El derecho privado ha girado alrededor de la persona y su relación en diferentes esferas (con relación a los demás, con relación a su familia, con relación a sus bienes, etc.) En ese sentido también hemos desarrollado el derecho a la privacidad. Ese límite que el derecho le otorga a las personas de establecer qué quiere excluir de lo público y lo convierte en íntimo.
La persona tiene la facultad de excluir o negar a los demás del conocimiento de su vida personal y también establecer en qué medida o grado esas dimensiones de la vida personal pueden ser legítimamente comunicados a otros. De él se derivan derechos tradicionalmente reconocidos en las constituciones como: la inviolabilidad del domicilio, derecho a la inviolabilidad de la correspondencia, derecho a la intimidad frente a las escuchas telefónicas, y también otros más modernos como: el derecho a la propia imagen, y el derecho a la intimidad frente a la informática o derecho a la libertad informática.
En el siglo 21, donde los datos personales permiten crear campañas de mercadeo, mejorar servicios públicos y privados, personalizar servicios y productos, hacer ciencia, mejorar la seguridad ciudadana, entre otras. Todo eso que se llama Big Data nos confronta en el derecho. Nos obliga a encontrar mecanismos de protección a la intimidad personal pero, que al mismo tiempo, nos permitan encontrar mejores soluciones, hacer ciencia y también hacer negocios. En este contexto es tan importante la regulación de uso de datos en poder de terceros.
Recientemente se aprobó en segundo debate en el Congreso de Guatemala la iniciativa 6103 – Ley Integral de Protección de Datos Personales en Poder de Terceros. Esta iniciativa, según su exposición de motivos se basa en el nuevo modelo de la Unión Europea de protección de datos – el Reglamento General de Protección de Datos -, el cual entró en vigencia en 2018. Este modelo regulatorio para la protección de datos es el más estricto de todos[1], pues se basa en el derecho de todas las personas de decidir sobre todo lo que se hace o no con sus datos, lo cual se manifiesta en que el consentimiento se debe dar sobre fines específicos y claros, no puede de ninguna forma cambiarse el fin sin buscar de nuevo consentimiento y se reconoce el derecho al olvido, que implica eliminar todos los datos de una persona. Además obliga a todas las entidades que manejen bases de datos a contar con un oficial de cumplimiento específicamente para la protección de datos.
Cabe resaltar que en Europa cuando este reglamento entró en vigencia en 2018, existió preocupación por parte de muchas compañías medianas y pequeñas sobre cómo lograrían cumplir con la nueva regulación, pues su complejidad y detalle requería que se adaptaran en un periodo de tiempo que muchos consideraron corto a regulaciones totalmente extrañas para ellos. [2]
Por otra parte, es necesario resaltar que existen 3 modelos regulatorios distintos para la protección de datos en el mundo[3]:
- El modelo de la Unión Europea, que se actualizó en 2018 y es uno de los más estrictos respecto del tratamiento de datos, pues genera obligaciones para todas las entidades que mantengan y manejen bases de datos. Además este se basa en la garantía de privacidad y ha estado vigente prácticamente desde 1995.
- El modelo de Estados Unidos que se basa en el derecho a la privacidad, y a diferencia del enfoque europeo, protege especialmente contra la intrusión del gobierno federal en los asuntos privados de las personas. Asimismo este modelo se caracteriza por tener regulaciones distintas para distintos tipos de datos, como los financieros, médicos, personales, entre otros.
- El modelo que se ha implementado en Latinoamérica, que se deriva del “habeas data”, el cual se materializa en una garantía de la determinación por sí misma de la información y la libertad de información de una persona. Implica que una persona, tras presentar una denuncia, pueda obtener acceso y rectificar todos los datos personales que atenten en contra de su derecho a la privacidad.
A diferencia de Europa, que desde 1995 ha desarrollado regulación con respecto a la protección de datos y existe una cultura de privacidad, en Guatemala el marco regulatorio para la protección de datos está actualmente disperso en la Constitución, la Ley de Acceso a la Información Público y diversas sentencias de la Corte de Constitucionalidad y, culturalmente, tampoco ha sido un asunto de relevancia social.
Por lo mismo es válido cuestionar si aprobar una iniciativa con el modelo europeo sea lo adecuado para Guatemala, tomando en cuenta su contexto económico y social, pues las empresas, asociaciones sin fines de lucro y cualquier otra entidad que maneje datos podría no estar preparada para cumplir con todas las obligaciones que una regulación de este tipo implicaría. No se debate la necesidad de que en Guatemala exista normativa específica que regule la protección de datos personales en poder de entidades privadas, sin embargo si debe buscarse que la legislación que se vaya a aprobar en esta materia sea congruente con el contexto social y económico guatemalteco, además de que responda a las capacidades institucionales que como país tenemos.
[1] Ver https://gdpr.eu/what-is-gdpr/
[2] Ver https://www.economist.com/business/2018/04/05/europes-tough-new-data-protection-law
[3] Ver Principios y recomendaciones preliminares sobre la protección de datos (la protección de datos personales), [Documento presentado por el Departamento de Derecho Internacional de la Secretaría de Asuntos Jurídicos, conforme al párrafo 11 de la parte dispositiva de la resolución AG/RES. 2514 (XXXIX-O/09)] del Consejo Permanente de la Organización de los Estados Americanos, Comisión de Asuntos Jurídicos y Políticos.