Estándares de protección de datos personales para los Estados Iberoamericanos

Transcripción

1 Estándares de protección de datos personales para los Estados Iberoamericanos

2 Red Iberoamericana de Protección de Datos La Red Iberoamericana de Protección de Datos (Red Iberoamericana) se constituye en un foro permanente de intercambio de información abierto a todos los países miembros de la Comunidad Iberoamericana, que permite el involucramiento de diversos actores, tanto del sector público como privado, con la finalidad de promover los desarrollos normativos necesarios para garantizar una regulación avanzada del derecho a la protección de datos personales en un contexto democrático y global.

3 Punto de partida de los Estándares Iberoamericanos En el XIV Encuentro Iberoamericano de Protección de Datos, celebrado el 8 de junio de 2016 en Santa Marta, Colombia, se acordó la elaboración de unos estándares iberoamericanos que sirvieran de referencia para aquellos países que aún no cuentan con legislación propia, o bien, para reforzar el marco normativo de aquéllos que ya disponen de ella, a cargo del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), en ese entonces en su calidad de presidente de la Red. Responde a las necesidades y exigencias nacionales e internacionales que demanda el derecho a la protección de datos personales Incluye las mejores prácticas nacionales e internacion ales En la XXV Cumbre Iberoamericana de Jefes de Estado y de Gobierno, se solicitó a la Red Iberoamericana elaborar una propuesta para la cooperación efectiva relacionada con la protección de datos personales y privacidad, celebrada el 28 y 29 de octubre de 2016 en Cartagena de Indias, Colombia.

4 Fechas importantes para la concreción de los Estándares Iberoamericanos (1/1) En octubre de 2016, el INAI redactó el proyecto de Estándares de Protección de Datos Personales para los Estados Iberoamericanos (proyecto de Estándares Iberoamericanos). En noviembre de 2016, el INAI presentó a los miembros presentes de la Red Iberoamericana el proyecto de Estándares Iberoamericanos, en cumplimiento a los acuerdos adoptados en el XIV Encuentro Iberoamericano de Protección de Datos, en el Seminario "Europa-Iberoamérica: una visión común de la Protección de Datos. El nuevo Marco Europeo y su incidencia Responde a las necesidades y exigencias nacionales e internacionales que demanda el derecho a la protección de datos personales en Iberoamérica. Incluye las mejores prácticas nacionales e internacion ales Durante diciembre de 2016, el proyecto de Estándares Iberoamericanos estuvo abierto para comentarios y observaciones.

5 Fechas importantes para la concreción de los Estándares Iberoamericanos (2/2) En mayo 2017, el grupo técnico que asistió al Taller sobre el nuevo marco normativo para la protección de los datos personales: los estándares iberoamericanos realizó un ejercicio de revisión del proyecto estándar por estándar, en aras de contar con un documento consensuado. Incluye las mejores prácticas nacionales e internacion ales Responde a las Junio necesidades 2017, ylos miembros de la Red Iberoamericana exigencias nacionales e aprobaron internacionales por que unanimidad los Estándares de Protección demanda el derecho a dela protección DatosdePersonales datos para los Estados Iberoamericanos personales (Estándares Iberoamericanos).

6 Ejes rectores para la elaboración y definición de los Estándares Iberoamericanos (1/2) Tomar como referencia aquellos instrumentos internacionales y emblemáticos en materia de protección de datos personales como las Directrices de la OCDE (1980); el Convenio 108 y su Protocolo (1981); la Resolución 45/94 de la ONU (1990); la Directiva 95/46 (1995); el Marco de Privacidad de APEC (1999); las Directrices para la Armonización de la Protección de Datos en la Comunidad Iberoamericana (Directrices de Lisboa 2007); los Estándares internacionales sobre protección de datos personales y privacidad (Estándares de Madrid 2009) y el Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (2016). Responderalasnecesidadesyexigenciasnacionaleseinternacionalesquedemandael Incluye a mejores derecho necesidades a la protección y de datos personales, en una sociedad donde las tecnologías de prácticas laexigencias información nacionales y del e conocimiento internacionales que nacionales cobran cada e vez mayor relevancia en todos los quehaceres de la vida cotidiana. demanda el derecho a internacion la protección de datos ales personales

7 Ejes rectores entorno a la elaboración y definición de los Estándares Iberoamericanos (2/2) Incluir las mejores prácticas nacionales e internacionales en la materia. Proponer una serie de estándares tan flexibles que faciliten su adopción entre los Estados Iberoamericanos, sin contravenir su derecho interno, de tal manera que los Estándares Iberoamericanos sean una realidad viva y viable en la región iberoamericana en beneficio de los titulares. Garantizar un nivel adecuado de protección de los datos personales en la región iberoamericana, con la finalidad de no establecer barreras a la libre circulación de éstos en los Estados Iberoamericanos y, en consecuencia, favorecer las actividades comerciales entre la región, así como con otras regiones económicas. Responde a las necesidades y exigencias nacionales e internacionales que demanda el derecho a la protección de datos personales Incluye las mejores prácticas nacionales e internacion ales

