Después de una década de promulgar leyes para proteger la privacidad de datos en América Latina, se ha conformado un marco legal bastante complejo. Si bien las leyes de privacidad otorgan una amplia gama de acciones legales contra quienes las violan, aún quedan vacíos. Ante este panorama, si una firma internacional de abogados lleva a cabo una investigación interna desde las oficinas en el exterior, es muy probable que, sin el apoyo local, no pueda concluirla.
El marco legal de América Latina principalmente se fundamenta en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Como regla general, podemos estar de acuerdo en que, cuando la regulación integral de privacidad de datos de la UE entró en vigencia en 2018, tuvo un gran impacto en casi todas partes. En la región los legisladores debatieron y promulgaron —con entusiasmo— nuevas leyes inspiradas en las regulaciones de la UE.
Conviene hacer un paréntesis para señalar que, en lo que respecta a la protección de datos en el contexto de la aplicación de la ley, pocos países de América Latina han adoptado los últimos pasos de la Unión Europea. Ejemplo de ello es la Directiva de Policía de la UE, una ley sobre el procesamiento de datos personales para las fuerzas policiales que aún no se ha convertido en un fenómeno latinoamericano. De cualquier forma, es innegable que a nivel regional se ha establecido un marco legal para proteger la privacidad de datos.
La mayoría de las constituciones nacionales de los países latinoamericanos han consagrado explícitamente la privacidad como un derecho fundamental. Con este marco legal implementado, el cambio hacia la privacidad de los datos también está generando nuevas preocupaciones entre los empleadores cuando deben realizar, por ejemplo, verificaciones de antecedentes de sus posibles empleados. En algunos países como Brasil algunos empleadores que no están seguros de qué hacer han dejado de proporcionar información sobre los candidatos a puestos de trabajo. En otros casos han evitado por completo las verificaciones de antecedentes o los han realizado sin el conocimiento del solicitante de empleo. Otros países como Perú han ampliado las exenciones para obtener el consentimiento para el procesamiento de datos, principalmente para prevenir el lavado de dinero y el financiamiento del terrorismo.
En general, es conveniente antes de iniciar una investigación interna en América Latina considerar el impacto de esas leyes y si la tarea involucra a todos o algunos de los pasos enumerados en el modelo de referencia de e-discovery. Los abogados locales con dominio de estos asuntos deben participar en el proceso desde el principio: nadie quiere verse involucrado en un litigio sobre una supuesta infracción de la ley de privacidad.
Algunos consejos a la hora de realizar investigaciones
Sí, el marco legal local es complejo, pero al menos se puede afirmar que la mayoría de la normativa está inspirada en la europea.
Además de investigar cuidadosamente las leyes locales de protección de la privacidad de los datos, existen algunos principios establecidos por el GDPR que se reflejan en las leyes locales y que deben tenerse en cuenta al manejar el tratamiento de datos electrónicos durante la investigación. Nuevamente, así se evita el riesgo de un litigio local e impugnaciones que podrían arruinar el proyecto.
En ese caso, un pilar fundamental en el que se basa la normativa es el consentimiento del titular de los datos en el momento de su procesamiento. De acuerdo con el artículo 4º de la GDPR: el "procesamiento" de datos personales se refiere a operaciones realizadas sobre datos personales (o su conjunto), ya sea por medios automatizados o no, como la recopilación, el registro y la estructuración.
Si bien hay diferentes puntos de vista sobre la noción de consentimiento, su definición se puede encontrar en el artículo 4º de la GDPR que establece que "consentimiento del interesado" significa cualquier manifestación libre, específica, informada e inequívoca de la voluntad, ya sea que se haga mediante declaración o una clara acción afirmativa. Además, quien investiga debe garantizar la preservación de la documentación original, así como los derechos de confidencialidad y privacidad del empleado involucrado. De lo contrario, el empleado podría demandar a la empresa por daños y perjuicios por cualquier información que pueda ser divulgada como resultado del proceso de investigación.
También es recomendable revisar algunos principios consagrados en el GDPR:
1. Legalidad, equidad y transparencia. El primer principio es relativamente evidente. Las organizaciones deben asegurarse de que sus prácticas de recopilación de datos no violen ninguna ley de privacidad local y no oculten nada a los interesados. Asimismo, se requiere que los datos personales sean tratados de forma legal, justa y transparente en relación con los interesados.
2. Limitación del propósito. Los datos personales deben recopilarse solo para fines específicos, explícitos y legítimos. No está permitido procesarlos de una manera en la que no sea compatible con esos fines. Solo se deben recopilar durante el tiempo que sea necesario para completar ese propósito.
3. Minimización de datos. Según este principio, los datos personales deben ser adecuados, relevantes y limitados a lo necesario en relación con los fines para los que son tratados.
4. Limitación del almacenamiento. Los datos personales deben conservarse de forma que permitan identificar a los interesados durante un período no superior al necesario para los fines del tratamiento. Por lo tanto, incluso si se recopilan y usan datos personales de manera justa y legal, no puede conservarlos por más tiempo del que realmente los necesita.
En resumen, la tarea del investigador en América Latina no es fácil. Debe ocuparse no solo del objeto de la investigación, sino también de manejar las diferentes leyes regionales de privacidad. En general, este artículo ciertamente no pretende ser considerado una opinión legal, sino una referencia a las buenas prácticas a seguir durante esa investigación.
*Martín Francisco Elizalde es socio fundador del estudio Foresenics y Eduardo Vidal es general counsel en iCrowdNewswire.
Add new comment