Ante los ciberataques: ¿Cuánto han avanzado las leyes en América Latina en protección de datos?

En términos generales, América Latina ha tenido avances importantes en protección de datos / Unsplash, Yura Fresh
En términos generales, América Latina ha tenido avances importantes en protección de datos / Unsplash, Yura Fresh
Argentina y Uruguay están en el listado de economías adecuadas conforme al Comité Europeo de Protección de Datos.
Fecha de publicación: 07/02/2024

La semana pasada, la empresa de telecomunicaciones venezolana Digitel (la segunda con más usuarios del país) fue víctima de un ransomware llamado Medusa, planeado por el mismo ciberdelincuente que, en julio de 2023, había hackeado la red del Banco de Venezuela. En total, obtuvo acceso ilegal a más de 20 terabytes de información, incluyendo los respaldos.

Lo que ocurrió ese día, específicamente el sábado 3, fue que la red de computadoras y servidores de Digitel, sus servidores Proxmox y Vmware, su página web, whatsapps web de muchos de sus trabajadores, aplicaciones internas y cuentas bancarias fueron vulneradas junto con la base de datos de los clientes de la telefónica, donde estaba almacenada información como sus números de cédula y de teléfono.


De interés: NotMilk: El enfrentamiento entre The NotCompany y Aproval por competencia desleal


Este ataque (por el que se extorsionó a la compañía por 5 millones de dólares en criptomonedas, que no se sabe si fueron pagados) evidenció la exigua política en protección de datos de Venezuela, donde no hay, siquiera, un anteproyecto de ley para esta materia. 

Casualmente, el hackeo ocurrió días después de que El Nacional, uno de los medios informativos más importantes del país, publicó las conclusiones de un informe hecho por la ONG VE sin Filtro, que denunció la ausencia de leyes que garanticen la protección de datos personales en Venezuela, cuya defensa está apenas incluida en el artículo 60 de su Constitución y que consagra el derecho de toda persona a la protección de su honra, vida privada, intimidad, imagen, confidencialidad y reputación.

En el marco del día mundial de la protección de datos (8 de febrero), hacemos una revisión de los marcos normativos de algunos países de la región.


No dejes de leer: Medios de comunicación y derechos de autor, ¿es 'fair use' que las soluciones de inteligencia artificial se entrenen con obras?


Las legislaciones más sólidas: Argentina, Brasil, México y Uruguay

De acuerdo con el abogado chileno Juan Francisco Reyes, socio de SCR Abogados, América Latina aún se está adaptando a los estándares internacionales en data protection, lo que significa que esto —más el hecho de que nuestras economías (salvo por México y Brasil) son lo suficientemente pequeñas como para ser relevantes— es un factor que ha influido en que nuestras legislaciones en esta materia apenas estén siendo reconocidas como adecuadas, según las exigencias del Comité Europeo de Protección de Datos (CEPD).

Únicamente Argentina y Uruguay están en el listado de economías adecuadas conforme a la autoridad europea de datos, aunque existen múltiples proyectos de modificación normativa que tienen por objeto certificar su adecuación.

Argentina, que fue uno de los pioneros en los esfuerzos de protección de datos en América Latina, tiene niveles sólidos de protección de datos, y Uruguay, que cuenta con una legislación integral y una autoridad regulatoria dedicada desde 2008, con una complementación de la ley en 2020, lideró la protección de datos personales en la región. 

Reyes explica que, en su mayoría, estos se enfocan en el cumplimiento de los mínimos requeridos para lograr la adecuación, pero carecen, en general, de un enfoque de cumplimiento, así como de establecer condiciones que incentiven a las industrias intensivas a la adopción de programas de tratamiento de datos, que justifiquen el balance entre protecciones a las personas y a la industria que se requiere para no ser un exportador neto de datos.


Para ti: ¿Qué le depara 2024 a las firmas en materia de Propiedad Intelectual?


Con Reyes coincide Andrea Ruiz, abogada de IVM-OR Abogados, quien comenta que estas dos naciones fueron ratificadas como países adecuados bajo el estándar del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, lo que exige superar una evaluación de la efectividad de su legislación. A su vez, añadió a Brasil, aunque este aún no figure en el listado del RGPD.

Su inclusión se basa en que la Ley General de Protección de Datos (LGPD) brasileña se modeló a semejanza del RGPD, por lo fue creada con la perspectiva de la protección de los datos personales como un derecho humano, creando a nivel federal una agencia nacional de protección de datos y disponiendo sanciones y evaluaciones de impacto, hechos con los que coincide Paula Mena Barreto, socia de Campos Mello Advogados (en cooperación con DLA Piper), quien además dice que si bien la ley está altamente inspirada en el RGPD, hay regulaciones pendientes, como la definición del cálculo de las sanciones y el procedimiento sancionador por parte de la Autoridad Nacional de Protección de Datos (ANPD), que serán emitidas para considerarse una legislación más eficaz.

