Honduras: La necesidad de una Ley de Protección de Datos ante los efectos de la pandemia y el Reglamento Europeo de Protección de Datos

Escrito por:

Christian Betancourt

 

Según IBM, en 2019 la humanidad produjo 2.5 trillones bytes de datos cada día (para perspectiva, un trillón es un 1 seguido de 18 ceros). Acorde a Forbes, en el mismo año se enviaron 16 millones de mensajes de texto, así como 156 millones de correos electrónicos, cada minuto a nivel mundial. Éstas son cifras impresionantes que van sólidamente en aumento, a las cuales el Parlamento Europeo y el Consejo de la Unión Europea prestó atención.

 

El Reglamento General de Protección de Datos[1], también conocido como GPDR (por sus siglas en inglés General Data Protection Regulation), es una respuesta con alcance extraterritorial a los complejos usos que se les está dando a los datos personales. Entrando en vigor el 25 de mayo de 2018, la normativa presenta una protección más sofisticada de la información personal. Podemos identificar al menos cinco características sobre la robustez de la GDPR:

 

  1. Le otorga al usuario más poder y control de sus datos, debiendo las empresas solicitar autorización y consentimiento expreso para su utilización, entendido éste como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

 

  1. Las empresas asumen un mayor nivel de responsabilidad sobre los peligros del tratamiento de información, tanto internos como de terceros, que conlleva a evaluar las posibilidades de riesgos de fuga, e idear un plan de acción en caso de fuga.

  2. Tiene un alcance extraterritorial, por lo que las empresas ubicadas fuera de la Unión Europea que realicen negocios con personas o empresas de países miembros o que realicen tratamiento de datos de ciudadanos o residentes europeos podrían estar sujetas también al cumplimiento de la GDPR.

 

El artículo 3 de las GDPR destaca que “el presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

 

El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión cuando las actividades de tratamiento estén relacionadas con a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

 

El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público”.

 

  1. Multas más altas por incumplimiento. Quienes estén en violación de las disposiciones podrán recibir multas de hasta el 4 por ciento de la facturación global anual o 20 millones de euros (lo que sea mayor). Las multas y demás sanciones forman parte intrínseca del diseño de la GDPR, imponiéndose incluso en infracciones leves. En cualquiera caso, se busca que sean efectivas, proporcionadas y disuasorias.

  2. La naturaleza de “privacidad por diseño” debe ser incluido dentro de los servicios desde el inicio, mediando un consentimiento explícito y una mayor claridad acerca del uso de los datos. La GDPR exige la adopción de medidas técnicas y organizativas adecuadas en aras de garantizar el cumplimiento de la normativa. Vale la pena mencionar que las implicaciones del reglamento no son sólo para las relaciones entre una empresa y sus clientes o proveedores externos, si no también internamente para con los datos de los empleados.

 

El mencionado reglamento, para este fin, introduce la nueva figura de Delegado de Protección de Datos. Este puesto es necesario en autoridades y organismos públicos, entidades que tengan entre sus actividades principales las operaciones de tratamiento que requieran de una observación habitual y sistemática de interesados a gran escala, así como en entidades que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.

 

En América Latina, donde hay una presencia considerable de compañías europeas, ya varios países han adecuado su regulación interna ante la GDPR, o han presentado nuevos proyectos de ley o reformas, teniendo en mente la aplicación extraterritorial del reglamento europeo. Entre los países que han tomado en cuenta los principios y disposiciones de la GDPR se encuentran Argentina, Perú, Chile, Brasil, Colombia y México.

 

En Honduras la normativa sobre el tema es escasa, encontrándose primordialmente en la Ley de Transparencia y Acceso a la Información Pública, la cual entró en vigor en 2006. En cuanto a la protección de datos personales, esta ley casi que se limita sólo a definirlos, así como a definir lo que se entiende como información confidencial. También se rescata lo contenido en su artículo 24, sobre el requerimiento de un decreto judicial para acceder a datos personales que no sean voluntariamente suministrados. En 2018 se presentó un anteproyecto de Ley de Protección de Datos Personales en el Congreso Nacional, pero tal como fue presentado no parece adecuarse a los estándares internacionales y hasta puede que mezcle erróneamente algunos conceptos.

 

Debemos tener especial cuidado sobre este tema, tomando en cuenta los efectos de la pandemia ocasionada por el SARS-CoV-2, el coronavirus causante de la enfermedad COVID-19. La firma consultora McKinsey and Company calculó en julio del 2020 que el volumen de comercio electrónico en Estados Unidos creció al nivel que se proyectaba estaría en los próximos 10 años, en apenas un par de meses. Según lo que hemos apreciado en Honduras, esa adopción debe haberse acelerado aún más en el país. Las empresas tienen la oportunidad de analizar sus programas internos de cumplimiento y reducción de riesgos frente a esta nueva realidad.

 

Además de lo que ocurre en el sector privado, se debe prestar atención al uso que el gobierno le está dando a nuestros datos, proporcionados durante las interacciones que se han desarrollado con diferentes entes estatales a lo largo de la emergencia sanitaria. La magnitud de la cantidad de datos que podría capturar una plataforma como la planteada en el reciente Reglamento sobre Gobierno Electrónico, por ejemplo, sin una apropiada protección legal acerca del uso de nuestros datos, es preocupante. Sobre este punto es importante recordar la garantía del Hábeas Data, contenida en la Ley de Justicia Constitucional y en la reforma de 2013 del artículo 182 de la Constitución de la República. Esta herramienta establece que “Toda persona tiene el derecho de acceso a la información sobre sí misma o sus bienes en forma expedita y no onerosa, ya esté contenida en bases de datos, registros públicos o privados y, en el caso de que fuere necesario, actualizarla, rectificarla y/o suprimirla”, en concordancia con los convenios internacionales sobre derechos humanos ratificados por Honduras.

 

Pensando en el diseño de una Ley de Protección Datos idónea, será oportuno tomar en cuenta el aprendizaje que ha habido con las regulaciones aplicables al sistema financiero, sector que se ha adelantado a emitir normas propias acorde a los principios observados por el Comité de Basilea. Hay una serie de resoluciones emitidas por la Comisión Nacional de Bancos y Seguros que presentan lecciones asimiladas, principalmente basadas en las llamadas NOPATIC, las Normas para Regular la Administración de las Tecnologías de Información y Comunicaciones en las Instituciones del Sistema Financiero, encontradas en la Circular CNBS No. 119/2005.

 

La rápida adopción de nuevas tecnologías, el surgimiento de algoritmos cada vez más refinados y el efecto de la pandemia en la aceleración del comercio electrónico nos presenta la obligación de replantearnos el entorno legal necesario para la adecuada protección de nuestros datos. Afortunadamente, tenemos referencias importantes sobre diferentes experiencias que se podrían analizar en aras de lograr un resultado beneficioso para los hábitos actuales de la sociedad.

 

 

[1] Reglamento General de Protección de Datos (en adelante “GDPR” por sus siglas en inglés) 27 de Abril de 2016 – Parlamento Europeo y el Consejo de la Unión Europea (UE). https://www.boe.es/doue/2016/119/L00001-00088.pdf

Ir arriba