Las leyes sobre protección de datos en América Latina
La legislación vigente alrededor del mundo, como la Regulación General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea, ha destacado la necesidad de los países de crear y actualizar sus esquemas y regulaciones actuales de protección de datos para que se ajusten al ambiente de negocios de hoy.
Brasil
Brasil está liderando el camino en América Latina con sus nuevas leyes de protección de datos que consolidarán las más de 40 regulaciones diferentes que están vigentes en el país. La Ley General de Protección de Datos (LGPD), que entrará en vigencia en agosto de 2020, incluye algunas partes de la directiva GDPR pero también impone obligaciones de cumplimiento significativas a las compañías que procesan datos u ofrecen servicios a individuos en Brasil. “La ley abarca la protección de todos los datos personales, similar a la directiva GDPR, y afecta a todas las compañías que lidian con datos”, explica Vanessa Mello, Directora de Operaciones de Cumplimiento Legal de Clientes en TMF Brasil. La nueva ley abarca nombres, firmas, domicilios, direcciones IP, números de identificación tributaria, además de otra información personal recopilada previamente.
La LGPD se aplica a todas las entidades legales que procesan datos personales, públicos o privados, que tienen operaciones en Brasil o que proveen bienes o servicios a individuos ubicados en Brasil. Las compañías deben obtener un consentimiento expreso del dueño de los datos, informándole que datos exactos se están recopilando, el motivo y por cuánto tiempo se almacenarán. Adicionalmente, la información debe ser destruida cuando la compañía no la necesite más.
Si bien las compañías cuentan con 17 meses para adaptarse, deben asegurarse de que todos sus sistemas de recopilación de datos y tecnología están en cumplimiento. Existen penalidades anuales del 2 % de las ganancias que se aplican como consecuencia del incumplimiento de la protección de datos.
Colombia
Colombia tiene la legislación sobre protección de datos más desarrollada en América Latina, con leyes que están vigentes desde 2012. Las leyes fueron actualizadas y, hoy en día, contienen información sobre cómo almacenar y tratar datos personales, cómo utilizarlos, enmendarlos o eliminarlos, y también establecen diferentes medidas en base al tipo y tamaño de la compañía. Se necesita un permiso de los usuarios para utilizar la información.
La legislación sobre protección de datos está en constante cambio y, en la actualidad, hay una reforma de ley en el congreso que complementará la legislación actual y presentará nuevos conceptos, tales como la privacidad desde el diseño con otras leyes para compañías e instituciones financieras. Para las compañías, el foco estará puesto en la información personal, mientras que el foco en instituciones financieras estará en la protección de información financiera como el crédito.
Estefanía Arteaga, Supervisora de Asuntos Legales en TMF Colombia explica que “es muy importante cumplir con las regulaciones, incluso aquellas que no son nuevas. Cada año, la Superintendencia de Industria y Comercio (SIC) que regula las leyes de protección de datos realiza auditorias para garantizar que las compañías cumplan con las leyes. Las compañías en Colombia deben tener una política de datos, un oficial de protección de datos y deben registrar sus bases de datos ante el Registro Nacional de Bases de Datos (RNBD). La política debe estar disponible al público para que puedan ver cómo se utiliza y almacena la información”.
Las compañías deben asegurarse de que sus procesos y procedimientos son sólidos y están en cumplimiento. Arteaga menciona que “la política de protección de datos debe comunicarse a todos los empleados para garantizar su cumplimiento. Anteriormente, las compañías tenían que pagar multas porque los empleados no estaban al tanto de asuntos específicos sobre la protección de información”.
México
México ha promulgado leyes sobre la protección de datos hace ya algunos años, con anterioridad a la creación de la directiva GDPR, pero el hecho de que no estén bien definidas las hace inaplicables. En comparación con la directiva GDPR, la cual especifica una multa clara del 4 % sobre las ganancias anuales de una compañía por incumplimiento, México no sigue un camino claro para hacer cumplir las leyes con consecuencias. Tampoco existen leyes específicas relacionadas con el inventario de información que requerirían que las compañías mantengan la información de forma adecuada.
Paola Fonseca, Asesora Legal Regional para Las Américas en TMF Group, explica que “otro aspecto ausente en la ley actual es el interés legítimo. Para que alguien pueda contar con información, debe tener una razón. Nadie puede recopilar información por que sí. Sin embargo, no hay una definición de interés legítimo. La ley actual permite que cualquier persona recopile información, lo cual significa que no hay disposiciones sobre cómo se transfiere”.
No existen planes reales para cambiar las leyes federales a fin de hacerlas más aplicables. Esta es una tarea de los estados para crear leyes de protección de datos. Ciudad de México ha sido un ejemplo positivo con algunas leyes pero el país aún espera ver cómo el gobierno federal decide regular la responsabilidad que surge de la protección de datos.
Argentina
El congreso nacional de Argentina continúa revisando un proyecto de ley sobre protección de datos que reemplazaría a la legislación anterior y que está en vigencia desde el año 2000. Los cambios propuestos están alineados con la directiva GDPR y consideran los nuevos riesgos que surgen de los avances tecnológicos. Ello incluye nuevos conceptos tales como los datos genéticos y la información biométrica. Las entidades legales están excluidas del proyecto, lo cual significa que solo las personas pueden ser clasificadas como portadores de datos. El proyecto de ley también elimina los requisitos para registrar bases de datos por parte de controladores y procesadores de datos y establece la creación de una entidad autónoma de protección de datos para hacer cumplir la ley.
Luciana Calia, Gerente de Asuntos Legales y Cumplimiento en TMF Argentina, explica que “para las compañías locales, las nuevas regulaciones representan un desafío mayor para mejorar el monitoreo de protección de datos, así también como un aumento en sus presupuestos para herramientas de TI y cumplimiento. Las compañías podrían designar un oficial de protección de datos (DPO, por sus siglas en inglés), quien estará a cargo de brindar asesoramiento sobre el tratamiento de datos y también de capacitar a los empleados en relación a sus obligaciones para mantenerse en cumplimiento con las regulaciones”.
Mientras continúan las preguntas sobre lo que incluirá el proyecto de ley final, estos cambios posicionarán a Argentina como un líder en la protección de datos en América Latina.
Podemos ayudarle
El cumplimiento y la protección de datos son grandes tendencias que afectan a muchos países en Latinoamérica y alrededor del mundo. Las compañías deben estar un paso adelante e invertir dinero y tiempo para proteger los datos de sus usuarios. TMF Group tiene oficinas locales en Brasil, Colombia, México y Argentina y contamos con expertos que pueden ayudar a su compañía. Podemos brindar reportes completos de protección de datos para aquellas compañías que desean evaluar sus procesos actuales y determinar qué cambios necesitan para cumplir con las nuevas regulaciones. También podemos actuar como oficiales de cumplimiento, a fin de permitir a las compañías enfocarse en su negocio principal. Contáctenos para saber cómo podemos ayudarle con el cumplimiento de la protección de datos.