Nuevos Estándares Iberoamericanos de Protección de Datos
En Resumen
La situación: El 20 de junio de 2017, la Red Iberoamericana de Protección de Datos ha aprobado los Estándares de Protección de Datos para los Estados Iberoamericanos.
El resultado: Por primera vez, los Estados Iberoamericanos cuentan con una base normativa para crear en la región un marco común de protección de datos.
Mirando hacia el futuro: Los Estándares constituyen una herramienta esencial para el desarrollo de nuevas regulaciones de protección de datos basadas en principios homogéneos.
La Red Iberoamericana de Protección de Datos ha aprobado los Estándares de Protección de Datos para los Estados Iberoamericanos ("Estándares").
El objetivo principal de los Estándares es establecer un marco común de principios y derechos de protección de datos que sirvan como base para las diferentes legislaciones nacionales de los estados iberoamericanos de forma que se garantice una tutela homogénea del derecho a la protección de datos personales en todos los Estados Iberoamericanos y se facilite el flujo de los datos personales entre los mismos y más allá de sus fronteras.
Los Estándares han tomado como referencia el nuevo Reglamento (UE) 2016/679 ("GDPR") e incluyen medidas y previsiones muy simiares a las recogidas en esta normativa.
Principales Previsiones
Ámbito de aplicación. Los Estándares serán de aplicación al tratamiento de datos personales de las personas físicas. La legislación local de cada estado puede incluir a personas jurídicas.
En cuanto al ámbito de aplicación territorial, serán de aplicación a los tratamientos efectuados en territorio de los Estados Iberoamericanos así como a responsables o encargados no establecidos en territorio de los Estados Iberoamericanos en determinados supuestos.
Principios generales de protección de datos. Los Estándares identifican como principios básicos que deben regir el tratamiento de datos personales los principios de legitimación, licitud, lealtad, transparencia, finalidad, proporcionalidad, calidad, responsabilidad, seguridad y confidencialidad. El tratamiento de datos personales debe basarse en la existencia de una base legal, como, entre otras, el consentimiento inequívoco e informado del titular.
Derechos de los titulares de los datos personales. Los Estándares reconocen expresamente los derechos de acceso, rectificación, cancelación, oposición así como otros nuevos derechos como el derecho a no ser objeto de decisiones individuales automatizadas (salvo en determinados supuestos), el derecho a la limitación del tratamiento y el derecho a la portabilidad. También reconocen expresamente el derecho de los titulares a presentar una reclamación ante la autoridad de control en caso de vulneración de sus derechos así como el derecho a ser indemnizado.
Responsabilidad proactiva. Los responsables deben implementar los mecanismos necesarios para acreditar el cumplimiento de los principios y obligaciones recogidos en los Estándares. Se recogen medidas de responsabilidad proactiva como la adopción de medidas de privacidad por diseño y por defecto, la obligación de llevar a cabo las evaluaciones de impacto en determinados supuestos, así como la obligación de, en casos concretos, designar a un oficial de protección de datos personales.
Encargado de tratamiento. Los Estándares configuran expresamente la figura del encargado de tratamiento como la entidad que trata los datos personales "sin poder alguno de decisión sobre el tratamiento" y en los términos fijados por el responsable. La relación entre el encargado y el responsable debe formalizarse en un contrato que deberá incluir un contenido mínimo.
Brechas de seguridad. Los responsables deberán notificar las brechas de seguridad tanto a las Autoridades de Control como a los afectados sin dilación alguna, salvo que pueda demostrar la improbabilidad de la vulneración de seguridad ocurrida.
Transferencias Internacionales. Como regla general se permiten las transferencias internaciones a destinatarios (territorio, sector, actividad u organización internacional) a los que se haya reconocido un nivel adecuado de protección por parte del país transferente, o bien que el exportador ofrezca garantías suficientes (y así lo haya acreditado) para efectuar el tratamiento en el país destinatario. Se reconocen la validez de las SCC, las Normas Corporativas Vinculantes o los mecanismos de certificación.
Los Estándares constituyen un modelo normativo flexible que responde a las necesidades y exigencias nacionales e internacionales en la materia y que garantizan un nivel adecuado de protección de los datos personales sin establecer barreras a la libre circulación y a las actividades comerciales en la región. Las legislaciones de los Estados Iberoamericanos deben fijar medidas que promuevan su cumplimiento de la legislación de protección de datos, entre las que destaca, la obligación de cada Estado Iberoamericano de establecer una o más autoridades de control en materia de protección de datos personales con plena autonomía y adoptar mecanismos de cooperación internacional.
Dos Claves Fundamentales
- Los Estándares suponen un paso unificador en el tratamiento de los datos personales de los Estados Iberoamericanos que, hasta la fecha, cuentan con legislaciones diversas.
- Se prevé el desarrollo de nuevas legislaciones locales de protección de datos que obligarán a la empresas a revisar sus procedimientos y programas sobre datos personales.
Contactos
Para más información, por favor contacte con su enlace principal en la Firma o con uno de los abogados listados abajo. Cualquier mensaje general de e-mail deberá ser enviado a través del formulario "Contacte con Nosotros" que puede encontrarse en www.jonesday.com/contactus/.
Daniel J. McLoon
Los Angeles
+1.213.243.2580
djmcloon@jonesday.com
Mauricio F. Paez
New York
+1.212.326.7889
mfpaez@jonesday.com
Guillermo E. Larrea
Mexico City
+52.55.3000.4064
glarrea@jonesday.com
Marina E. Moreno, Asociada en Washington, D.C., contribuyó a la redacción del presente comentario.
