Protección de Datos: Cómo está el panorama legislativo en Latinoamérica
Imagen. Créditos Owncloud.com

Protección de Datos: Cómo está el panorama legislativo en Latinoamérica

Con el crecimiento de las tecnologías que procesan datos a gran escala y con su implementación en diversos ámbitos de la sociedad, surge el desafío para los estados de regular el tratamiento de la información de los usuarios.

Esta necesidad no es nueva, sino que está presente desde los inicios de la computación y, en el período pandémico y pospandémico, aumentó en forma brusca y a velocidades inesperadas. ESET, empresa especializada en detección proactiva de amenazas, repasa cuál es la situación en Latinoamérica.

¿Qué es la ciberseguridad y por qué debería importarte?
La ciberseguridad es un tema que todos deberíamos saber. Desde tu smartphone hasta un servidor. Aquí te enseñamos de qué se trata.

Los ejes temáticos principales que se encuentran en discusión actualmente son muy diversos y se pueden resumir en los siguientes:

  • Regulación del tráfico de información a través de internet.
  • Traspaso internacional de datos.
  • Huella Digital.
  • Tecnologías de procesamiento de datos a gran escala.
  • Reevaluación de métodos de protección de datos y acceso a la justicia.
  • Descentralización de tratamiento de la información y de autoridades a cargo del control.
  • Primacía del consentimiento de los titulares de datos.
Entel Digital se suma a la comunidad internacional de respuesta ante ciberataque FIRST Org.
FIRST Org es un grupo internacional que aglomera 681 equipos de respuesta ante incidentes de ciberataques distribuidos en 106 países.

Fabiana Rodríguez, Investigadora de Seguridad Informática de ESET Latinoamérica, comenta que:

La mayoría de las normativas relativas a la protección de datos personales, en muchos de los estados de Latinoamérica, data de hace más de 10 o 20 años y resultan insuficientes frente al actual estado de la tecnología y las necesidades de esta era.
ESET revela como ciberdelincuentes explotan LinkedIn para extraer información privada
LinkedIn como herramienta en manos de ciberdelincuentes: Amenazas y protección corporativa.

Un resumen regional... Con mucho que avanzar

A continuación, desde la empresa de seguridad, junto a su vocera, repasan el estado de la situación normativa en Argentina, Chile, Colombia, Ecuador y México:

Argentina: En la Argentina, la protección de datos personales se encuentra sujeta a la Ley 25326, sancionada y promulgada en el 2000, que dio lineamientos generales respecto a la forma de almacenar y transferir datos, y reconoció en forma explícita algunos derechos en favor de los titulares de datos, como la modificación y extinción de los registros.

Si bien cumplió su cometido regulatorio, también dejó fuera algunas situaciones que, quizás al momento de su creación, eran impensadas, o implicaban tecnologías incipientes: por ejemplo, la ley no menciona el término “internet”, lo cual incluso para esa época ya era necesario. Frente a varias problemáticas actuales, resulta insuficiente y puede poner en peligro los derechos fundamentales de los titulares de datos.

El nuevo proyecto de Ley de Protección de Datos Personales, que se está tratando en el Congreso de la Nación, pretende dar una nueva perspectiva a la cuestión, desde una mirada centrada en los avances tecnológicos. Entre los principales cambios que se proponen se destacan: la posibilidad de que los niños a partir de los 13 años puedan prestar consentimiento para el tratamiento de sus datos (de acuerdo con ciertas circunstancias), la aplicación de la Ley para habitantes de la Nación, sin importar dónde se encuentren almacenados los datos A, y la ampliación del concepto de dato crítico.

Chile: La actualización de la ley de datos personales marcaría un hito en el panorama de la protección de la privacidad en América Latina
Martina López, desarrolla una columna sobre la importancia de la legislación sobre la protección de datos personales, para América Latina.

México: La Ley Federal de Protección de Datos Personales en Posesión de los Particulares, vigente desde el año 2010, es la norma que rige la temática a nivel país. También da lineamientos generales en cuanto a clasificación de datos, estableciendo algunos principios sobre el tratamiento de los mismos aplicable en públicas y privadas. El eje central de esta ley es la garantía a los particulares de los derechos ARCO (aceptación, rectificación, cancelación y oposición). Sin embargo, la misma cuenta con más de diez años y no abarca cuestiones actuales como la internet, la inteligencia artificial, entre otras.

