por Paola Galvez.
Abogada de Niubox
El 28 de enero se celebra el día internacional de la protección de datos personales replicando la fecha en la que se suscribió el Convenio 108 del Consejo de Europa en 1981. Dicho Convenio fue el primero que regula el tratamiento automatizado de datos de carácter personal y tiene como objeto central que cada nación parte aplique sus disposiciones dentro de su jurisdicción. Esta celebración se ha universalizado gracias al gradual reconocimiento de este derecho en el mundo, situación que no es ajena a nuestro país.
Dos son los sistemas de protección de datos personales predominantes en el mundo. El modelo de Estados Unidos que promueve la autorregulación como regla general salvo regulación específica por sectores donde el control suele ser posterior (“ex post”). El otro modelo es el europeo que prioriza una regulación general y transversal que propone un control anterior en el tratamiento de los datos personales (“ex ante”) a cargo de una autoridad gubernamental. Dicho modelo ha sido recientemente reforzado con la entrada en vigencia en mayo del año pasado del Reglamento Europeo de Protección de Datos Personales también conocido como GDPR por sus siglas en inglés. En el Perú se ha adoptado un marco normativo de corte muy similar al modelo europeo.
Ambos modelos se presentan como antagónicos; mientras el modelo estadounidense promueve el libre flujo de la información y el resguardo de las libertades informativas, el europeo tiene una orientación más proteccionista empoderando al ciudadano en el control de sus datos personales. ¿Existe un modelo complementario que garantice de forma equilibrada la protección de los datos personales de los ciudadanos y a la vez proteja el libre flujo de información? Creemos que en el momento digital en el que vivimos dicho equilibrio resulta necesario para el desarrollo de negocios disruptivos y el fortalecimiento de la competitividad digitaldel país.
Si bien no existen modelos perfectos existe un modelo complementario a los modelos estadounidense y europeo. Se trata del Sistema de Reglas de Privacidad Transfronteriza del Foro de Cooperación Económica Asia Pacífico – APEC (conocido como CBPR por sus siglas en inglés), uno de los instrumentos que promueve el Marco de Privacidad de APEC, el cual se aprobó en el 2004 con el fin de adoptar principios de protección a la privacidad yal mismo tiempo evitar la creación de barreras para los flujos de información.
En esa línea, el CBPR contiene un código de conducta de privacidad voluntario dirigido a las organizaciones de las economías miembro participantes que operan en la región de APEC y que aprueben una evaluación llevada a cabo por agentes certificados por la APEC basada en los ocho principios de privacidad desarrollados en el Marco de Privacidad de APEC: información sobre el tratamiento, limitación de la recopilación, uso de los datos personales, libre elección, integridad, salvaguardas de seguridad, acceso y corrección, y responsabilidad.
Actualmente más de 15 empresas han aprobado satisfactoriamente la mencionada evaluación y están certificadas bajo este sistema entre las que se encuentran Apple, Cisco, HP e IBM. Asimismo, se han adherido al sistema CBPR las siguientes economías: Estados Unidos, México, Canadá, Japón, Corea del Sur, Singapur, Taiwán y Australia.
Los requisitos de esta evaluación son públicos y después de realizar una comparación entre los mismos y los estándares de adecuado tratamiento de los datos personales establecidos en la normativa de protección de datos personales peruana, la cual comprende la Ley No. 29733, Ley de Protección de Datos Personales, y su reglamento aprobado por el Decreto Supremo No. 003-2013-JUS, podemos concluir que los cuestionarios de la evaluación están alineados con las estipulaciones establecidas en la normativa local, incluso en algunas secciones la evaluación del sistema CBPR es más exigente, por ejemplo, las organizaciones deben contar con mecanismos que verifiquen y aseguren que la información personal almacenada se encuentra actualizada, o la implementación de medidas que detecten, prevengan y respondan ataques de seguridad.
Incluso, el texto final del nuevo tratado comercial T-MEC, suscrito el 30 de noviembre de 2018 entre México, Estados Unidos y Canadá, que aún debe ser ratificado por los Congresos de los tres países para entrar en vigor, incluye un capítulo de comercio digital en el que se prohíbe la restricción del flujo transfronterizo de datos personales entre los países parte y reconocen al sistema CBPR como un mecanismo válido para facilitar el libre flujo de datos y la protección de los mismos, siendo un hito importante porque significa que dicho sistema puede tener impacto (sin desplazarla) en las normas de protección de datos personales locales.
En otras palabras, el Sistema CBPR desarrollado a partir del Marco de Privacidad de APEC se constituye como un modelo de autorregulación adecuado que combina la rigurosidad de principios recogidos en los marcos normativos de protección de datos personales con los flujos transfronterizos de datos entre las economías de APEC. Valdría la pena que las autoridades de protección de datos personales inicien una evaluación en relación a la conveniencia de la adhesión de nuestro país a dicho sistema.
Niubox es una firma de servicios legales, consultoría en asuntos públicos y regulatorios e innovación legal. Conoce nuestros servicios en Perú y Ecuador: tecnología y negocios digitales, innovación legal y legaltech, protección de datos personales y ciberseguridad, asuntos públicos y regulatorios, transformación digital, digitraining, telecomunicaciones y competencia, consumidor y propiedad intelectual.