Es ampliamente conocido que la “protección de datos personales” (mejor definida como el derecho a la protección de las personas físicas respecto al tratamiento de sus datos personales), al menos en Europa y en Latinoamérica, es un derecho fundamental, reconocido constitucionalmente, o bien, elevado con tal carácter a través de los criterios jurisprudenciales de los tribunales o cortes competentes, además de protegido convencionalmente (mediante Instrumentos Internacionales de Derechos Humanos). Por tanto, merece que se le reconozca y se le trate con seriedad y responsabilidad máxima.
No obstante, garantizar de manera adecuada la protección de los datos personales es una tarea compleja. En este sentido, no se requiere exclusivamente de la participación de los responsables del tratamiento, las personas titulares de los datos y los órganos garantes (autoridades de control o autoridades supervisoras), sino también de un diseño adecuado de la legislación de protección de datos, el cual es un presupuesto necesario para la actuación eficiente de los actores antes mencionados.
La coherencia (ausencia de antinomias[1] o inconsistencias) y la plenitud (ausencia de vacíos o lagunas) de un sistema jurídico son y han sido temas centrales de estudio para la filosofía y la teoría general del derecho. A la fecha, se reconoce que no existe ningún sistema u ordenamiento jurídico totalmente coherente o completo que carezca de contradicciones y prevea todas las respuestas para los casos concretos. Aun con ello, la coherencia y la plenitud de los ordenamientos jurídicos se constituyen como ideales aspiracionales en su diseño normativo, pues facilitan la labor interpretativa.
En este artículo, se realiza una exposición simplificada, con términos coloquiales, que apela a la relevancia de la coherencia y la plenitud como elementos necesarios de cualquier legislación de protección de datos, que resultan centrales para facilitar y fomentar su cumplimiento en la práctica.
La coherencia y plenitud de los ordenamientos en la materia
Garantizar la protección de los datos personales es un fenómeno multifactorial, multidisciplinario y transnacional. Contar con una legislación específica en la materia es únicamente el primer paso hacia su garantía y ejercicio efectivos. Emitir una legislación específica es parte de dotar de autonomía normativa al derecho de protección de datos personales y distinguirlo jurídicamente de otros derechos (lo cual no significa que no exista una interdependencia jurídico-fáctica entre la protección de datos personales y otros derechos fundamentales).
De acuerdo con la Conferencia de las Naciones Unidas para el Comercio y el Desarrollo (UNCTAD, por sus siglas en inglés), en el 2021 más de 137 países habían promulgado legislación para garantizar la protección de los datos y la privacidad.[2] Sin embargo, no basta con tener una “Ley” o un “Reglamento” de protección de datos personales para dotar de eficacia al derecho. Las leyes son aplicadas por personas y son estas quienes deben contar con los elementos de carácter normativo (con independencia de otro tipo de factores externos al propio ordenamiento, los cuales no se abordan en la presente aportación) para poder cumplirlas adecuadamente, o bien, interpretarlas sin perder de vista la función esencial del derecho: proteger a las personas físicas, asegurar el control sobre su información personal, garantizar la seguridad de los datos, entre otros.
No es nuevo reconocer que los ordenamientos jurídicos poseen en su texto vacíos legales, inconsistencias y contradicciones propias del lenguaje natural. Es un dogma pensar que las legislaciones de protección de datos son ordenamientos jurídicos plenos y completamente coherentes. No obstante, mientras mayor sea el grado de plenitud y coherencia del ordenamiento (aun sin ser perfecto), más eficiente será su aplicación e interpretación, por ejemplo, las personas titulares de los datos conocerán de forma más clara y objetiva sus derechos; los responsables del tratamiento podrán identificar y cumplir de mejor manera con sus obligaciones; los organismos garantes o autoridades de control podrán aplicar de mejor forma las normas y resolver más eficientemente los casos que se les presenten.
Debido a lo anterior, es importante que las legislaciones de protección de datos alcancen un nivel de plenitud y coherencia interna razonables que prevean o incluyan los elementos necesarios para la operatividad y dinámica eficiente del derecho, por ejemplo:
- Definiciones claras y completas, más aún si se está tomando como referente algún ordenamiento jurídico extranjero.
- Ámbitos objetivos de aplicación bien establecidos: espacial (¿en dónde se aplica la norma?), temporal (¿cuándo se aplica la norma?), material (¿qué es lo que regula la norma?) y personal (¿a quiénes se aplica la norma?).
- Exclusiones normativas limitadas (¿qué sujetos o materias no quedan cubiertos por la legislación y por qué motivo? ¿son razonables o necesarias las exclusiones?).
- Principios, deberes y derechos conforme a los marcos de referencia o estándares internacionales actualizados.
- Figuras esenciales para el derecho (por ejemplo, el Oficial de Protección de Datos, la Evaluación de Impacto en la Protección de Datos, la Privacidad desde el Diseño y por Defecto, entre otros).
