Los principio sobre la privacidad y protección de datos personales del Comité Jurídico Interamericano fueron actualizados y aprobados el pasado 9 de abril de 2021, la finalidad de éstos es que sirvan como una orientación para los países que están en desarrollo o actualizando sus legislaciones en materia de protección de datos personales, con el objetivo de crear un modelo regional en la materia.
La actualización de los principios fue necesaria considerando que diversos instrumentos internacionales surgieron o fueron actualizados, como es el caso de:
- Aplicación del Reglamento General de Protección de Datos Personales el 25 de mayo de 2018.
- Abierto a firma el Protocolo por el que enmienda el Convenio para la protección de las personas respecto al procesamiento automático de datos personales del Consejo de Europa (Convenio 108 plus), el 10 de octubre de 2018.
- Aprobación por la Red Iberoamericana de Protección de Datos (RIPD), de los Estándares de Protección de Datos Personales para los Estados Iberoamericanos el 20 de junio de 2017.
- Aprobación de la actualización del Marco de Privacidad de Foro de Cooperación Económica de Asia Pacífico (APEC) en noviembre de 2016.
El documento publicado por el Comité Jurídico Interamericano de los Principios actualizados sobre la privacidad y la protección de datos personales, cuenta con dos partes la primera describe en forma de resumen los 13 principios, en la segunda parte se pueden encontrar las anotaciones que describen a detalle cada uno de los 13 principios presentados previamente, adicionalmente se pueden encontrar una introducción, el ámbito de aplicación de los principios, conceptos como: privacidad, flujo de información y definiciones de algunos términos como anonimización, datos personales, datos personales sensibles, encargado de los datos, responsable de los datos, titular de los datos y tratamiento de datos personales. En la tercera parte de este documento se presentan una selección de los textos de instrumentos internacionales que serán de utilidad para los legisladores y otras autoridades gubernamentales.
A continuación, se citan de forma textual los 13 principios sobre la privacidad y protección de datos personales del Comité Jurídico Interamericano actualizados y te comparto una infografía que los ilustra:
- Finalidades Legítimas y Lealtad: Los datos personales deberían ser recopilados solamente para finalidades legítimas y por medios leales y legítimos.
- Transparencia y Consentimiento: Antes o en el momento en que se recopilen, se deberían especificar la identidad y datos de contacto del responsable de los datos, las finalidades específicas para las cuales se tratarán los datos personales, el fundamento jurídico que legitima su tratamiento, los destinatarios o categorías de destinatarios a los cuales los datos personales les serán comunicados, así como la información a ser transmitida y los derechos del titular en relación con los datos personales a ser recopilados. Cuando el tratamiento se base en el consentimiento, los datos personales solamente deberían ser recopilados con el consentimiento previo, inequívoco, libre e informado de la persona a que se refieran.
- Pertinencia y Necesidad: Los datos personales deberían ser únicamente los que resulten adecuados, pertinentes, y limitados al mínimo necesario para las finalidades específicas de su recopilación y tratamiento ulterior.
- Tratamiento y Conservación Limitados: Los datos personales deberían ser tratados y conservados solamente de manera legítima no incompatible con las finalidades para las cuales se recopilaron. Su conservación no debería exceder del tiempo necesario para cumplir dichas finalidades y de conformidad con la legislación nacional correspondiente.
- Confidencialidad: Los datos personales no deberían divulgarse, ponerse a disposición de terceros, ni emplearse para otras finalidades que no sean aquellas para las cuales se recopilaron, excepto con el consentimiento de la persona en cuestión o bajo autoridad de la ley.
- Seguridad de los Datos: La confidencialidad, integridad y disponibilidad de los datos personales deberían ser protegidas mediante salvaguardias de seguridad técnicas, administrativas u organizacionales razonables y adecuadas contra tratamientos no autorizados o ilegítimos, incluyendo el acceso, pérdida, destrucción, daños o divulgación, aún cuando éstos ocurran de manera accidental. Dichas salvaguardias deberían ser objeto de auditoría y actualización permanente.
- Exactitud de los Datos: Los datos personales deberían mantenerse exactos, completos y actualizados hasta donde sea necesario para las finalidades de su tratamiento, de tal manera que no se altere su veracidad.
- Acceso, Rectificación, Cancelación, Oposición y Portabilidad: Se debería disponer de métodos razonables, ágiles, sencillos y eficaces para permitir que aquellas personas cuyos datos personales han sido recopilados puedan solicitar el acceso, rectificación y cancelación de sus datos, así como el derecho a oponerse a su tratamiento y, en lo aplicable, el derecho a la portabilidad de esos datos personales. Como regla general, el ejercicio de esos derechos debería ser gratuito. En caso de que fuera necesario restringir los alcances de estos derechos, las bases específicas de cualquier restricción deberían especificarse en la legislación nacional y estar en conformidad con los estándares internacionales aplicables.
- Datos Personales Sensibles: Algunos tipos de datos personales, teniendo en cuenta su sensibilidad en contextos particulares, son especialmente susceptibles de causar daños considerables a las personas si se hace mal uso de ellos. Las categorías de estos datos y el alcance de su protección deberían indicarse claramente en la legislación y normativas nacionales. Los responsables de los datos deberían adoptar medidas de privacidad y de seguridad reforzadas que sean acordes con la sensibilidad de los datos y su capacidad de hacer daño a los titulares de los datos.
- Responsabilidad: Los responsables y encargados del tratamiento de datos deberían adoptar e implementar medidas técnicas y organizacionales que sean apropiadas y efectivas para asegurar y poder demostrar que el tratamiento se realiza en conformidad con estos Principios. Dichas medidas deberían ser auditadas y actualizadas periódicamente. El responsable o encargado del tratamiento y, en lo aplicable, sus representantes, deberían cooperar, a petición, con las autoridades de protección de datos personales en el ejercicio de sus tareas.
- Flujo Transfronterizo de Datos y Responsabilidad: Reconociendo su valor para el desarrollo económico y social, los Estados Miembros deberían cooperar entre sí para facilitar el flujo transfronterizo de datos personales a otros Estados cuando éstos confieran un nivel adecuado de protección de los datos de conformidad con estos Principios. Asimismo, los Estados Miembros deberían cooperar en la creación de mecanismos y procedimientos que aseguren que los responsables y encargados del tratamiento de datos que operen en más de una jurisdicción, o los transmitan a una jurisdicción distinta de la suya, puedan garantizar y ser efectivamente hechos responsables por el cumplimiento de estos Principios.
- Excepciones: Cualquier excepción a alguno de estos Principios debería estar prevista de manera expresa y
específica en la legislación nacional, ser puesta en conocimiento del público y limitarse únicamente a
motivos relacionados con la soberanía nacional, la seguridad nacional, la seguridad pública, la
protección de la salud pública, el combate a la criminalidad, el cumplimiento de normativas u otras
prerrogativas de orden público, o el interés público. - Autoridades De Protección De Datos: Los Estados Miembros deberían establecer órganos de supervisión independientes, dotados de recursos suficientes, de conformidad con la estructura constitucional, organizacional y administrativa de cada Estado, para monitorear y promover la protección de datos personales de conformidad con estos Principios. Los Estados Miembros deberían promover la cooperación entre tales órganos.
Para mayor información sobre este tema te invito a ver el siguiente video del evento “Los principios actualizados sobre la privacidad y la protección de datos personales: Hacia un modelo regional”
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.