizado y reactivo que caracteriza a distintos cuerpos legales en EE.UU. (por ejemplo, el California Consumer Privacy Act de 2018).

Por otro lado, hay un énfasis en la promoción del flujo transfronterizo de datos (Principio Once). Se establece que los Estados Miembros deberán cooperar entre sí para el flujo de datos, siempre y cuando cuenten con un nivel adecuado de protección, conforme a los mismos principios. Esta materia es compleja, pues en el continente americano existe mucha diferencia regulatoria entre países. Desde países con “nivel de adecuación” en conformidad con el art.45 del RGDP, como Argentina, Uruguay o Canadá, a países sin regulación alguna, pasando por otros más avanzados, como México y Colombia, o más atrasados, como el nuestro. A su vez, está la dificultad operativa de quién y cómo se determinará si los países cuentan o no con este nuevo “nivel de adecuación”, pues en el caso del RGPD, es la Comisión Europea la que dictamina si un determinado país cumple con dicho estándar. Por otro lado, siguiendo con el Principio Once, el documento promueve estándares interoperables para transferencias transfronterizas, de modo de facilitar el flujo de datos. Se hace especial énfasis en evitar requisitos relacionados con la localización de datos o con entorpecer el acceso a datos e información almacenada fuera de cada país.

Un elemento a destacar es la declaración que hace el documento respecto a que los Principios deben interpretarse con perspectiva transversal de género y de derechos humanos. Al respecto, se releva la necesidad de que Responsables y Encargados en el tratamiento de datos tomen las medidas necesarias para impedir el menoscabo de la dignidad y privacidad de personas en situaciones de especial vulnerabilidad. Si bien esta declaración es parte de la hermenéutica propuesta en las Anotaciones, y no un principio propiamente tal, como sería deseable, es un avance.

Por último, podría haberse dado mayor énfasis al rol que le cabe a las autoridades de protección de datos en formar a la ciudadanía y crear conciencia pública sobre estas materias, como lo hace el Convenio 108 plus (art. 15). Es clave que se inviertan recursos en formación y concienciación de la sociedad civil, sobre las funciones y poderes de la autoridad de protección, y sobre los derechos de los titulares de los datos y del ejercicio de tales derechos, con especial atención a los derechos de niñas, niños y adolescentes y otros individuos vulnerables.

Más allá de otros aspectos que analizar, destacar o criticar de los “Principios Actualizados sobre la Privacidad y la Protección de los Datos Personales” de la OEA, sin lugar a dudas su aprobación es una muy buena noticia para el continente. Es de esperar que sirva de catalizador para el desarrollo y aprobación de legislaciones que consideren como un mínimo los estándares que propone, partiendo por casa.

María de los Ángeles Fernández Grossetête
Consejera ICDT
Descargar “Principios actualizados del Comité Jurídico Interamericano sobre la Privacidad y la Protección de Datos Personales”.

You might also like

ChileCompra pide a sus usuarios cometer perjurio

Posted on enero 21, 2022

18 de junio de 2021: Vigilancia digital por el Estado y protección de datos por SERNAC

Posted on junio 10, 2021

A propósito de la propuesta de Reglamento sobre Inteligencia Artificial para la Unión Europea

Posted on mayo 8, 2021

Comments are closed.