Latinoamérica en conjunto es una de la regiones más avanzadas respecto de los derechos de protección de datos personales y privacidad. La mayoría de los países de la región cuentan con sus propias leyes, regulaciones y autoridades que vigilan el cumplimiento de las leyes y la protección de derechos. Muchas de estas normas tienen elementos similares al modelo europeo como, por ejemplo, las figuras del responsable y encargado del tratamiento, la categoría de datos sensibles. Pero también existen elementos comparables al sistema estadounidense como la obligación de notificar incidentes de seguridad.
Si bien hay muchos puntos en común entre los países de la región, cuando se analiza en detalle se observa que cada legislación es diferente en base a la historia, valores culturales y sistema jurídico de cada país. Una recopilación de las distintas leyes está disponible en el sitio web de la Red Iberoamericana de Protección de Datos (RIPD).
Uno de los desafíos de estos tiempos es la transferencia transfronteriza de datos; cómo garantizar los derechos del titular de los datos y al mismo tiempo permitir el libre flujo de información y acceso a servicios. Por ejemplo, debido a los avances tecnológicos de la computación en la nube y la internet de las cosas, las empresas globales de tecnología no necesariamente procesan o archivan datos personales en servidores ubicados geográficamente en el mismo país donde reside el titular de esos datos.
Para proteger los derechos del titular de los datos, varias legislaciones de Latinoamérica restringen la transferencia a terceros países que no ofrecen adecuada protección (aunque todavía no hay precisiones por parte de las autoridades sobre la lista de jurisdicciones aceptables). Este requisito es comparable al de la transferencia de datos desde la Unión Europea a terceros países. Por parte de la Unión Europea dos países de la región ya fueron aprobados: Argentina en el año 2003 y Uruguay en el 2012. Sin embargo, intentar juzgar caso por caso si un tercer país ofrece un nivel de protección "esencialmente equivalente" es un ejercicio jurídico trabajoso y complejo. De hecho, la Unión Europea y los Estados Unidos todavía siguen discutiendo la aprobación del Escudo de la Privacidad UE-EE.UU., que reemplazaría –pero con mayores protecciones- al anterior acuerdo de Puerto Seguro que fue declarado inválido por la Corte Europea de Justicia en octubre de 2015 mediante el caso Schrems. En el futuro, el nuevo Reglamento General de Protección de Datos de Europa permitirá delimitar la aprobación a un territorio o a un sector o industria específica dentro de un tercer país.
Por su parte, varias de las legislaciones de Latinoamérica también prevén otros mecanismos específicos para legitimar transferencias internacionales de datos como, por ejemplo, cláusulas tipo, el uso del consentimiento válido u otras excepciones puntuales. Sin embargo, en la práctica, como estas opciones varían de un país a otro, es complicado implementarlas de manera uniforme y sostenible -un obstáculo significativo para empresas multinacionales cuyos servicios y productos se ofrecen de forma global.
Con un enfoque distinto, las veintiún economías que conforman la Asociación de Cooperación Económica Asia Pacífico (APEC, por sus siglas en inglés), han puesto el esfuerzo en alcanzar estándares comunes y lograr la interoperabilidad de distintos regímenes jurídicos. Tres países, Chile, México y Perú son miembros de la APEC.
En el 2012 la APEC anunció las Reglas de Privacidad Transfronterizas, (CBPR, por sus siglas en inglés), para permitir la trasferencia de datos personales entre las economías miembros. Las empresas que deseen participar tienen que implementar políticas de privacidad consistentes con el Marco de Referencia de Privacidad de la APEC y obtener la certificación del agente de responsabilidad del lugar donde operan. Cabe remarcar que este sistema está en sus comienzos, por el momento solo tres miembros han implementado el sistema y solo dos miembros han designado sus agentes de responsabilidad.
Chile, México y Perú también son firmantes del Acuerdo de Asociación Transpacífico, (TPP, por sus siglas en inglés). Este acuerdo de libre comercio concluido en noviembre de 2015 por doce países -todavía pendiente de ratificación por sus firmantes- establece, como principio general, que cada país permitirá la transferencia transfronteriza de información, y acepta que cada país tenga su propio sistema legal para proteger la privacidad.
Como corolario es importante resaltar el esfuerzo conjunto que en 2014 realizaron las autoridades de protección de datos de Europa y la APEC creando un documento referencial de similitudes y diferencias entre las normas corporativas vinculantes de Europa y las reglas de privacidad transfronterizas de la APEC. Este documento abre la posibilidad de pensar en una “doble certificación” en el futuro. Varias empresas multinacionales han concluido o se encuentran en la etapa final de concluir la aprobación de sus normas corporativas vinculantes en Europa, mientras que algunas empresas multinacionales ya completaron el proceso de certificación en la APEC.
En conclusión, los cambios tecnológicos y la experiencia internacional sobre transferencia de datos invitan a Latinoamérica a considerar nuevas soluciones para fomentar el libre comercio y la innovación tecnológica y al mismo tiempo proteger los derechos de los titulares de los datos.