Por Heidi Maldonado
Hace poco, en este mismo espacio, hablamos acerca de la revolución del metaverso: retos normativos, jurídicos y regulatorios. Hoy junto con Cyntia Menezes, abogada asociada de Font Advocats, y Carlos Sáiz, presidente de Cumplen y socio de Ecix Group, analizamos la evolución de la protección de datos en Iberoamérica, centrando el debate en cómo a partir de la entrada en vigor del Reglamento General de Protección de Datos Personales de la Unión Europea (RGPD) empezó en muchos países una nueva temporada de cambios legislativos.
También conocimos, desde sus experiencias, cuál es el mayor problema con las leyes de privacidad de datos en Iberoamérica y, además, los especialistas precisaron lo que deben tener en cuenta, en materia de protección de datos, aquellas empresas que quieran trabajar en el metaverso.
De 10 años para acá, ¿cómo ha evolucionado la protección de datos en Iberoamérica?
Cyntia Menezes: “En la última década hemos visto un desarrollo importante en la regulación de la privacidad de datos en Iberoamérica. Los primeros países en legislar la materia, antes de la oleada legislativa de la última década, fueron Chile (1999) y Argentina (2000), pero a partir de 2010 empezamos a ver esfuerzos más amplios en la zona, con la promulgación de leyes específicas en México (2010), Perú (2011) y Colombia (2012), por ejemplo. Otros países, tales como Brasil, contaban con disposiciones legales sobre protección de datos repartidas en diferentes legislaciones (protección al consumidor, regulación de servicios de internet, y códigos civiles y penales, por ejemplo), pero a partir de la entrada en vigor del Reglamento General de Protección de Datos Personales de la Unión Europea (el RGPD) empezó una nueva temporada de cambios legislativos en la zona.
Este hecho se produce por la amplitud y complejidad del RGPD que inspira cambios legislativos en todo el mundo, pero también por su carácter de extraterritorialidad. Los países que transaccionan con la UE, y en Iberoamérica todos lo hacen, se vieron obligados a adaptarse para seguir operando en el mercado europeo. Eso implicó una carrera, tanto para adaptar leyes existentes a los nuevos criterios, como para crear un nuevo marco jurídico. Todo ello fue lo que llevó a países que carecían de leyes específicas en materia de privacidad a desarrollar sus nuevos marcos regulatorios; es el caso de países como Brasil, Bolivia, y Ecuador, por ejemplo. Asimismo, países que tenían marcos regulatorios (Chile y Argentina), también están buscando actualizar o sustituir el marco regulatorio para adaptarse a los nuevos criterios del RGPD”.
Carlos Sáiz: “Ha evolucionado mucho. Hemos visto cómo varios países aprobaban una normativa propia, siendo conscientes de la necesidad de regular la protección de un derecho clave en la sociedad digital que vivimos. La aprobación del Reglamento General de Protección de Datos en Europa en 2016, y su plena aplicación desde 2018 ha sido una palanca muy importante para la protección de datos en el mundo, ya que son muchas las normativas nacionales que han alineado su propio ordenamiento a los principios y metodologías del Reglamento Europeo”.
¿Cuáles son los retos y desafíos para los próximos años en materia de protección de datos?
Cyntia Menezes: “Lo más importante es entender que el problema de la protección de datos personales no termina con la promulgación de un marco regulatorio. Cuando hablamos de datos personales hay que tener en cuenta que vivimos en una sociedad profundamente marcada por los desarrollos tecnológicos constantes, y por una economía cada vez más dependiente de datos (el concepto de “data economy”). La combinación de estos dos factores exigirá un estado de vigilancia, casi constante, no solo por parte de la sociedad civil, sino también de las administraciones públicas.
Dado este escenario, como principales desafíos destacamos el volumen creciente de datos generados por los ciudadanos (un volumen que siempre tiende a aumentar) que provoca que sea cada vez más difícil su gestión tanto por las empresas como por el propio titular de los datos (el individuo). Asimismo, nos encontramos con la opacidad de los sistemas de las grandes empresas tecnológicas que hacen que sea muy difícil al ciudadano común entender con claridad cómo están siendo tratados sus datos (y si sus derechos están siendo respetados), y que también dificultan el trabajo de supervisión y control por las agencias reguladoras; o los problemas jurisdiccionales de transferencias internacional de datos”.
Carlos Sáiz: “El gran reto de la protección de datos es que es necesario proteger esa información personal con independencia de que el soporte donde se trate sea verbal, en un papel, o digital en sus diferentes versiones o tecnologías. El desafío es poder implantar las políticas de seguridad adecuadas en un entorno de transformación digital que se ha visto acelerada por la pandemia en todas las organizaciones. Debemos acostumbrarnos y trabajar para analizar de forma correcta los riesgos a los que está expuesta la información y que los datos sean protegidos en aquellas tecnologías y tendencias que ya son una realidad y que tienen cierta complejidad: Cloud, redes sociales, blockchain, reconocimiento facial, IA, edge computing, metaverso, etc”.
¿Cuál creen es el mayor problema con las leyes de privacidad de datos en Iberoamérica?
Cyntia Menezes: “El principal problema no está exactamente en el marco legal, sea cual sea (ningún marco legal es perfecto), sino en la capacidad de las administraciones públicas de gestionar, fiscalizar y aplicar la ley. Especialmente, las administraciones públicas necesitan ir más allá de la función estrictamente burocrática y trabajar para crear un ambiente de igualdad de condiciones entre dos partes cuyo desequilibrio de poder es gigantesco: el ciudadano privado y las big tech. Este debería ser el esfuerzo: igualar el campo de juego entre el pequeño y el grande”.
