11 noviembre 2013

El cumplimiento de la normativa de protección de datos en Iberoamérica

Hoy en día los datos representan un activo muy valioso para todas las empresas. De una parte, con el paso de los años, la normativa se ha convertido en una herramienta que ha ayudado a los empresarios a implementar protocolos de seguridad y adoptar medidas que aseguran la conservación de esos datos. De otra parte, los imparables avances tecnológicos han obligado a las empresas a mantener actualizados los sistemas informáticos y a cumplir estándares de seguridad internacional, con el objetivo de mitigar los riesgos en el tratamiento de datos y ofrecer servicios que incluyan garantías de seguridad de datos, dentro de sus protocolos de actuación.

España ha sido un país referente en el desarrollo normativo en materia de protección de datos. La Constitución Española1 incluyó como derecho fundamental, el Derecho a la intimidad y la Ley Orgánica 15/1999, de 13 de diciembre, transpuso la Directiva Europea 95/46/CE.

En la actualidad, la ley orgánica de protección de datos (LOPD) se aplica a empresas y organismos públicos que manejan datos de clientes y/o usuarios, esto es, datos de personas físicas. A nivel de sanciones es una de las legislaciones más estrictas2, con cuantías muy altas, con rangos que van desde 900€ hasta 600.000€ y los tipos penales varían en función de la gravedad de los hechos, pudiendo ir de 1 a 7 años de prisión.

La Agencia Española de Protección de Datos (AEPD), a parte de otras autoridades de protección de datos existentes en las Comunidades Autónomas, ha sido la entidad encargada del cumplimiento normativo en este país y se ha convertido en un ente dinamizador del mercado. La rigurosidad de dicha institución ha arrojado un alto índice de imposición de sanciones económicas, cuyos picos se presentaron en los años 2006, con un total de 24.422.292,48€ y en 2009, con 24.872.979,72€. No obstante lo anterior, “la práctica generalidad del colectivo de pequeñas y medianas empresas españolas conoce la LOPD y es consciente de su sujeción a la misma”3 pero sólo un treinta (30%) de las empresas Españolas cumplen con la normativa de protección de datos.

En materia de transferencia internacional de datos (exportación de datos), se exige que el país receptor cumpla con niveles de protección adecuados o niveles equiparables. Esto ha permitido que sociedades extranjeras4 ubicadas fuera del territorio Español, cumplan con las obligaciones de la legislación Española. Este es el caso de los encargados del tratamiento de datos5 que operan desde países donde el ordenamiento jurídico no ha desarrollado normativa en materia de protección de datos.

Esta situación también ha conllevado que las empresas adopten una serie de estrategias para auto-regularse y cumplir con esta normativa. Es el caso de las “Binding Corporate Rules” (BCR6), un ejemplo de auto determinación empresarial, que requiere una aprobación previa de la AEPD y permite la libre circulación de datos entre las sucursales del mismo grupo empresarial, sin importar su ubicación geográfica y si están sometidas o no a ordenamientos jurídicos equiparables con la UE.

En Latinoamérica, el derecho de protección de datos ha sido consagrado expresamente,  en algunos países, en su constitución política; mientras que en otros, se ha desarrollado a través de la institución del hábeas data7.

Argentina destaca por ser el primer país en expedir una normativa de protección de datos y es el único reconocido actualmente por la Unión Europea8 con un nivel adecuado de protección. Países como Perú, Chile, Paraguay, Uruguay, México (centro-américa) y Colombia, tienen actualmente una ley vigente de hábeas data. A nivel de estadísticas, el profesor Nelson Remolina menciona en la publicación “Latin America and protection of personal data: Facts and figures9”  que el número de leyes en materia de protección de datos en Latinoamérica se ha incrementado significativamente en los últimos dos años y la regulación de protección de datos Europea ha sido un referente en los procesos legislativos latinoamericanos.