8 Objeto de los Estándares Iberoamericanos Derivado de todo el trabajo de colaboración y participación de los miembros de la Red Iberoamericana, los Estándares Iberoamericanos se constituyen en un conjunto de directrices orientadoras, no vinculantes, que: Contribuyan a la emisión de iniciativas regulatorias de protección de datos personales en la región iberoamericana de aquellos países que aún no cuentan con estos ordenamientos, o Responde a las necesidades y exigencias nacionales e internacionales que demanda el derecho a la protección de datos personales Incluye las mejores prácticas nacionales e internacion ales Sirvan como referente para la modernización y actualización de las legislaciones existentes.

9 Objetivos específicos de los Estándares Iberoamericanos (1/2) Establecer un conjunto de principios y derechos comunes de protección de datos personales que los Estados Iberoamericanos puedan adoptar y desarrollar en su legislación nacional, con la finalidad de contar con reglas homogéneas en la región. Elevar el nivel de protección de las personas físicas en lo que respecta al tratamiento de sus datos personales, así como entre los Estados Iberoamericanos. Responde a las necesidades y exigencias nacionales e internacionales que demanda el derecho a la protección de datos personales Incluye las mejores prácticas nacionales e internacion ales

10 Objetivos específicos de los Estándares Iberoamericanos (2/2) Garantizar el efectivo ejercicio y tutela del derecho a la protección de datos personales de cualquier persona física en los Estados Iberoamericanos, mediante el establecimiento de reglas comunes que aseguren el debido tratamiento de sus datos personales. Facilitar el flujo de los datos personales entre los Estados Iberoamericanos y más allá de sus fronteras, con la finalidad de coadyuvar al crecimiento económico y social de la región. Responde a las necesidades y exigencias nacionales e internacionales que demanda el derecho a la protección de datos personales Incluye las mejores prácticas nacionales e internacion ales Favorecer la cooperación internacional entre las autoridades de control de los Estados Iberoamericanos, con otras autoridades de control no pertenecientes a la región y autoridades y organismos internacionales en la materia.

11 Contenido temático de los Estándares Iberoamericanos Responde a las necesidades y exigencias nacionales e internacionales que demanda el derecho a la protección de datos personales Incluye las mejores prácticas nacionales e internacion ales

12 Innovaciones (1/4) La aplicación de las reglas previstas en los Estándares Iberoamericanos para aquellos responsables que no se encuentren establecidos en territorio iberoamericano pero ofrezcan bienes y servicios a los residentes de la región, o bien, realicen actividades dirigidas a monitorear el comportamiento de éstos. El señalamiento de que cualquier limitación o restricción al derecho fundamental a la protección de datos personales debe estar reconocida de manera expresa en ley, en el marco de una sociedad democrática. El reconocimiento del interés superior del menor como eje rector del tratamiento de datos personales de niñas, niños y adolescentes.

13 Innovaciones (2/4) El reconocimiento del principio de legitimación como la piedra angular que habilita cualquier tratamiento de datos personales. El reconocimiento de un modelo multifactorial que tenga por objeto determinar las medidas de seguridad de carácter administrativo, físico y técnico aplicables a los datos personales, basado en el riesgo, así como en la implementación de acciones que permitan el monitoreo, revisión, mantenimiento y mejora continua de la seguridad de los datos personales. La incorporación de temas de seguridad en materia de vulneraciones, de acuerdo con los actuales estándares nacionales e internacionales que rigen la materia. El reconocimiento y desarrollo del derecho que tiene el titular a la portabilidad de sus datos personales que se encuentran en un formato estructurado y comúnmente utilizado, con la finalidad de que pueda seguir utilizándolos.

14 Innovaciones (3/4) El reconocimiento del derecho que tiene el titular a no ser objeto de decisiones individuales automatizadas. El reconocimiento del ejercicio de derechos ARCO y portabilidad de personas físicas vinculados a fallecidos. La definición de un régimen de transferencias internacionales, bajo una serie de supuestos habilitantes, el cual facilite el intercambio de información personal entre los Estados Iberoamericanos, así como en un contexto global. El reconocimiento de acciones preventivas que coadyuven a robustecer los controles de protección de datos personales implementados, como son la adopción de esquemas de autorregulación; la designación de un oficial de protección de datos personales; la aplicación de evaluaciones de impacto a la protección de datos personales, la privacidad por diseño y la privacidad por defecto.