Carlos Sáiz: “La aprobación de las leyes y el reconocimiento del derecho a la protección de datos es el primer paso, pero hay dos cuestiones que son clave para que exista un respeto efectivo de la privacidad: 1) el establecimiento de una Autoridad de Control fuerte y con los medios adecuados, que tenga capacidad de atender a ciudadanos, proponer guías y buenas prácticas para empresas y administraciones, capacidad de investigación y sancionadora, y conocimiento de los avances tecnológicos que están incorporando a nuestra vida cotidiana, y 2) generar una cultura de privacidad a todos los niveles, tanto a los ciudadanos para ser conscientes de sus derechos, como de directivos, trabajadores de compañías y funcionarios para concienciar de que es necesario aplicar métodos de trabajo y tratamiento de datos de manera diligente y respetando la normativa. Es necesario que las organizaciones cuenten con profesionales cualificados y tecnología adecuada para poner en marcha un sistema de cumplimiento de privacidad y donde los procesos de tratamientos de datos estén controlados conforme a los criterios de la ley”.
La llegada del metaverso y el auge de las fintech trae consigo una serie de desafíos para la privacidad que puede implicar la creación de nuevas leyes de protección de datos o la adaptación de las ya existentes. ¿Cómo ven el panorama?
Cyntia Menezes: “Cómo hemos dicho anteriormente, con la entrada en vigor del RGPD el panorama regulatorio actual ya es de cambios. Las nuevas tecnologías y los nuevos modelos de negocio digital deberán adaptarse a las normativas vigentes y desarrollar sus procesos respecto a dichas normativas. Es de esperar, obviamente, que estos nuevos modelos de negocio y futuros avances tecnológicos presenten desafíos dentro del marco regulatorio existente, pero, más que cambios legislativos, lo que se empezará a ver con más frecuencia serán las actuaciones de las agencias reguladoras/administraciones públicas en la interpretación y aplicación del marco existente, además de decisiones judiciales. Específicamente en materia de protección de datos, esto es lo que se espera ver en el medio plazo.
Ahora bien, todas estas nuevas tecnologías y la creciente concentración de poder en las big techs están conduciendo al desarrollo de un marco normativo de tecnología que, una vez vigente, podrá cambiar significativamente el panorama actual. El Parlamento Europeo, por ejemplo, tiene actualmente en discusión una serie de propuestas de Reglamentos sobre Inteligencia Artificial, Servicios Digitales y Mercado Digitales – por citar algunas- que pretende adoptar en los próximos dos años y que seguramente conllevarán a cambios legislativos alrededor del mundo, tal y como pasó con el RGPD. Entendemos que, en este momento, estos son los cambios legislativos más significativos que podemos esperar”.
Carlos Sáiz: “La protección de datos es muy transversal y al final, muchos de los procesos de las organizaciones, tanto públicas como privadas, implican el tratamiento de datos. Yo creo que no vamos a un modelo de normativas específicas que regulen parcial o sectorialmente los asuntos de protección de datos, sino a normas generales que implanten los valores principales de protección de datos y, posteriormente, a un modelo de autorregulación sectorial a través de buenas prácticas y estándares donde se detallen medidas más concretas que sean de aplicación a tratamientos concretos (financiero, telecomunicaciones, utilities, etc.) Algunas de esas herramientas son los Códigos de Conducta o las llamadas “Normas Corporativas Vinculantes” para grupos empresariales con transferencias internacionales de datos”.
¿Qué deben tener en cuenta, en materia de protección de datos, aquellas empresas que quieran trabajar en el metaverso?
Cyntia Menezes: “Principalmente, deben entender que el metaverso no es un espacio “desregulado”, o no sometido a ninguna jurisdicción. Por más sofisticado que sea el sistema, sigue siendo un espacio de relación entre personas, sujeto por lo tanto a las reglas y leyes aplicables a todo el ambiente digital. Especialmente, las empresas deben emprender esfuerzos para asegurar el respeto a los derechos y libertades de los individuos, informándoles de manera clara y sencilla sobre sus derechos y deberes y sobre reglas internas para la utilización del sistema. También deben implementar procesos eficientes de atención al usuario y asegurar un ambiente tecnológicamente seguro, protegiendo con especial atención a los menores y grupos vulnerables”.
Carlos Sáiz: “El metaverso es un nuevo escenario digital donde el usuario tendrá una experiencia inmersiva cuya acción generará multitud de nuevos datos para las compañías que gestionen ese metaverso (porque habrá muchos) y para las compañías que vendan productos y/o servicios en el metaverso (tiendas digitales).
Las empresas que trabajen en el metaverso deberán: a) realizar previamente a su puesta en marcha un análisis de riesgos y una evaluación de impacto que su servicio o producto vaya a implicar en protección de datos, b) tener claro la base legitimadora del tratamiento de datos, diseñar las políticas y procedimientos oportunos y solicitar de forma clara los consentimientos adecuados de los clientes, debiendo gestionar perfectamente su trazabilidad, c) realizar el tratamiento de datos con fines comerciales de forma correcta y alineada a los principios de la ley, d) implantar las medidas de seguridad necesarias para evitar fugas de datos, e) firmar los acuerdos de confidencialidad oportunos con terceros con quien vaya a intervenir en el tratamiento de datos de sus clientes, y f) realizar auditorías y labores de supervisión para comprobar que todos los tratamientos de datos se están realizando conforme a sus políticas, procedimientos y la propia norma”.