Firma Legal especializada en

Derecho de las TIC Panel 3. Cambios fundamentales establecidos en el

nuevo Reglamento Europeo y nueva propuesta
europea sobre privacidad digital.
Una apuesta por la especialización

Dra. Isabel Davara F. de Marcos.

Bogotá, Colombia, junio de 2017

Planteamiento

www.davara.com.mx
 Leyes de protección de datos en Latinoamérica

País Leyes

1. Ley 25.326 Ley de Protección de los Datos Personales. 2. Reglamento General de Acceso a la Información Pública. 3. Régimen de Libre
Argentina
Acceso a la Información Pública Ambiental.

Bolivia Panorama general

1. Ley 1818. Ley del Defensor del Pueblo. 2. Ley 28168. Acceso a la Información del Poder Ejecutivo.

Brasil 1. Ley de Derecho de Acceso a la Información y reglamenta el "habeas data".

1. Ley de Transparencia de la Función Pública y de Acceso a la Información de la Administración del Estado. 2. Ley 19628. Ley de Protección de
Chile
Datos de Carácter Personal.

Ley Estatutaria 1581 de 2012. por la cual se dictan disposiciones generales para la protección de datos personales.
Ley 1266. Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos
Colombia
personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.
Decreto 1377 por el cual se reglamenta la Ley 1581.

1. Ley de Transparencia y Acceso a la Información Pública. 2. Ley de Protección de la persona frente al tratamiento de sus Datos Personales. 3.
Costa Rica
Reglamento a la Ley de Protección de la persona frente al tratamiento de sus Datos Personales.
Cuba -
Ecuador 1. Ley Orgánica de Transparencia y Acceso a la Información Pública.
El Salvador 1. Ley de Acceso a la Información Pública. 2. Reglamento de la Ley de Acceso a la Información Pública.
Guatemala 1. Ley de Acceso a la Información Pública.
Haití -

Honduras 1. Ley de Transparencia y Acceso a la Información Pública.

1. Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

México
2. Ley Federal de Protección de Datos Personales en Posesión de los Particulares, Reglamento de la LFPDPPP y demás normatividad aplicable.

Nicaragua 1. Ley de Acceso a la Información Pública. 2. Ley de Protección de Datos Personales

1. Ley 187. Ley de Protección de Datos Personales. 2. Ley 1682. que reglamenta la Información de Carácter Privado. 3. Reglamento de la Ley de
Paraguay
Protección de Datos Personales.

Panamá 1. Ley No. 6 de 2002. Ley de Transparencia y Acceso Información Pública.

1. Ley Nº 27806. Ley de Transparencia y Acceso a la Información Pública. 2. Ley Nº 29733. Ley de Protección de Datos Personales. 3.
Perú
Reglamento de la Ley Nº 29733.
1. Ley Núm. 11-2005. Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información. 2. Reglamento Núm. 7376. Reglamento
sobre Información al Ciudadano sobre Seguridad de Bancos de Información de Puerto Rico. 3. Ley Núm. 39-2012. Ley de Notificación de Política
Puerto Rico
de Privacidad. 4.Reglamento Núm. 8568. Reglamento para Implantar la Publicación de la Política de Privacidad en el Manejo de Datos Privados y
Personales de Ciudadanos, según Recopilados por Comercios en Puerto Rico.
1. Ley 172-13. Ley Orgánica de Protección de Datos de Carácter Personal de la República Dominicana. 2. Ley General 200-04 sobre Libre Acceso
República Dominicana
a la Información Publica.
1. Ley Nº 18.331 de 2008. Ley de Protección de Datos Personales y Acción Habeas Data. 2. Ley Nº 18.381 de 2008. Ley de Acceso a la
Uruguay
Información Pública. 3. Reglamento de la Ley Nº 18.331 de 2008.

Venezuela -
Sobre el Reglamento General de Protección de Datos Personales (“RGPD”)

www.davara.com.mx
 Bases de legitimación para el tratamiento de datos

El RGPD conserva el principio recogido en la Directiva

95/46 de que todo tratamiento de datos necesita apoyarse en
una base que lo legitime y contiene idénticas bases jurídicas
que la Directiva:

Consentimiento.

Relación contractual.

Intereses vitales del interesado o de otras personas.

Obligación legal para el responsable.

Interés público o ejercicio de poderes públicos.

Intereses legítimos prevalentes del responsable o de

terceros a los que se comunican los datos.
Reto: En países donde no se han reconocido bases de
legitimación para el tratamiento de datos será difícil
hacer frente a tratamientos derivados del uso de
tecnologías como el big data. www.davara.com.mx
 Derechos de los titulares
Derechos de los titulares

LGPDPPSO: En el artículo 57
reconoce el derecho a la
portabilidad de datos cuando
se traten datos personales por
vía electrónica en un formato
estructurado y comúnmente
utilizado.
 Relaciones Responsable-Encargado

1) Obligaciones específicas para los encargados: En determinadas materias los encargados tienen obligaciones
propias que establece el RGPD que pueden ser supervisadas separadamente por las autoridades de protección de datos:

-Deben mantener un registro de actividades de tratamiento.

-Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
-Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.
-Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación
previstos por el RGPD.

2) Elección del Encargado del tratamiento: Los responsables habrán de elegir únicamente encargados que
ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento
sea conforme al RGPD.

3) Contenido del contrato con el Encargado: Objeto, duración, naturaleza y la finalidad del tratamientos, tipo de
datos personales y categorías de interesados, obligación del encargado de tratar los datos personales únicamente
siguiendo instrucciones documentadas del responsable, condiciones para que el responsable pueda dar su autorización
previa, específica o general, a las subcontrataciones, asistencia al responsable, siempre que sea posible, en la atención
al ejercicio de derechos de los interesados, entre otros.
El artículo 50 del RLFPDPPP establece obligaciones análogas para el
Encargado. www.davara.com.mx
Medidas de responsabilidad activa

RLFPDPPP: El artículo 48
establece medidas para
cumplir con el principio de
responsabilidad por parte de
los responsables.

