Diseño de un necesario marco legal para la protección de datos personales en Paraguay
Actualmente Paraguay es uno de los pocos países en el mundo occidental y en la región que aún no ha sancionado una ley especial para la protección de los datos personales.
Como antecedentes legislativos nacionales que han abordado esta temática podemos mencionar la Ley 1682/2001 “Que reglamenta la información de carácter privado” y la más reciente Ley 6534/2020 que ha derogado la ley antes mencionada y que es simplemente una versión mejorada de la misma pero con un alcance limitado a la protección de datos personales crediticios.
En algunos casos la vigencia de las leyes de protección de datos personales en nuestra región ya tiene más de 10 años, tales como en los siguientes países:
Por lo general estas leyes han sido modeladas en base a la legislación de la comunidad europea en donde inicialmente fue aprobada la Directiva 95/46/CE y más recientemente el Reglamento General de Protección de Datos Personales (RGPD) de cumplimiento obligatorio desde el año 2018.
En nuestro país se encuentra en estudio un anteproyecto de ley de protección de datos personales en cuya redacción y revisión colaboran varias organizaciones de la sociedad civil.
A continuación comentaremos sobre algunas de los aspectos relevantes que configurarían el nuevo marco legal que se pretende poner en vigencia.
En primer lugar debemos mencionar que esta ley especial tendría por objeto la protección integral de los datos personales de las personas físicas.
Se adopta el criterio rector de que se requiere el consentimiento del titular de los datos para que el responsable y/o el encargado pueda realizar el tratamiento de los mismos, sean estos datos personales o datos personales sensibles, debiendo tal consentimiento ser expreso e inequívoco; aunque también se reconocerían determinadas excepciones a esta regla.
La ley ampararía tanto los datos personales como los datos personales sensibles, acogiendo esta ya tradicional diferenciación pero ampliando los conceptos, ya que por ejemplo, los datos personales incluyen aquellos datos que sirven para identificar a las personas por uno o varios elementos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social. Por su parte, entre los datos personales sensibles se incluyen aquellos datos biométricos o genéticos vinculados a una persona física.
Entre los derechos reconocidos al titular de los datos personales, podemos mencionar los siguientes:
Derecho de información: consiste en el derecho del titular de recibir información especialmente en cuanto a la finalidad del tratamiento de los datos.
Derecho de acceso: consiste en el derecho del titular de solicitar y obtener sus datos personales.
Derecho de rectificación: consiste en el derecho del titular de obtener la rectificación o corrección de sus datos personales.
Derecho de oposición: consiste en el derecho del titular de oponerse al tratamiento de sus datos personales o en su caso al tratamiento con una finalidad específica para la cual no ha dado su consentimiento.
Derecho de supresión: consiste en el derecho del titular de solicitar la eliminación de sus datos personales de los archivos, sistemas y registros del responsable, aunque limitado a determinados casos.
Derecho de portabilidad: consiste en el derecho del titular de solicitar al responsable la transferencia de sus datos a otro responsable, siempre que sea técnicamente posible.
Estarían obligados al cumplimiento de las disposiciones de la ley tanto las empresas como las personas físicas que sean responsables o encargadas del tratamiento de datos personales, que estén situadas en el país (según lugar del establecimiento) como aquellas que no estén situadas en el país pero cuyas actividades de tratamiento de datos estén relacionadas con la oferta de bienes y servicios dirigidos a los residentes en el país (según la fuente de los datos).
Este anteproyecto, contempla – al igual que la mayoría de las leyes especiales existentes – la diferencia entre el “Responsable del Tratamiento” y el “Encargado del Tratamiento”. El primero sería la persona física o jurídica, autoridad pública u otro organismo que determine los “fines y los medios” del tratamiento; mientras que el segundo sería el que realice el tratamiento propiamente de los datos personales en “representación o mandato” del responsable del tratamiento.
Para comprender mejor esta importante distinción, veamos un par de ejemplos: La empresa u organismo público responsable del tratamiento puede tener un proveedor de servicios de tecnologías de la información (TICs) externo que le presta el servicio de almacenamiento de datos; esta empresa de TI será el encargado de tratamiento. O bien el responsable (por ejemplo un banco) puede facilitar algunos datos personales a una agencia de marketing para campañas de correo electrónico o marketing digital dirigidas; en cuyo caso, esta agencia sería un encargado de tratamiento de datos en lo que respecta a los datos utilizados para la campaña de marketing.
Fundados en el “principio de responsabilidad proactiva”, los responsables deben adoptar ciertas medidas para el cumplimiento de la ley, tales como: medidas de privacidad por diseño y por defecto; procedimientos para atender el ejercicio de los derechos de los titulares de datos personales; implementación de sistemas de administración de riesgos; evaluación de impacto de manera previa al tratamiento de datos cuando tal tratamiento sea probable que entrañe un alto riesgo de afectación a los derechos de los titulares.
Por su parte, los encargados del tratamiento de datos personales tienen sus propias responsabilidades, entre las que citamos las siguientes: limitarse a realizar el tratamiento de datos encomendados por el responsable y para la finalidad pre-establecida; respetar la confidencialidad para el tratamiento de los datos personales; implementar medidas de seguridad para garantizar un nivel de seguridad adecuado al riesgo, que incluya entre otras, la seudonimización y cifrado de datos personales y la capacidad de restaurar la disponibilidad y el acceso a los datos personales en los casos de incidentes físicos y técnicos.
Los responsables y encargados estarán obligados a designar un “Delegado de Protección de Datos” cuando éstos revisten el carácter de autoridad u organismo público y/o cuando se realice el tratamiento de datos sensibles a gran escala. También sería posible designar un delegado de manera voluntaria o en su caso por orden expresa de la autoridad de control. Entre las funciones principales del delegado estarían las de actuar como interlocutor ante la autoridad de control; supervisar el cumplimiento de la ley y de las políticas de protección de datos; informar y asesora a los responsables y encargados.
Se podrá realizar la transferencia internacional de datos personales cuando por un lado el país u organización internacional destinatario de los datos sea reconocido por contar con un nivel adecuado de protección de datos personales y cuando por el otro lado, el exportador ofrezca garantías apropiadas al tratamiento de datos personales. El referido nivel de protección del destinatario será evaluado por la autoridad de control.
Se creará la Agencia de Protección de Datos Personales como un ente de derecho público que actuará con autonomía e independencia como autoridad de control encargada de velar por el cumplimiento de las disposiciones legales en materia de protección de datos.
No caben dudas que los datos personales que son recolectados y almacenados en forma permanente por todo tipo de entidades y organismos públicos y privados que realizan un tratamiento de los mismos con diferentes finalidades, tales como publicitarias, regulatorias, estadísticas, científicas, o hasta políticas, son una mina de oro en la actualidad.
Es por ello que todos – como titulares de datos personales – estamos expuestos a un uso no autorizado o abusivo de nuestros datos personales que vulnere nuestros derechos, por lo que urge que en nuestro país se sancione una ley especial de protección de datos personales.