Esto significa que, a nivel regulatorio, puede hacerse más. En el caso de Brasil: regular los requisitos en materia de transferencias internacionales (como las cláusulas contractuales tipo y la certificación de países con un nivel de protección adecuado), así como las medidas técnicas y administrativas de seguridad, “ambas materias de especial importancia”, que son parte de las futuras acciones de la ANPD.


Más sobre PI: Cabbage Patch Kids, los primeros juguetes “virales”, también tuvieron conflicto por propiedad intelectual


Elevar los estándares

La ANPD de Brasil está enfocada en emitir diversas modificaciones que harán más efectiva su legislación en protección de datos. Así como esta, muchas otras naciones latinoamericanas están evaluando las mejoras que deben hacerle a sus normativas para alcanzar los estándares internacionales.

Tal es el caso del Perú, donde se han propuesto cambios a la normativa local que ya han sido plasmados en el Proyecto del Nuevo Reglamento de la Ley N° 29733, de la Ley de Protección de Datos Personales (publicado en la Resolución Ministerial N° 0270-2023-JUS).

Ricardo Morón Acosta, asociado sénior de Rubio, Leguia Normand, resalta que uno de los cambios más relevantes recogidos en este documento es el establecimiento de criterios de evaluación para determinar si un país destinatario presenta niveles de protección de datos personales adecuados. 

"Esta innovación en el Proyecto del Nuevo Reglamento permitirá contar con parámetros objetivos para establecer la viabilidad del flujo internacional de datos personales y garantizar un estándar de protección apropiado a sus titulares que se encuentren en territorio nacional".

Asimismo, otras mejoras importantes que plantea el Proyecto son la portabilidad de los datos personales y la evaluación del impacto relativo al tratamiento de datos, que procura que se dimensionen adecuadamente los riesgos y medidas de seguridad “que deben observar los titulares de bancos de datos personales”, apuntó. 


Querrás leer: Kellogg vs. Venezuela: ¿Ciadi puede atender controversias de propiedad intelectual?


"Esta evaluación tiene particular relevancia en el tratamiento de información sensible, de personas en situación de vulnerabilidad y cuando el tratamiento se realice sobre grandes volúmenes de datos u otros supuestos que determine la autoridad".

En Chile, dice Andrea Ruiz, se está en deuda con la protección de datos personales, a pesar de que es un derecho fundamental consagrado en la Constitución desde 2018, por eso el proyecto de ley que está actualmente en la etapa final de tramitación en el Congreso Nacional eleva el estándar del país a niveles adecuados para la Unión Europea:

"De modo que su aprobación y promulgación será un salto importante para la protección de este derecho a nivel nacional. Lo más importante es poner al día la regulación, pues se ha vuelto obsoleta y absolutamente insuficiente para el resguardo del derecho a la autodeterminación informativa". 

Pero, en términos generales, América Latina (especialmente Brasil, Colombia, Ecuador, México y Perú) ha tenido avances importantes en este campo, pues ha tratado de adaptarse “a los más altos estándares internacionales sobre la materia” y de aplicar actualizaciones importantes a sus normativas internas, “procurando reconocer derechos sustantivos y establecer mecanismos jurídicos para garantizar la protección de los datos personales”, dice Morón.

"Asimismo, la implementación de leyes específicas sobre protección de datos personales ha jugado un papel importante, aunque existen jurisdicciones como la boliviana o venezolana, que carecen de regulación en este campo".


Quizá quieras revisar: El nearshoring obliga a los países a prepararse en transferencia tecnológica


Las agencias son vitales para mejorar

El abogado peruano precisa que organismos como la Organización para la Cooperación y Desarrollo Económico (OCDE), la Organización de Estados Americanos (OEA) y la Red Iberoamericana de Protección de Datos Personales (RIPD) han realizado esfuerzos para impulsar el desarrollo y mejora de las legislaciones de protección de datos personales en la región, recogiendo principios, estándares y derechos en diversos documentos de trabajo, que han servido como insumo en la implementación de las normativas de cada país.

Actualmente, señala Paula Mena Barreto, la mayoría de los países de América Latina cuentan con legislación específica en materia de protección de datos y, aunque sus niveles de protección varían, ha habido un esfuerzo para garantizar la protección de los interesados, lo que ha subido el nivel general de protección a un nivel moderado.


Lectura interesante: La intersección entre el resguardo de la diversidad biológica y la regulación de transgénicos


Para Juan Francisco Reyes, esto es patente cuando se comparan las normativas de nuestro continente con legislaciones más avanzadas que, en conjunto y en el caso de la Unión Europea, tienen efectos supranacionales por cuanto siguen a los usuarios y proveedores de servicios y derivan en un proceso de transposición normativa indirecto que los legisladores deben reconocer a la hora de regular. 

"En otras palabras, las ‘normativas avanzadas’ se transforman en una suerte de fijadores de estándares que tienen un aspecto positivo en cuanto determinan mínimos comunes, al tiempo que se erigen como guardianes de cumplimiento por otras autoridades a las que califican de adecuadas o no (por tanto, favoreciendo el intercambio comercial con tales jurisdicciones por sobre aquellas que no cumplen)". 

Add new comment

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.