Teniendo en cuenta que estos países afrontan una “reciente” generación normativa en materia de protección de datos10, el reto actual de los gobiernos es lograr que dicha normativa sea acogida e implementada por las empresas. Así, la recomendación hacia el sector empresarial, es la de actuar con carácter preventivo y prepararse con una estructura empresarial que garantice la protección de las bases de datos, incluyendo protocolos internos de actuación y una cultura organizacional hacia el respeto y la protección de los datos de clientes y terceros.

Más allá de tener un esquema normativo definido, es importante que los Estados inviertan en la creación de una agencia encargada de dinamizar el mercado, que desarrolle políticas orientadas al conocimiento y formación de las nuevas exigencias normativas, con procedimientos sancionadores para el caso del incumplimiento legal.

La Unión Europea actualmente está estudiando y elaborando el nuevo reglamento de protección de datos que incluye nuevos principios, derechos para los ciudadanos, y obligaciones para los responsables del tratamiento de datos. De este modo, a nivel empresarial11 se crea la figura del Delegado de Protección de Datos, en calidad de supervisor de la implementación de las políticas de protección de datos en empresas con cierto volumen de trabajadores. También está previsto exigir procedimientos de registro para las incidencias relacionadas con datos, muchos más estrictos y metódicos; así como la necesidad de impartir formación dentro de las empresas (veremos si será obligatoria o no), relacionada con la protección de datos, para que tanto organismos o empresas, como sus trabajadores, sean conscientes de lo que significan los datos personales, cómo deben tratarse y por ende, protegerse. En cualquier caso, desde Avatic pensamos que la formación es sumamente importante para toda empresa que trate datos personales.

Se comenta que la aprobación del texto europeo posiblemente se produzca a finales de primavera del año que viene pero habrá que ver. Recordemos que la directiva se aprobó en 1995 y la evolución de las nuevas tecnologías hasta hoy, ha supuesto y supone grandes retos en lo que se refiere al tratamiento de datos y la implantación de medidas de seguridad. Por ello, actualizar también una normativa de este tipo, sobre algo que está en cambio continuo, se convierte en algo complejo.

Sea como fuere, teniendo en cuenta que las legislaciones latinoamericanas siguen la tendencia reguladora europea, el camino correcto sugerido al sector empresarial es el desarrollar políticas internas de protección de datos que se rijan bajo los modelos o el estándar Europeo. Con ello se logrará que la empresa esté preparada para competir en ámbitos tanto nacionales como internacionales.

Ana Maritza Vega Suárez, abogada licenciada por la Univesidad de Libre de Colombia, y Vanesa Alarcón Chaparros, abogada licenciada por la Universidad Autónoma de Barcelona

                                                                                

1.             Artículo 18

2.             La LOPD fue el resultado de la transposición de la Directiva y el Real Decreto 1720/2007 ha reglamentado estableciendo el sistema complejo de protección de datos. La ley 2/2011, de 4 de marzo, de economía sostenible aumentó las sanciones por incumplimiento de la LOPD hasta 600.000 euros

3.             Estudio sobre la protección de datos en las empresas Españolas, realizado por Inteco, “Instituto Nacional de Tecnologías de la Comunicación”, Octubre de 2012.

4.             Entiéndase empresa extranjera a las empresas ubicadas fuera de la Unión Europea

5.             Denominación incluida en la LOPD. Son aquellas empresas que tratan los datos de carácter temporal y la propiedad de los datos pertenece a la empresa a la cual le prestan servicios.

6.             Las BCR deben ser aprobadas por la AEPD, previo la transferencia internacional de Datos.

7.             México, Perú y Venezuela reconocen el Derecho a la protección de datos en la Constitución, de manera expresa.  Bolivia, Perú, Colombia, Brasil y Ecuador reconoce  el Recurso de Hábeas Data en la Constitución como mecanismo de defensa de derechos fundamentales.

8.             IP/03/932.  Bruselas, 2 de julio de 2003

9.             Remolina Angarita, Nelson. “Latin America and protection of personal data: Facts and figures” (1985-2012)

10.           Excepto Argentina que cuenta con Ley de protección de datos del año 2000 y Chile que expedido en el año 1999, 2002 y 2012 normativa en este ámbito del derecho.

11.           Se aplica para empresas que tengan 250 o más empleados.

Comparte: