Por Kathy Subirana Abanto (*)
Hay dos cosas que los sistemas económicos, empresariales y gubernamentales codician en la era del desarrollo digital: la atención de los consumidores/ciudadanos y sus datos personales. Nuestros datos.
Cuando hablamos de datos personales, nos referimos a toda aquella información que permite que se nos identifique directa o indirectamente, como bien define la UNESCO. El manual de Protección de Datos Personales publicado por la Defensoría del Pueblo en 2019 precisa que son datos personales nuestro nombre, número de documento o dirección, pero también cualquier información que, en conjunto o de forma indirecta, permita identificarnos, como imágenes, grabaciones, direcciones IP, historiales o registros administrativos. Una categoría aparte son los llamados datos sensibles, que se refieren al origen racial o étnico, convicciones religiosas o filosóficas, opiniones políticas, afiliación sindical, información sobre salud o vida sexual y nuestros datos biométricos.
Los datos no son simples cifras descontextualizadas, sino que están estrechamente vinculados a las personas y su esfera privada; por ello, su tratamiento o uso incorrectos pueden afectar derechos fundamentales como la privacidad, la dignidad humana y la libertad personal. La UNESCO define el tratamiento de datos personales como cualquier operación o conjunto de operaciones, automatizadas o no, que se realicen sobre cualquier dato personal o dato sensible, lo que incluye la recopilación, el almacenamiento, el uso, la transferencia, publicación y la supresión.
En la era digital, donde la información se recopila a gran escala y se cruza en múltiples sistemas, proteger los datos personales también significa proteger a las personas de perfiles automatizados, discriminación algorítmica, vigilancia excesiva e injerencias ilegítimas en su vida cotidiana. Así, los datos requieren una protección reforzada, ya que su mal uso puede dar lugar a prácticas discriminatorias, estigmatización o exclusión social.
Un compromiso internacional
El Día Internacional de la Protección de Datos Personales fue instaurado en 2006 por el Consejo de Europa junto con la Comisión Europea. Se eligió como fecha el 28 de enero para conmemorar la firma del Convenio 108 en 1981, el primer instrumento internacional vinculante sobre protección de datos.
Las organizaciones internacionales también han definido principios para el tratamiento de datos personales. Según la política de privacidad y los Principios de la UNESCO sobre la protección de los datos personales y la privacidad, la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura asume un compromiso con el tratamiento responsable, no discriminatorio y sensible a cuestiones de género de los datos personales que procesa en el ejercicio de su mandato.
La UNESCO destaca una serie de obligaciones clave para quien trata datos personales, recogiendo en ellas inquietudes globales en torno a la privacidad y el respeto a los derechos humanos, y subrayando que el tratamiento de datos debe equilibrar la utilidad de su uso con la protección de los derechos de las personas.
- Tratamiento legítimo y equitativo, con base en consentimiento u otros fundamentos legítimos.
- Especificación de fines, de modo que los datos se usen solo para objetivos compatibles con el mandato de la institución.
- Proporcionalidad y necesidad.
- Conservación limitada en el tiempo.
- Exactitud y confidencialidad.
- Seguridad adecuada de los datos.
- Transparencia hacia los titulares.
- Transferencia segura de datos a terceros cuando corresponda.
La digitalización masiva ha multiplicado la recolección y circulación de datos personales. Según ha señalado Marina Meira, abogada y coordinadora de Políticas Públicas de Derechos Digitales, este fenómeno plantea enormes desafíos para América Latina, una región donde el uso de tecnologías digitales crece más rápido que las capacidades institucionales para regularlas.
Meira explica que los datos personales se han convertido en un insumo central para modelos de negocio, estrategias de seguridad, campañas políticas y políticas públicas; y que, sin una protección adecuada, este uso intensivo puede derivar en prácticas de vigilancia excesiva, perfiles automatizados y decisiones que afectan derechos sin transparencia ni rendición de cuentas. También advierte que la protección de datos personales es clave para preservar otros derechos, como la libertad de expresión. “Cuando las personas saben que están siendo observadas o que su información puede ser utilizada en su contra, tienden a autocensurarse. De este modo, la falta de garantías en materia de datos personales puede debilitar la democracia misma”, señala.
¿Qué dice la legislación sobre la protección de datos personales?
Es importante enfatizar que no existe una única autoridad mundial que fiscalice la protección de datos personales. La protección internacional se basa en una red de autoridades nacionales que cooperan y se rigen por principios comunes, convenios internacionales y normativas regionales.