LFPDPPP: En su artículo 30
establece la obligación de
designar un Responsable de
Privacidad o constituir el
Departamento de Datos
Personales.

www.davara.com.mx
 Transferencias internacionales

Los datos personales de titulares europeos sólo podrán comunicarse fuera del Espacio Económico Europeo cuando
se actualicen los siguientes supuestos:

1) Nivel adecuado de protección: Las decisiones de adecuación que la Comisión ha adoptado con
anterioridad a la aplicación del RGPD seguirán siendo válidas, y por tanto, podrán seguir realizándose
transferencias basadas en ellas, en tanto la Comisión no las sustituya o derogue.

Listado de países con nivel adecuado de protección: Andorra, Argentina, Australia, Canadá, Suiza, Islas
Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Uruguay y Estados Unidos.- (Aplicable a las
entidades certificadas en el marco del Escudo de Privacidad UE-EE.UU).

2) Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino:
Las decisiones de la Comisión estableciendo cláusulas tipo para los contratos en los que se establecen garantías
para las transferencias internacionales seguirán siendo válidas hasta que la Comisión las sustituya o derogue.

3) Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección
adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales.

www.davara.com.mx
 Tratamiento de datos de menores

El RGPD se refiere de manera específica al tratamiento de datos personales de menores. La mención

más clara se relaciona con la obtención del consentimiento en la oferta directa de servicios de la
sociedad de la información. En este sentido, el RGPD establece que el consentimiento solo será válido a
partir de los 16 años, debiendo contar con la autorización de los padres o tutores legales por debajo de
esa edad.

El RGPD permite a los estados miembros establecer una edad inferior, siempre que no sea menor de 13
años.

El RGPD requiere que los responsables hagan esfuerzos razonables, teniendo en cuenta la tecnología
disponible, para verificar que, para los niños menores de la edad que se fije como límite, el
consentimiento se ha dado o se ha autorizado por los padres o tutores del menor.

MÉXICO: En el sector privado, el artículo 89 del RLFPDPPP establece que para el ejercicio de los
derechos ARCO de datos personales de menores de edad o de personas que se encuentren en estado de
interdicción o incapacidad establecida por ley, se estará a las reglas de representación dispuestas en el
Código Civil Federal. En el sector público el artículo 20 de la LGPDPPSO establece que en la
obtención del consentimiento de menores de edad o de personas que se encuentren en estado de
interdicción o incapacidad declarada conforme a la ley, se estará a lo dispuesto en las reglas de
representación previstas en la legislación civil que resulte aplicable.
www.davara.com.mx
Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas

El 10 de enero de 2017 la Comisión Europea adoptó una propuesta para la regulación en materia de privacidad de comunicaciones
electrónicas y por el que se deriva la Directiva 2002/58/CE, algunos de los puntos más importantes de a propuesta son:

-.Nuevos jugadores: En un futuro las reglas también se aplicarán a nuevos jugadores que proporcionan servicios de
comunicaciones electrónicas como WhatsApp, Facebook Messenger y Skype (OTT).

-Reglas más fuertes: Todas las personas y empresas en la UE gozarán del mismo nivel de protección para sus comunicaciones
electrónicas a través de estas nuevas disposiciones. Las empresas también se beneficiarán de la existencia de un conjunto único de
reglas en el territorio de la UE.

-Contenido de las comunicaciones y metadatos: Se garantiza la privacidad para el contenido de las comunicaciones y metadatos.
El contenido de los metadatos tendrá que ser anonimizado o eliminado si los usuarios no dieron su consentimiento para el tratamiento, a
menos de que los datos sean necesarios para fines de facturación del servicio.

-Nuevas oportunidades para las empresas: Una vez que el consentimiento es otorgado para que los datos sean tratados
(contenido y metadatos), los operadores tradicionales de telecomunicaciones tendrán más oportunidades para proporcionar servicios
adicionales y para desarrollar sus negocios.

-Protección contra el spam: Esta propuesta prohíbe el envío de comunicaciones electrónicas no solicitadas.

-Reglas más efectivas de cumplimiento: El cumplimiento de las reglas de confidencialidad estará a cargo de las autoridades de
protección de datos personales.
www.davara.com.mx
 Conclusiones

El RGPD representa importantes desafíos para los países que integran el Espacio Económico Europeo y
también para terceros países con los que éstos últimos tienen relaciones comerciales.

Para lograr hacer frente a estos nuevos desafíos será muy importante considerar el nivel de desarrollo
normativo en materia de protección de datos personales con que cuentan los terceros países que podrían ser
receptores de datos personales de ciudadanos europeos y que podrían ofrecer garantías bastante similares a
las requeridas en el territorio europeo. México es un buen ejemplo de ello, ya que cuenta con un marco legal
ampliamente desarrollado en esta materia.

La noción de nivel adecuado de protección sigue siendo un referente importante que permitirá las
comunicaciones de datos personales a terceros países al igual que las cláusulas tipo aprobadas por la
Comisión.

Los responsables que cuentan con un considerable grado de cumplimiento a las disposiciones de la Directiva
95/46 requerirán menores esfuerzos para la adecuación a este nuevo marco jurídico.

El RGPD representa la normatividad más innovadora y avanzada en esta materia brindando una amplia
protección a los titulares de datos personales dentro y fuera del territorio europeo.

www.davara.com.mx
 info@davara.com.mx
@DavaraAbogados
T + 52 (55) 56 52 34 55
F + 52 (55) 56 52 19 85

Una apuesta por la especialización