Buenos días,

Los días 2 y 3 de mayo del presente año, se llevó a cabo el Global Privacy Summit de la IAPP, la reunión más importante a nivel internacional para los profesionales de la privacidad y la protección de datos personales, en la que más de 3,000 profesionales se dieron cita en Washington, DC.

Durante dicho foro, fueron dos los paneles que involucraron a la región. Uno de ellos, el de autoridades, Latin America Regulatory Update, en el cual participaron autoridades de protección de datos de Argentina, Chile y México y un profesional de la protección de datos de Brasil, quienes nos pusieron al día de lo que está sucediendo en los países en comento. El segundo, compuesto por varios miembros expertos en la materia, provenientes de Argentina, Brasil, Chile y Colombia, en el cual se trató el tema GDPR in LatAm: Corporate Concerns in Dealing With (Applicable?) Foreign Law.

La pregunta recurrente en ambos fue si con el cumplimiento que se haga del GDPR también se cumpliría con las legislaciones de los diferentes países en América Latina. La respuesta fue, “no necesariamente”, pues cada legislación –aunque pudiera ser similar en cuanto a los principios de protección de datos personales–, fue desarrollada tomando en cuenta la realidad y las características de cada país, máxime si consideramos que, salvo la Ley General de Protección de Datos Personales de Brasil y la de Panamá, las leyes existentes en América Latina son anteriores al GDPR. Aunque si bien los proyectos de ley o enmiendas a las actuales leyes, como en el caso de Chile y Argentina, están procurando tomar algunos de los conceptos y principios del GDPR, no son copias fieles de dicho ordenamiento.

Así, por ejemplo, en la Argentina, no se prevé en ley tener un oficial de protección de datos, pero sí en una directriz posterior a la ley que lo sugiere para el estado. Se tienen cláusulas tipo para la transferencia de datos personales, y directrices para la regulación de drones, entre otros. En Chile, aún no se tiene una autoridad de protección de datos y no existe la obligación de reportar una vulneración de seguridad, salvo que se trate de la industria bancaria en la cual sí se deben reportar los incidentes de seguridad y el plazo para ello es de 30 minutos (la fuente de este requerimiento es la norma reglamentaria que emana de la Superintendencia de Bancos). En Colombia la base del tratamiento de datos personales es el consentimiento expreso, previo e informado, con lo cual el interés legítimo previsto en el GDPR, pudiera no resultar suficiente para llevar a cabo el tratamiento de datos personales en Colombia. En la ley de Brasil al igual que en el GDPR hay una preocupación por el tratamiento de los datos personales de menores y se establece que una persona entre 13 y 18 años puede otorgar consentimiento válido siempre y cuando el tratamiento sea en su mayor interés; en el GDPR el mínimo de edad para otorgar consentimiento para el caso de servicios de la sociedad de la información es de 16 años, aunque cada país miembro puede establecer que sea menor, pero no por debajo de los 13 años.

Aunque en este año se tuvo al mayor numero de latinoamericanos presentes durante el Global Privacy Summit, esperamos que para el 2020 sean aún más, así como que más profesionales de la materia se animen a participar y presentar sus propuestas de paneles. Estén pendientes para cuando se publique la convocatoria correspondiente.

Sin más por el momento, reciban un cordial saludo.

Atentamente,
Rosa María