15. Protección de la privacidad

 

Este módulo en línea proporciona un resumen del Capítulo 15 del Manual en que se centra en las políticas para proteger la privacidad. Presenta los principales elementos de un marco de políticas públicas encaminadas a proteger la privacidad y ofrece un panorama general de la situación en la región LAC. Facilita también un conjunto de buenas prácticas haciendo especial hincapié en la necesidad de fomentar la gestión de riesgos de privacidad, como un método útil y pertinente para que los responsables del tratamiento de datos salvaguarden la privacidad.

Explora este módulo

Principales objetivos de las políticas
Herramientas de medición y análisis
Panorama de la situación en la región
Buenas prácticas


Principales objetivos de las políticas para la región LAC

El principal objetivo de las políticas es desarrollar e implementar un marco que proteja la privacidad al tiempo que i) fomenta el uso del entorno digital para la prosperidad económica y social; y ii) permite flujos transfronterizos de datos personales a través de una política internacional adecuada y la interoperabilidad jurídica. Este objetivo general puede alcanzarse mediante diversos instrumentos de política, tales como:

  • Desarrollo de una estrategia nacional de privacidad
  • Implementación del principio de responsabilidad
  • Libre flujo y restricciones legítimas
  • Cooperación internacional e interoperabilidad

+ contenido


Herramientas de medición y análisis en la región LAC

No existe un acuerdo general sobre los indicadores que han de utilizarse para medir los distintos aspectos de los marcos de las políticas de protección de la privacidad. No obstante, y como parte de sus obligaciones de notificación de información y transparencia, las autoridades de protección de datos generalmente publican un informe anual que muestra sus actividades e incluye datos estadísticos, como son por ejemplo:

  • el número de quejas recibidas
  • el número de solicitudes de información de particulares y responsables del tratamiento de datos
  • el número de multas, etc.

Desgraciadamente, los métodos aplicados para recopilar y agregar datos no suelen ser comparables, por lo que no se realiza un análisis comparativo sistemático de estas estadísticas, ya sea a escala regional o internacional.

+ contenido


Panorama de la situación en la región LAC

En los últimos años, muchos países han promulgado leyes, regulaciones y políticas para la protección de la privacidad y los datos personales como uno de los derechos humanos fundamentales, en consonancia con diversos instrumentos regionales e internacionales de protección de datos. Brasil, Colombia, Costa Rica, la República Dominicana, Ecuador, México, Nicaragua, Perú y Uruguay son algunos de los países LAC que disponen de legislación y regulación en vigor en este ámbito. Solo un país (México) ha evolucionado a un enfoque de corregulación proactivo que incluye el uso y la implementación de autorregulación vinculante en materia de protección de datos. Apenas impone restricciones regulatorias a los flujos de datos transfronterizos para facilitar el comercio y el intercambio de datos con terceros países, además de incentivar la innovación tecnológica. Sin embargo, la mayor parte de los países LAC aún deben hacer frente a numerosos desafíos, tales como:

  • la aplicación proactiva de leyes y reglamentos sobre protección de datos por parte de la APD
  • el fomento de programas de gestión de la privacidad que incluyan obligaciones de responder, informar y ofrecer reparación a los titulares de los datos en caso de violación de la seguridad que afecte a información personal
  • la armonización de la cooperación transfronteriza para la protección de la privacidad con otras APD y autoridades policiales y judiciales, y la potenciación de la interoperabilidad con otros marcos regionales y nacionales de privacidad y protección de datos (p. ej., el Marco de Privacidad del APEC).

La mayoría de los países LAC no han desarrollado estrategias nacionales de privacidad que tengan en cuenta las recomendaciones de las Directrices de Privacidad de la OCDE. Además, sus APD no han llevado a cabo de forma continua campañas nacionales de protección de datos personales que contribuyan a hacer cumplir las leyes y reglamentos sobre privacidad y protección de datos y a informar a los usuarios sobre los mecanismos disponibles que les ayudan a ejercer sus derechos de protección de datos.
Asimismo, la implementación de acuerdos de cooperación transfronteriza para aplicar la legislación sobre privacidad en los países LAC es reducida: solo Argentina, Colombia y México son miembros de la GPEN a través de sus respectivas APD. Una de las razones de esta escasa cooperación es la restricción presupuestaria, dado que pocos países han asignado presupuestos anuales en este ámbito.
Las leyes de protección de datos de Colombia, Perú y México contienen disposiciones para el uso de cláusulas contractuales tipo, normas corporativas vinculantes y otros instrumentos jurídicos con el fin de llevar a cabo transferencias de datos a terceros países. Sin embargo, tales mecanismos todavía no se han implementado plenamente en la práctica y, por el mo

