Firma Legal especializada en Derecho de las TIC

Firma Legal especializada en Derecho de las TIC Una apuesta por la especialización Panel 3. Cambios fundamentales establecidos en el nuevo Reglamento Europeo y nueva propuesta europea sobre privacidad digital. Dra. Isabel Davara F. de Marcos. Bogotá, Colombia, junio de 2017

Planteamiento www. davara. com. mx

Leyes de protección de datos en Latinoamérica País Argentina Leyes 1. Ley 25. 326 Ley de Protección de los Datos Personales. 2. Reglamento General de Acceso a la Información Pública. 3. Régimen de Libre Acceso a la Información Pública Ambiental. Panorama general Bolivia 1. Ley 1818. Ley del Defensor del Pueblo. 2. Ley 28168. Acceso a la Información del Poder Ejecutivo. Brasil 1. Ley de Derecho de Acceso a la Información y reglamenta el "habeas data". Chile 1. Ley de Transparencia de la Función Pública y de Acceso a la Información de la Administración del Estado. 2. Ley 19628. Ley de Protección de Datos de Carácter Personal. Colombia Ley Estatutaria 1581 de 2012. por la cual se dictan disposiciones generales para la protección de datos personales. Ley 1266. Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. Decreto 1377 por el cual se reglamenta la Ley 1581. Costa Rica 1. Ley de Transparencia y Acceso a la Información Pública. 2. Ley de Protección de la persona frente al tratamiento de sus Datos Personales. 3. Reglamento a la Ley de Protección de la persona frente al tratamiento de sus Datos Personales. Cuba Ecuador 1. Ley Orgánica de Transparencia y Acceso a la Información Pública. El Salvador 1. Ley de Acceso a la Información Pública. 2. Reglamento de la Ley de Acceso a la Información Pública. Guatemala 1. Ley de Acceso a la Información Pública. Haití Honduras México 1. Ley de Transparencia y Acceso a la Información Pública. 1. Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. 2. Ley Federal de Protección de Datos Personales en Posesión de los Particulares, Reglamento de la LFPDPPP y demás normatividad aplicable. Nicaragua 1. Ley de Acceso a la Información Pública. 2. Ley de Protección de Datos Personales Paraguay 1. Ley 187. Ley de Protección de Datos Personales. 2. Ley 1682. que reglamenta la Información de Carácter Privado. 3. Reglamento de la Ley de Protección de Datos Personales. Panamá 1. Ley No. 6 de 2002. Ley de Transparencia y Acceso Información Pública. Perú Puerto Rico República Dominicana Uruguay Venezuela 1. Ley Nº 27806. Ley de Transparencia y Acceso a la Información Pública. 2. Ley Nº 29733. Ley de Protección de Datos Personales. 3. Reglamento de la Ley Nº 29733. 1. Ley Núm. 11 -2005. Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información. 2. Reglamento Núm. 7376. Reglamento sobre Información al Ciudadano sobre Seguridad de Bancos de Información de Puerto Rico. 3. Ley Núm. 39 -2012. Ley de Notificación de Política de Privacidad. 4. Reglamento Núm. 8568. Reglamento para Implantar la Publicación de la Política de Privacidad en el Manejo de Datos Privados y Personales de Ciudadanos, según Recopilados por Comercios en Puerto Rico. 1. Ley 172 -13. Ley Orgánica de Protección de Datos de Carácter Personal de la República Dominicana. 2. Ley General 200 -04 sobre Libre Acceso a la Información Publica. 1. Ley Nº 18. 331 de 2008. Ley de Protección de Datos Personales y Acción Habeas Data. 2. Ley Nº 18. 381 de 2008. Ley de Acceso a la Información Pública. 3. Reglamento de la Ley Nº 18. 331 de 2008. -

Sobre el Reglamento General de Protección de Datos Personales (“RGPD”) www. davara. com. mx

Bases de legitimación para el tratamiento de datos El RGPD conserva el principio recogido en la Directiva 95/46 de que todo tratamiento de datos necesita apoyarse en una base que lo legitime y contiene idénticas bases jurídicas que la Directiva: Consentimiento. Relación contractual. Intereses vitales del interesado o de otras personas. Obligación legal para el responsable. Interés público o ejercicio de poderes públicos. Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos. Reto: En países donde no se han reconocido bases de legitimación para el tratamiento de datos será difícil hacer frente a tratamientos derivados del uso de tecnologías como el big data. www. davara. com. mx

Derechos de los titulares LGPDPPSO: En el artículo 57 reconoce el derecho a la portabilidad de datos cuando se traten datos personales por vía electrónica en un formato estructurado y comúnmente utilizado.