15 Innovaciones (4/4) El establecimiento de la naturaleza jurídica y potestades que debe tener la autoridad de control de cada Estado Iberoamericano, para garantizar su plena independencia en el desempeño de sus funciones y en el ejercicio pleno de sus poderes. La definición de reglas orientadas a la cooperación internacional entre los Estados de la región iberoamericana y con otras regiones, con la convicción de hacer efectivo el ejercicio y tutela del derecho a la protección de datos personales más allá de las fronteras donde se encuentre el titular.

16 Principio de legitimación (1/2) Una de las innovaciones de los Estándares Iberoamericano es el reconocimiento del principio de legitimación que se constituye en la piedra angular que habilita cualquier tratamiento de datos personales basado en diferentes causales como son: El consentimiento del titular. El cumplimiento de una disposición legal, orden judicial o resolución o mandato fundado y motivado de autoridad pública competente. El ejercicio de facultades propias de las autoridades públicas. El reconocimiento o defensa de los derechos del titular ante una autoridad pública. La ejecución de un contrato o precontrato en el que el titular sea parte. El cumplimiento de una obligación legal aplicable al responsable. La protección de intereses vitales del titular o de otra persona física. El interés legítimo del responsable. Por razones de interés público. Sin duda esta nueva fórmula rompe el paradigma que se ha tenido por años de que el consentimiento del titular, entendido como la manifestación de su voluntad, es la piedra angular de este derecho fundamental, cuestión que en fechas recientes se ha visto superado con mayor frecuencia a raíz de ciertos tratamientos de datos personales que surgen día con día de la mano del desarrollo vertiginoso de las tecnologías de la información, como podría ser big data.

17 Principio de legitimación (2/2) Es por ello, que se considera que los instrumentos internacionales y las legislaciones nacionales podrían construir una nueva concepción del derecho a la protección de datos personales que no necesariamente se base en el consentimiento del titular como la única causa para habilitar el tratamiento de los datos personales, sino reconocer otros ejes habilitantes donde el consentimiento sea uno de esos ejes y no el único, cuestión que en el horizonte europeo ya es una realidad en el nuevo Reglamento de Datos Personales y en la región iberoamericana a través de los Estándares Iberoamericanos. Al amparo de esta nueva fórmula, es importante destacar la importancia de otros principios que garantizan ese poder de disposición y control que el titular tiene sobre sus datos personales como son de transparencia, responsabilidad y seguridad y la privacidad por diseño y defecto. Lo anterior, considerando que existen nuevas realidades tecnológicas que obligan a replantear el esquema tradicional y con el ánimo de que el derecho debe ir adaptándose a la realidad y no a la inversa, ya que se correría el riesgo de que la fórmula tradicional, es decir reconocer al consentimiento como la única causa de legitimación de cualquier tratamiento de datos personales, se convierta en letra muerta.

18 Seguridad (1/2) Los Estándares Iberoamericanos establecen un modelo multifactorial para la determinación y mantenimiento de las medidas de seguridad basado en: El riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión. El estado de la técnica. Los costos de aplicación. La naturaleza de los datos personales tratados, en especial si se trata de datos personales sensibles. El alcance, contexto y las finalidades del tratamiento. Las transferencias internacionales de datos personales que se realicen o pretendan realizar. El número de titulares. Las posibles consecuencias que se derivarían de una vulneración para los titulares. Las vulneraciones previas ocurridas en el tratamiento de datos personales. Cabe destacar, que este modelo, al ser flexible, permite que las medidas y controles de seguridad se vayan adaptando a las realidades de cada tratamiento de datos personales, atendiendo a las modificaciones que pudieran tener en el tiempo.

19 Seguridad (2/2) Los Estándares Iberoamericanos se distinguen por prever la obligación de notificar a los titulares afectados y a la autoridad de control las vulneraciones de seguridad (daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales aun cuando ocurra de manera accidental) ocurridas en cualquier fase del tratamiento de los datos personales. Asimismo, obliga al responsable a documentar este tipo de vulneraciones, identificando, de manera enunciativa más no limitativa, la fecha en que ocurrió; el motivo de la vulneración; los hechos relacionados con ella y sus efectos y las medidas correctivas implementadas de forma inmediata y definitiva, la cual estará a disposición de la autoridad de control. Lo anterior, dejando a salvo las actuaciones e intervención de la autoridad de control en lo que se refiere a los procedimientos, forma y condiciones de dicha intervención, con el propósito del salvaguardar los intereses, derechos y libertades de los titulares afectados.