+ contenido


Buenas prácticas para la región LAC

Entre las buenas prácticas regulatorias en el ámbito de la protección de la privacidad destaca el fomento de la gestión de riesgos de privacidad por parte de los responsables de políticas de los países LAC, como un método útil para que los responsables del tratamiento de datos salvaguarden la privacidad. Éste quizás constituya uno de los mayores desafíos de la región, dado que se trata de un nuevo concepto y hay consenso en que “hacen falta esfuerzos para entender las aplicaciones e implicaciones prácticas” de la gestión de riesgos de privacidad. En ese setido, las estrategias nacionales de privacidad deberían incorporar cada una de las políticas incluidas en el principio 19 de la parte quinta de las Directrices de Privacidad de la OCDE revisadas(OCDE, 2013):

  • Desarrollar estrategias nacionales de privacidad que reflejen un enfoque coordinado entre organismos gubernamentales
  • adoptar leyes que protejan la privacidad
  • establecer y mantener autoridades de protección de datos que dispongan de recursos y conocimientos técnicos para ejercer sus facultades de forma efectiva y adoptar decisiones coherentes, objetivas e imparciales
  • fomentar y apoyar la autorregulación, ya sea en forma de códigos de conducta o de otro tipo
  • establecer mecanismos razonables para que las personas ejerzan sus derechos
  • prever las oportunas sanciones y soluciones en caso de incumplimiento de las leyes que protegen la privacidad
  • contemplar la adopción de medidas complementarias, como el incremento de la educación y concienciación, el desarrollo de competencias, y la promoción de medidas técnicas que contribuyan a proteger la privacidad
  • tener en cuenta el papel de otros actores distintos de los responsables del tratamiento de datos, de una manera adecuada a su función individual
  • garantizar que no existe discriminación injusta contra los titulares de los datos.

También es importante aplicar el principio de responsabilidad. Tanto los responsables del tratamiento de datos como los ejecutores deberían (OCDE, 2013):

  • Establecer un programa de gestión de la privacidad que:
    • plasme estas Directrices en todos los datos personales bajo su control
    • se adapte a la estructura, escala, volumen y sensibilidad de sus operaciones
    • ofrezca garantías adecuadas basadas en la evaluación de riesgos de privacidad
    • esté integrado en su estructura de gobernanza y establezca mecanismos internos de supervisión
    • incluya planes para responder a las consultas e incidentes
    • se actualice en función del seguimiento continuo y la evaluación periódica.
  • Estar preparado para demostrar la conveniencia de su programa de gestión de la privacidad, en particular a petición de una autoridad de protección de datos competente o de otra entidad responsable de promover la adhesión a un código de conducta o acuerdo similar que dote de efecto vinculante a estas Directrices.
  • Notificar a las autoridades de protección de datos o a otras autoridades competentes, si procede, cualquier violación importante de la seguridad que afecte a los datos personales. Cuando la violación pueda tener repercusiones negativas sobre los titulares de los datos, el responsable del tratamiento deberá informar a los afectados.

+ contenido


CONSULTE TODOS LOS TEMAS DEL MANUAL

Introducción •  Marcos regulatorios y estrategias digitales •  Política de espectro •  Competencia y cuellos de botella en la infraestructura •  Ampliación del acceso y servicios de banda ancha •  Asequibilidad, gravámenes e inclusión digital •  Convergencia •  Integración regional •  Competencias y empleos en la economía digital •  Adopción por las empresas, emprendimiento y contenido digital •  E-salud •  Protección del consumidor y comercio electrónico •  Gestión de riesgos de seguridad digital •  Protección de la privacidad