- Atribuciones, competencias y facultades bien definidas (por ejemplo, para las autoridades de control), evitando contradicciones o restricciones innecesarias.
- Procedimientos bien establecidos, de fácil ejercicio y resolución.
- Plazos y términos de cumplimiento claros.
- Bases jurídicas adecuadas para la cooperación internacional.
- Un régimen de infracciones y sanciones robusto y con un lenguaje libre de ambigüedades.
Cada figura del derecho a la protección de datos personales está destinada a cumplir una función esencial. Los legisladores y las legisladoras de los países tienen un gran desafío en el establecimiento del marco regulatorio que dará pie al desarrollo o evolución del derecho, estableciendo o retomando los conceptos y demás figuras jurídicas que hagan posible la “operatividad” del derecho, sin demeritar el nivel de protección que todo ordenamiento de protección de datos personales busca obtener.
Actualmente existen definiciones, principios, deberes y derechos reconocidos en estándares internacionales (por ejemplo, en los Estándares Iberoamericanos de Protección de Datos[3]), los cuales, como su nombre sugiere, tienen como objeto homologar la terminología empleada y, en última instancia, el nivel de protección del que deben gozar las personas físicas. Al respecto, debe cuidarse la plenitud o completitud del ordenamiento jurídico “conforme a dichos estándares”, que son el resultado de la evolución y la mejora continua del derecho en otros contextos o sistemas jurídicos. No obstante, siempre existirá un lugar para la interpretación jurídica y la búsqueda del significado adecuado para el caso particular.
En un sentido similar, debe buscarse la coherencia externa entre distintos ordenamientos del sistema jurídico. Muchos son los casos en los que la persona operadora jurídica, interesada en la aplicación de la norma o en el cumplimiento normativo, debe recurrir a distintas legislaciones de rango jerárquico diverso, buscando una respuesta a un caso difícil. Es ideal que las leyes y reglamentos tengan la capacidad de referenciarse con otros ordenamientos del sistema jurídico para resolver este tipo de casos.
Un ordenamiento de protección de datos, por sí solo, generalmente es incapaz para ofrecer respuestas a todas las preguntas o casos difíciles. Una Ley de Protección de Datos Personales, por moderna que sea, no tendrá la capacidad de ofrecer todas las soluciones, ni ofrecerá contestaciones a problemas de protección de datos que surjan o se presenten en otros ámbitos del derecho, por ejemplo, en materia laboral, civil, administrativa, fiscal o hacendaria, entre otros. En la medida que la legislación tenga el soporte o el apoyo de distintos ordenamientos jurídicos (ordenamientos complementarios) que incluyan referencias o disposiciones destinadas a proporcionar claridad en la labor interpretativa, será más fácil orientar el cumplimiento.
Lo anterior no significa que todas las respuestas estén expresas o deban estar explícitas en la ley (esto sería imposible), sino que, al adoptarse una Ley de Protección de Datos se lleve a cabo un proceso de armonización integral con otros ordenamientos mediante su actualización o reforma, para que exista una coherencia normativa mínima que permita al derecho “comunicarse” y “correlacionarse” para ser llevado a la realidad práctica del cumplimiento.
La influencia del derecho comparado
En la elaboración de ordenamientos jurídicos ha sido y es útil la referencia al derecho comparado, para incluir los últimos avances y desarrollos jurídicos. Actualmente, no podrá negarse que la vanguardia normativa sobre el derecho a la protección de datos se encuentra principalmente en Europa, a través del Reglamento General de Protección de Datos (RGPD). Los Estados Unidos de Norteamérica también se encuentran en un proceso de desarrollo normativo importante, con un fuerte enfoque de protección de la persona consumidora, recibiendo cada vez más influencia del RGPD, que se refleja en la inclusión de terminología y derechos similares.
Hacer caso omiso a la tendencia regulatoria en el mundo no sería una acción sensata (Latinoamérica no puede abstraerse o excluirse del mundo); no obstante, es importante no caer en el extremo opuesto, y evitar creer que un ordenamiento jurídico de protección de datos que reproduzca o incorpore figuras o conceptos, principios, deberes, derechos y procedimientos, entre otros, adoptadas en otros países, es suficiente por sí solo para que el derecho sea garantizado de manera efectiva, o bien, suponer sin más que la legislación producirá resultados similares con su implementación y exigibilidad en los países de Latinoamérica, a los obtenidos en Europa o en la Unión Americana.
Las legislaciones nacionales siempre deben tener en cuenta el contexto en el que surgen, reflexionando sobre sus objetivos, la realidad social, política, económica y tecnológica del lugar en donde se adoptan, incluyendo la cultura y las características de los destinatarios de las normas. Nuestros países latinoamericanos tienen sus matices; por tanto, requerimos de un derecho a la protección de datos con la fuerza y la consistencia de las normas europeas, pero con la mira bien fija en nuestra realidad hispanoamericana. Cada país enfrenta situaciones particulares, algunos de ellos son transfronterizos, otros requieren respuestas y soluciones regionales. El gran reto es mantener las leyes actualizadas, con un nivel de generalidad funcional, pero aterrizando las particularidades en ordenamientos secundarios.