Por otro lado, distintos estados mexicanos cuentan con sus propias leyes, como ser el caso de la Ciudad de México y su ley de Protección de Datos Personales en Posesión de Sujetos Obligados que recientemente sufrió una reforma orientada a que personas de grupos vulnerables puedan ejercer sus derechos vinculados con la ley en forma equitativa.

Chile: Se encuentra en vigencia la Ley 19628, sobre “Protección de Datos de Carácter Personal” también denominada “Ley de Protección de la Vida Privada” que fue sancionada en 1999. En el año 2018 se modificó la Constitución de Chile y se consagró textualmente a la protección de datos como derecho fundamental. Sin embargo, y en consonancia con lo que sucede en otros países, la actual regulación no es eficaz en su aplicabilidad a diferentes situaciones que plantea la digitalización y el uso de tecnologías en constantes cambios, razón por la cual se encuentra en tratativas un nuevo proyecto de ley.

Ciberseguridad en Chile: Una Prioridad Nacional en la Era Digital
La ciberseguridad no es sólo un tema individual, sino un área de interés a nivel país, destacando en la actual agenda legislativa la Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información

Ecuador: El 26 de mayo de 2021, se sancionó la primera ley referida a datos en Ecuador. La Ley Orgánica de Protección de Datos Personales establece los lineamientos y principios que se deben aplicar para garantizar la privacidad de los datos personales de los ciudadanos. Por otro lado, regula el derecho a acceso y decisión sobre la información que se recopila sobre estos con el objetivo de empoderarlos frente a los desafíos del mundo digital.

Sin embargo, esta ley entró en plena vigencia el 26 de mayo de 2023, dado que al momento de su promulgación se otorgó un plazo de gracia a las empresas y organizaciones que tratan información para reorganizar sus sistemas de acuerdo con la ley en cuestión.

A partir de este año, se volvieron aplicables las multas previstas por incumplimiento de la ley, que pueden alcanzar hasta el 1% del capital de negocios de quien la infringe.

Colombia: La Ley 1581 del 2012, es la norma central de la regulación de las cuestiones atinentes a la protección de datos personales, que está complementada por el derecho constitucional de hábeas data y otras regulaciones. Esta ley desarrolla los derechos de los titulares de datos a conocer, actualizar y rectificar las informaciones que se hayan recolectado sobre ellos en bases de datos o archivos, siendo una norma similar a las leyes de protección de datos iniciales de Latinoamérica y que establece principios generales.

Dada la fecha de su sanción, la misma no contempla supuestos actuales relacionados con el aumento desmedido del almacenamiento de datos en medios digitales y el crecimiento de tecnologías de procesamiento de datos, lo cual generó una necesidad casi inmediata de reforma. Esto, sumado a la influencia del RGDP europeo, fue el puntapié para el planteo de un nuevo proyecto de Ley (066 del 2022) que tiene como objeto aumentar el resguardo de los datos personales frente al tráfico de mensajería a través de empresas que prestan esos servicios.

Dentro de las propuestas que incluye se puede mencionar la creación de un registro donde los usuarios puedan solicitar la eliminación de los datos referidos a ellos que se encuentren bases de diferentes entidades, así como la imposición de sanciones a empresas que no cumplan con estas solicitudes.

Finalmente, Fabiana Rodríguez destaca que:

...[] del panorama legislativo existente y tendencias de reforma respecto a normativas de protección de datos, se puede concluir que, si bien los estados cuentan con lineamientos de protección de datos, los mismos resultan insuficientes para gestionar las problemáticas actuales.

Finalmente agrega que:

Se podría recomendar fuertemente a los estados el establecimiento de un sistema que permita un constante análisis para acomodar las leyes de acuerdo con las necesidades y evitar procesos legislativos lentos que ocasionen que al momento de entrar en vigencia cada reforma, resulte desactualizada.
¿No será momento de tener una Government Cloud?
Los recientes ataques a entidades públicas de Chile y Colombia por ransomwares ha dado pie a la idea de repatriar la carga de trabajo a los centros de datos, o bien una Government Cloud que mejore el control y seguridad de sistema críticos de los países.

¿Qué te parece la situación de Latinoamérica frente a la Ciberseguridad?

Francisco Carrasco M.

Francisco Carrasco, editor general y periodista azul especializado en TI con más de 22 años en el mercado local e internacional, quien trabajo por 15 años con la destacada editorial IDG International.