En la Unión Europea, por ejemplo, el Reglamento General de Protección de Datos (RGPD) exige que las organizaciones que operan en su territorio cumplan con altos estándares de protección de datos. En ese contexto, el concepto de “autoridad principal” de protección de datos se refiere a la autoridad nacional del país donde una organización tiene su establecimiento principal.
A nivel regional en las Américas, instrumentos como los principios de la Organización de Estados Americanos (OEA) buscan armonizar los enfoques y promover estándares comunes, pero dependen de la voluntad política y la implementación nacional. La cooperación internacional se gestiona también a través de tratados, acuerdos de transferencia de datos y el cumplimiento de normas locales en los países donde se tratan o transfieren datos.
La OEA ha abordado la protección de datos personales desde finales de la década de 1990. Según documentos de la OEA, la Asamblea General ha aprobado diversas resoluciones instando a los Estados miembros a fortalecer marcos jurídicos nacionales para proteger estos datos y ha encargado al Comité Jurídico Interamericano (CJI) la elaboración de documentos de referencia. Entre las contribuciones de la OEA figuran la Propuesta de Declaración de Principios de Privacidad y Protección de Datos Personales en las Américas (2012), la Guía Legislativa sobre privacidad y protección de datos personales (2015) y los Principios Actualizados sobre la privacidad y la protección de datos personales con anotaciones (2021).
Estos instrumentos buscan identificar los elementos básicos de una protección efectiva de datos personales; promover el desarrollo de marcos jurídicos nacionales que resguarden el derecho a la autodeterminación informativa; y orientar a los países hacia una protección armónica en la región.
Aunque la OEA no impone normas vinculantes como una ley internacional única, sus principios funcionan como soft law, es decir, como referencias y orientaciones para que los Estados adopten y fortalezcan sus propios marcos de protección de datos. En ese sentido, una pieza central en cualquier normativa de protección de datos personales son los llamados derechos ARCO, que permiten a las personas ejercer control efectivo sobre su información:
- Acceso: saber qué datos personales posee una entidad y cómo los utiliza.
- Rectificación: corregir datos incorrectos o desactualizados.
- Cancelación: solicitar la eliminación de la información cuando ya no es necesaria o su uso es indebido.
- Oposición: oponerse al uso de los datos personales en ciertas circunstancias.
En el Perú, la protección de datos personales cuenta con un marco institucional y normativo específico. La Autoridad Nacional de Protección de Datos Personales (ANPD), adscrita al Ministerio de Justicia y Derechos Humanos, es la entidad encargada de supervisar el cumplimiento de la Ley N.º 29733 y su reglamento, así como de sancionar las infracciones correspondientes.
La ANPD tiene competencias para fiscalizar el tratamiento de datos personales por parte de las entidades públicas y privadas; administrar el Registro Nacional de Protección de Datos Personales; y promover la cultura de protección de datos y la educación ciudadana al respecto.
Será interesante ver cómo se trabaja y cómo se defienden los datos personales y su adecuado uso en un contexto electoral como el que nuestro país atraviesa en este momento. Como dice Marina Meira, el uso intensivo de datos en contextos electorales, de seguridad o en políticas públicas sin las debidas salvaguardias puede derivar en prácticas de vigilancia, manipulación o discriminación. Un entorno donde los datos personales no están protegidos tiende a limitar la libertad de expresión y ―una vez más― debilitar la democracia.
El Día de la Protección de Datos Personales es una oportunidad para recordar que detrás de cada base de datos hay personas con derechos. Como bien señala la Defensoría del Pueblo en su informe, fortalecer la protección de datos no es solo una responsabilidad del Estado, sino también de las empresas y de la ciudadanía. Sin embargo, fortalecer marcos institucionales nacionales, promover la cooperación regional e internacional y garantizar mecanismos efectivos como los derechos ARCO son pasos esenciales para asegurar que los datos personales no se conviertan en instrumentos de control o vulneración de libertades, sino en herramientas que permitan a las personas ejercer sus derechos con autonomía y dignidad.
El Día de la Protección de Datos Personales es una oportunidad para recordar que detrás de cada dato hay una persona con derechos, cuya dignidad, libertad e igualdad deben ser respetadas. La protección de los datos personales, lejos de ser un asunto técnico, es una condición indispensable para el ejercicio pleno de los derechos humanos en el siglo XXI.
(*) Periodista. Responsable de prensa del IDEHPUCP