Es interesante el papel de las normas estandarizadas o estándares, que sirven de complemento para la legislación vigente, aunque no de manera obligatoria. Si bien la ley de protección de datos establece el qué debe cumplirse, el cómo debe cumplirse resulta abstracto e indeterminado en la legislación, abriendo un espacio valioso para el mundo de la normalización, el uso de estándares internacionales y las mejores prácticas, por ejemplo, las proporcionadas por la International Organization for Standardization (ISO) y el National Institute of Standards and Technology (NIST).
La experiencia en la interpretación y aplicación de la legislación en la materia
Es común escuchar en foros especializados que diversos países en Latinoamérica cuentan o están adoptando leyes modernas, o actualizando sus legislaciones conforme a las últimas tendencias del derecho. Pese a esta situación, no debe ignorarse que Europa lleva, al menos, 50 años más que los países latinoamericanos reflexionando en torno a la privacidad y la protección de datos personales, con un enfoque sistemático y riguroso (pueden citarse como referentes la adopción de la Resolución 65/509/CE, de la Asamblea del Consejo de Europa de 1968, sobre “los derechos humanos y los nuevos logros científicos y técnicos”[4] y la creación de las primeras leyes de protección de datos en Europa: Suecia en 1973, Alemania en 1977 y Francia en 1978[5]).
Toda vez que un ordenamiento jurídico de protección de datos personales no puede prever todas las normas aplicables a un caso concreto, y que debe mantenerse funcionando en el tiempo con un grado significativo de incompletitud y antinomias, la labor de interpretación jurídica será inevitable. El papel de la jurisprudencia y los precedentes de las Cortes poseen un lugar preponderante al buscar un grado razonable de certeza jurídica, o bien, proporcionando los elementos necesarios para reconstruir el significado jurídico en la mente del operador.
Podrán tomarse como modelos las leyes europeas o norteamericanas para establecer ordenamientos similares en Latinoamérica, pero no podrá importarse con la misma facilidad la experiencia en el desarrollo del derecho, las habilidades para su interpretación conforme, la aplicación de los conceptos y la resolución de los procedimientos y casos difíciles, por citar solo algunas de las áreas imprescindibles para garantizar la permanencia y el desarrollo futuro del derecho. No me refiero propiamente al conocimiento especializado del derecho a la protección de datos (como un cúmulo de conocimientos estructurados), sino a la experiencia jurídica, social y colectiva en su aplicación y cumplimiento, al establecimiento de criterios orientadores suficientes para su interpretación como un “derecho fundamental”, a la adaptación de la “forma de pensar” de las personas operadoras jurídicas (principalmente autoridades) para garantizar el derecho de manera progresiva, eficiente y comprometida.
La experiencia en la aplicación, interpretación y cumplimiento requiere fortalecerse en distintos ámbitos y actores: en el diseño normativo, en las autoridades de protección de datos, en los responsables del tratamiento, en las personas titulares, entre otros. La adquisición de esta experiencia requiere de tiempo (años o quizá décadas), recursos humanos y materiales suficientes, así como un interés auténtico por la materia. Y sí, la protección de datos personales requiere perfiles específicos para su difusión, ejercicio, garantía, aplicación, sanción y evolución. Únicamente el tiempo permitirá apreciar con justicia y objetividad la eficacia de las legislaciones de protección de datos, a la luz de los resultados palpables producto de su implementación y cumplimiento en nuestros países latinoamericanos.
*Las ideas y opiniones difundidas en este artículo son emitidas a título personal, y no están destinadas a representar puntos de vista o posturas oficiales pertenecientes a ninguna institución, entidad u organismo, de carácter público o privado.
[1] Una antinomia puede describirse, en términos generales, como la situación jurídica en la que dos normas prescriben comportamientos contrarios o contradictorios, por ejemplo, cuando una de ellas obliga y la otra prohíbe un mismo comportamiento.
[2] UNCTAD (2021), Data Protection and Privacy Legislation Worldwide, disponible en el vínculo electrónico:
[3] Red Iberoamericana de Protección de Datos (2017), Estándares de Protección de Datos Personales para los Estados Iberoamericanos, disponible en: https://www.redipd.org/sites/default/files/inline-files/Estandares_Esp_Con_logo_RIPD.pdf
[4] Council of Europe Parliamentary Assembly (1968), Recommendation 509 (1968) Human rights and modern scientific and technological developments. Disponible en el vínculo electrónico: https://assembly.coe.int/nw/xml/XRef/Xref-XML2HTML-en.asp?fileid=14546&lang=en
[5] Mildebrath H. (2023), Understanding EU data protection policy, European Parliamentary Research Service (EPRS). Disponible en el vínculo electrónico: https://www.europarl.europa.eu/RegData/etudes/BRIE/2022/698898/EPRS_BRI(2022)698898_EN.pdf
Data Panopticon 