Relaciones Responsable-Encargado 1) Obligaciones específicas para los encargados: En determinadas materias los encargados tienen obligaciones propias que establece el RGPD que pueden ser supervisadas separadamente por las autoridades de protección de datos: -Deben mantener un registro de actividades de tratamiento. -Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan. -Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD. -Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD. 2) Elección del Encargado del tratamiento: Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme al RGPD. 3) Contenido del contrato con el Encargado: Objeto, duración, naturaleza y la finalidad del tratamientos, tipo de datos personales y categorías de interesados, obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable, condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones, asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados, entre otros. El artículo 50 del RLFPDPPP establece obligaciones análogas para el Encargado. www. davara. com. mx

Medidas de responsabilidad activa RLFPDPPP: El artículo 48 establece medidas para cumplir con el principio de responsabilidad por parte de los responsables. LFPDPPP: En su artículo 30 establece la obligación de designar un Responsable de Privacidad o constituir el Departamento de Datos Personales. www. davara. com. mx

Transferencias internacionales Los datos personales de titulares europeos sólo podrán comunicarse fuera del Espacio Económico Europeo cuando se actualicen los siguientes supuestos: 1) Nivel adecuado de protección: Las decisiones de adecuación que la Comisión ha adoptado con anterioridad a la aplicación del RGPD seguirán siendo válidas, y por tanto, podrán seguir realizándose transferencias basadas en ellas, en tanto la Comisión no las sustituya o derogue. Listado de países con nivel adecuado de protección: Andorra, Argentina, Australia, Canadá, Suiza, Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Uruguay y Estados Unidos. (Aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE. UU). 2) Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino: Las decisiones de la Comisión estableciendo cláusulas tipo para los contratos en los que se establecen garantías para las transferencias internacionales seguirán siendo válidas hasta que la Comisión las sustituya o derogue. 3) Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales. www. davara. com. mx

Tratamiento de datos de menores El RGPD se refiere de manera específica al tratamiento de datos personales de menores. La mención más clara se relaciona con la obtención del consentimiento en la oferta directa de servicios de la sociedad de la información. En este sentido, el RGPD establece que el consentimiento solo será válido a partir de los 16 años, debiendo contar con la autorización de los padres o tutores legales por debajo de esa edad. El RGPD permite a los estados miembros establecer una edad inferior, siempre que no sea menor de 13 años. El RGPD requiere que los responsables hagan esfuerzos razonables, teniendo en cuenta la tecnología disponible, para verificar que, para los niños menores de la edad que se fije como límite, el consentimiento se ha dado o se ha autorizado por los padres o tutores del menor. MÉXICO: En el sector privado, el artículo 89 del RLFPDPPP establece que para el ejercicio de los derechos ARCO de datos personales de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad establecida por ley, se estará a las reglas de representación dispuestas en el Código Civil Federal. En el sector público el artículo 20 de la LGPDPPSO establece que en la obtención del consentimiento de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad declarada conforme a la ley, se estará a lo dispuesto en las reglas de representación previstas en la legislación civil que resulte aplicable. www. davara. com. mx

Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas El 10 de enero de 2017 la Comisión Europea adoptó una propuesta para la regulación en materia de privacidad de comunicaciones electrónicas y por el que se deriva la Directiva 2002/58/CE, algunos de los puntos más importantes de a propuesta son: -. Nuevos jugadores: En un futuro las reglas también se aplicarán a nuevos jugadores que proporcionan servicios de comunicaciones electrónicas como Whats. App, Facebook Messenger y Skype (OTT). -Reglas más fuertes: Todas las personas y empresas en la UE gozarán del mismo nivel de protección para sus comunicaciones electrónicas a través de estas nuevas disposiciones. Las empresas también se beneficiarán de la existencia de un conjunto único de reglas en el territorio de la UE. -Contenido de las comunicaciones y metadatos: Se garantiza la privacidad para el contenido de las comunicaciones y metadatos. El contenido de los metadatos tendrá que ser anonimizado o eliminado si los usuarios no dieron su consentimiento para el tratamiento, a menos de que los datos sean necesarios para fines de facturación del servicio. -Nuevas oportunidades para las empresas: Una vez que el consentimiento es otorgado para que los datos sean tratados (contenido y metadatos), los operadores tradicionales de telecomunicaciones tendrán más oportunidades para proporcionar servicios adicionales y para desarrollar sus negocios. -Protección contra el spam: Esta propuesta prohíbe el envío de comunicaciones electrónicas no solicitadas. -Reglas más efectivas de cumplimiento: El cumplimiento de las reglas de confidencialidad estará a cargo de las autoridades de protección de datos personales. www. davara. com. mx

Conclusiones El RGPD representa importantes desafíos para los países que integran el Espacio Económico Europeo y también para terceros países con los que éstos últimos tienen relaciones comerciales. Para lograr hacer frente a estos nuevos desafíos será muy importante considerar el nivel de desarrollo normativo en materia de protección de datos personales con que cuentan los terceros países que podrían ser receptores de datos personales de ciudadanos europeos y que podrían ofrecer garantías bastante similares a las requeridas en el territorio europeo. México es un buen ejemplo de ello, ya que cuenta con un marco legal ampliamente desarrollado en esta materia. La noción de nivel adecuado de protección sigue siendo un referente importante que permitirá las comunicaciones de datos personales a terceros países al igual que las cláusulas tipo aprobadas por la Comisión. Los responsables que cuentan con un considerable grado de cumplimiento a las disposiciones de la Directiva 95/46 requerirán menores esfuerzos para la adecuación a este nuevo marco jurídico. El RGPD representa la normatividad más innovadora y avanzada en esta materia brindando una amplia protección a los titulares de datos personales dentro y fuera del territorio europeo. www. davara. com. mx

info@davara. com. mx @Davara. Abogados T + 52 (55) 56 52 34 55 F + 52 (55) 56 52 19 85 Una apuesta por la especialización