20 Portabilidad Los Estándares Internacionales reconocen el derecho que tiene cualquier titular a solicitar: Una copia de los datos personales en un formato electrónico, estructurado, de uso común y lectura mecánica, que permita su reutilización, o La transmisión de sus datos personales en un formato electrónico, estructurado, de uso común y lectura mecánica, a otro responsable. El derecho a la portabilidad de los datos personales no resultará procedente cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el responsable con base en los datos personales proporcionados por el titular, como es el caso de los datos personales que hubieren sido sometidos a un proceso de personalización, recomendación, categorización o creación de perfiles.

21 Los Estándares Iberoamericanos prevén la posibilidad de que la legislación nacional de cada Estado reconozca el derecho que tienen las personas físicas vinculadas a fallecidos o designadas por éstos para ejercer los derechos ARCO y de portabilidad respecto a los datos personales de fallecidos que les conciernan. Fallecidos

22 Transferencias internacionales de datos personales (1/2) Considerando que el desarrollo de las nuevas tecnologías de la información y las comunicaciones así como los servicios desarrollados en el contexto de la economía digital están contribuyendo al crecimiento continuado de los flujos transfronterizos de datos personales en el marco de una sociedad global, fue ineludible la obligación de establecer en los Estándares Iberoamericanos una base mínima que facilite y permita a responsables y encargados, en su calidad de exportadores, la realización de transferencias internacionales de datos personales con pleno respeto a los derechos de los titulares a través de la adopción de cualquiera de los siguientes esquemas o fórmulas: Nivel de adecuación de un país: el país, parte de su territorio, sector, actividad u organización internacional destinatario de los datos personales hubiere sido reconocido con un nivel adecuado de protección de datos personales por parte del país transferente, o bien, el país destinatario o varios sectores del mismo acrediten condiciones mínimas y suficientes para garantizar un nivel de protección de datos personales adecuado. Garantías suficientes: el exportador ofrezca garantías suficientes del tratamiento de los datos personales en el país destinatario, y éste, a su vez, acredite el cumplimiento de las condiciones mínimas y suficientes establecidas en la legislación nacional de cada Estado Iberoamericano aplicable en la materia.

23 Transferencias internacionales de datos personales (2/2) Cláusulas contractuales: el exportador y destinatario suscriban cláusulas contractuales o cualquier otro instrumento jurídico que ofrezca garantías suficientes y que permita demostrar el alcance del tratamiento de los datos personales, las obligaciones y responsabilidades asumidas por las partes y los derechos de los titulares. Esquemas de autorregulación: el exportador y destinatario adopten un esquema de autorregulación vinculante o un mecanismo de certificación aprobado, siempre y cuando éste sea acorde con las disposiciones previstas en la legislación nacional del Estado Iberoamericano aplicable en la materia, que está obligado a observar el exportador. Autorización de la autoridad de control: la autoridad de control del Estado Iberoamericano del país del exportador autorice la transferencia, en términos de la legislación nacional que resulte aplicable en la materia.

24 Autoridad de Control Los Estándares Iberoamericanos establecen una serie de reglas a partir de la imperiosa necesidad de que cada Estado Iberoamericano cuente con una autoridad de control independiente e imparcial en sus potestades cuyas decisiones únicamente puedan ser recurribles por el control judicial, ajena a toda influencia externa, con facultades de supervisión e investigación en materia de protección de datos personales y encargada de vigilar el cumplimiento de la legislación nacional en la materia, la cual esté dotada de recursos humanos y materiales suficientes para garantizar el ejercicio de sus poderes y el desempeño efectivo de sus funciones.

25 Cooperación internacional Los Estándares Iberoamericanos reconocen la importancia de establecer una base mínima para la cooperación internacional entre las autoridades de control latinoamericanas y entre éstas y las de terceros países, con la finalidad de favorecer y facilitar la aplicación de la legislación en la materia y una protección efectiva de los titulares, la cual tenga por objeto: El establecimiento de mecanismos que permitan reforzar la asistencia y cooperación internacional en la aplicación de las respectivas legislaciones nacionales en la materia. La asistencia entre las autoridades de control a través de la notificación y remisión de reclamaciones, la asistencia en investigaciones y el intercambio de información. La adopción de mecanismos orientados al conocimiento e intercambio de mejores prácticas y experiencias en materia de protección de datos personales, inclusive en materia de conflictos de jurisdicción con terceros países.

26 Hacia dónde vamos? Los Estándares Iberoamericanos podrían ser la piedra angular que: Concrete y adopte un instrumento de carácter vinculante orientado a establecer un estándar único regional o internacional. Impulse, desarrolle e implemente mecanismos específicos que faciliten la cooperación internacional entre las autoridades de control latinoamericanas y entre éstas y las de terceros países.