Desde R10S Abogados estamos participando esta semana en el Gobal Privacy Summit 2018 organizado por IAPP (International Association of Privacy Professionals) en la ciudad de Washington, DC, organización de la cual somos miembros desde hace varios años.
La agenda del evento de este año está principalmente enfocada en cuestiones como el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), implementaciones y derogaciones específicas para cada país, inteligencia artificial (en particular, respecto de los principios que se aplican y consideraciones éticas), blockchain para gestionar la privacidad y la identidad, las brechas o violaciones de datos (data breaches), cómo mitigarlos y las obligaciones de reportar a los titulares y/o a las DPA (autoridades de protección de datos personales locales).
Claramente, el tema que más sesiones tiene en el evento, es el relacionado con el GDPR. Para los miembros de IAPP de los países latinos, interesa particularmente determinar de qué manera esta nueva regulación impactará en el tratamiento de datos personales en nuestros países, y en su caso, en las transferencias internacionales de datos desde y hacia Europa, principalmente por lo dispuesto en cuanto al ámbito de aplicación del Reglamento establecido en el artículo 3 del mismo (lo que algunos llaman la “extraterritorialidad” del GDPR).
La mayoría de las sesiones y las conversaciones de los expertos se enfocan en determinar cómo los responsables y encargados del tratamiento deberán cumplir las disposiciones de la nueva regulación –la cual será obligatoria desde el próximo 25 de mayo para todos. Sin embargo, no hay todavía demasiada claridad en el impacto que tendrá dicha normativa en nuestros países y en la obligatoriedad o no, para los responsables y encargados de los mismos.
El día de hoy se llevó a cabo una sesión con responsables de algunas autoridades de protección de datos personales de nuestra región, como Argentina, Costa Rica y México –hubo un académico invitado de Brasil ya que éste país no tiene ley de protección de datos y por lo tanto, tampoco DPA. Se reconoce el esfuerzo de realizar esta sesión –en particular, por llevarse a cabo en español y con interpretación simultánea-, aunque lamentablemente varios asistentes sintieron que estas autoridades perdieron su oportunidad para plantear temas más actuales a interesantes, y en particular, el impacto que el GDPR podría tener en nuestros países.
El titular de la Agencia de Acceso a la Información Pública (AAIP) de Argentina explicó la transformación de la ex Dirección Nacional de Protección de Datos Personales a la actual Agencia, con las atribuciones actuales tanto respecto de datos personales como de acceso a la información pública y la existencia de un proyecto de ley para modificar la vigente ley No. 25326 de protección de datos para incorporar a la figura del oficial de protección de datos, entre otros puntos.
Asimismo se refirió a la invitación realizada a Argentina para adherirse al Convenio No. 108 del Consejo de Europa, aunque este asunto todavía no ha sido resuelto ya que dicho Convenio está en vía de modificarse. En relación a los modelos de supervisión de las autoridades de control en los que se basaba la anterior Dirección –excluyendo a los casos que se iniciaban por denuncia de parte-, era que a los procedimientos de oficio los iniciaba eligiendo sectores en los cuales podían existir mayores riesgos (como salud, seguridad, etc.). El modelo futuro que pretenden implementar es el de responsabilidad demostrada (accountability) por parte de los responsables y encargados. Para esto expresó el titular de la AAIP que es necesario generar un cambio cultural (los abogados de los responsables y encargados serían los que realizarían un análisis para ver si están cumpliendo con la normativa).
La titular de la Agencia de Protección de Datos de los Habitantes (PRODHAB) de Costa Rica se refirió a los países de Centro América que tienen legislación sobre protección de datos y a la importancia de contar con dichas regulaciones en estos países, ya que esto representa una ventaja competitiva frente a los demás. También explicó que en Costa Rica la adopción de la normativa en la materia ha sido lenta ya que los conceptos iniciales eran algo técnicos, dificultando en consecuencia, su comprensión por todos los habitantes. Ahora la autoridad se está enfocando en educar a los habitantes, en particular en cuanto a los derechos con los que cuentan. Asimismo compartió que se está trabajando en una idea de privacidad por diseño desde lo público y que se están preparando ya que en noviembre serán la sede del encuentro de las autoridades de protección de datos iberoamericanas.
También l.a titular de la PRODHAB se refirió a los modelos de supervisión de las autoridades de control, indicando que en Costa Rica no existe un modelo único. Se requiere un cambio cultural, enfocado en la educación. La PRODHAB tiene también facultades para iniciar de oficio los procedimientos y así lo hizo con determinados responsables, como escuelas y universidades, para que ellos luego pudieran realizar aportes en los procesos de educación a la población.
El académico de Brasil se refirió a diferentes normativas que existen y que abordan de manera sectorial –y no de manera federal- así como a través de las regulaciones en materia de protección del consumidor, el tema de protección de datos personales aunque no supo explicar por qué Brasil todavía no tiene una normativa nacional en materia de protección de datos a pesar de ser una de las economías regionales –y globales- muy importante (y que probablemente, justamente por eso, puede vivir con su mercado interno y no necesita normas para regular principalmente la transferencia internacional de datos).
Respecto de la intervención de uno de los Directores Generales del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), estuvo limitada a explicar que México se encuentra en camino de adherirse al Convenio No. 108 del Consejo de Europa. Expresó además que la materia de protección de datos personales tiene vocación de ser internacional, debe tener “compitud” (sic) internacional, y que esto es precisamente lo que le permite adherirse al mencionado Convenio No. 108 para buscar los mínimos internacionales que se deben respetar.
En relación a los modelos de supervisión de las autoridades de control en los que se basa el INAI, el funcionario explicó que en México las investigaciones se pueden iniciar de oficio (también por solicitud de otras autoridades, como la Procuraduría Federal del Consumidor –PROFECO-, o a petición de parte; que el cumplimiento de la norma es totalitario, que ellos tienen una vocación de cumplimiento de un derecho fundamental, así como que, la eficacia de la norma y de los derechos fundamentales son para la autoridad una obligación horizontal, y que hay un cumplimiento exhaustivo de los derechos fundamentales.
Seguiremos compartiendo información sobre este evento así como la normativa y las mejores prácticas para un adecuado tratamiento de datos personales de los titulares.
Fátima Cambronero
R10S ABOGADOS