Por: Aristides Victoria Pelaez
Los datos personales se han convertido en uno de los temas más controversiales de la nueva economía digital en los últimos años. Cada vez tenemos más ciudadanos empoderados que demandan protección a su intimidad y que desean saber el fin y propósito del tratamiento de sus datos personales. Por ejemplo, el 25 de mayo de 2018 entró en plena vigencia en la Unión Europea el Reglamento General de Protección de Datos (“RGPD”), que trajo consigo toda una revolución regulatoria en el viejo continente. Entre las principales novedades del RGPD se pueden citar las siguientes:
1. El llamado “derecho al olvido”, mediante la rectificación o en algunos casos supresión de datos personales;
2. El consentimiento “claro y afirmativo” de la persona que será objeto del tratamiento de datos personales;
3. El derecho de “trasladar” los datos personales a otro proveedor de servicios;
4. La notificación de brechas de seguridad y exposición de los datos personales;
5. Lenguaje claro en las cláusulas de privacidad; y
6. La figura del Delegado de Protección de Datos (“DPO” por sus siglas en inglés).
Definitivamente la regulación de los datos personales ha vivido un cambio de paradigma luego del RGPD. Recordemos que el ámbito de aplicación territorial (art. 3 RGPD) abarca a empresas que estén establecidas fuera de la UE y que ofrezca servicios ya sea de pago o gratuitos o en todo caso observa el comportamiento de personas residentes en la UE. Sobre esto último cabe precisar que no a todas las empresas que ofrezcan servicios a la UE se les aplica todas las obligaciones que establece el RGPD, sino a aquellas que tengan como “actividad principal” el tratamiento de datos personales, por ejemplo, una universidad que imparte cursos on-line a residentes de la UE. De ahí, la importancia de su aplicación, debido a que la misma excede los límites territoriales de la UE.
Ahora bien, ¿dónde se encuentra la República Dominicana en materia de protección de datos personales? El 15 de diciembre de 2013 fue publicada la Ley No. 172-13 (la “Ley de Protección de Datos”), cuyo objeto es: “la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos, destinados a dar informes, sean estos públicos o privados”. Esta Ley de Protección de Datos establece principios que le sirven de fundamento, tales como: licitud de los datos personales, calidad de los datos, derecho de información, consentimiento del afectado, seguridad de los datos, entre otros.
No obstante, si analizamos con detenimiento esta normativa podemos inferir de que es una ley con un enfoque principal al tratamiento de datos personales por las entidades crediticias. Incluso, a partir del artículo 25 de dicha ley se establece todo un procedimiento de reclamación aplicable a las Sociedades de Información Crediticia (“SIC”). Además de que, al compararla con las nuevas tendencias en materia de protección de datos, se puede inferir con facilidad que está dirigida a servicios análogos y, que, por lo tanto, necesita con carácter de urgencia un nuevo enfoque hacia la nueva economía digital en la que vivimos, más aún cuando se habla que “los datos personales son el petróleo del siglo XXI”.
En ese sentido, si estudiamos la nueva Ley Orgánica de “Protección de Datos Personales y Garantía de los Derechos Digitales” de España, desde su título podemos apreciar el enfoque especial hacia la regulación del tratamiento de datos personales en Internet, debido a que es allí donde está esa nueva economía digital que ha cambiado la forma de hacer negocios, y de interactuar en sentido general. Es por ello, que encontramos en esta ley una serie de garantías de los derechos digitales (artículo 79-97), como son:
derechos de la era digital;
derecho a la neutralidad en Internet;
derecho a la seguridad digital;
derecho a la educación digital;
derecho a la rectificación en Internet;
derecho a la actualización de informaciones en medios de comunicación digitales;
derecho a la desconexión digital; y
derecho al olvido en Internet.
Por consiguiente, en la República Dominicana necesitamos un cambio de enfoque en nuestra regulación de protección de datos. No podemos continuar con normativas dirigidas a una sociedad análoga, sino que debemos estar preparados para los retos que desde ya existen, toda vez que el tratamiento de nuestros datos personales es parte fundamental del negocio de innumerables empresas. Eso no quiere inferir que el legislador deba ir al mismo paso que la tecnología, sin embargo, tampoco puede estar absolutamente alejado de una realidad global.
Asimismo, un ejemplo evidente de la actual desprotección de nuestros datos es que la Ley de Protección de Datos establece los derechos de acceso y de rectificación ante el responsable del tratamiento, otorgándole un plazo de 10 días para verificar la reclamación. En caso de incumplimiento al referido plazo, el afectado podrá interponer la acción de habeas data. Estos mecanismos de “garantía” no son suficientes, además de lo ambiguo del texto normativo, debido a que debería existir una autoridad administrativa –con facultad normativa- que supervise la aplicación de la ley, y en particular, ejerza las funciones de vigilancia para el cumplimiento efectivo de las políticas que en su momento establezca.
En definitiva, actualmente todos somos usuarios de empresas cuya fuente principal de negocio son nuestros datos personales a través de publicidad digital, cookies, analítica, redes sociales, patrones de comporamiento digital, entre otros. Por tal razón, las discusiones sobre un nuevo texto normativo dirigido a proteger los datos personales deben profundizarse cuanto antes a los fines de que podamos darnos una regulación de protección de datos actualizada, con políticas de tratamiento efectivas, que garanticen la protección de nuestros datos, y que a su vez permita que las empresas puedan seguir operando, pero bajo un marco normativo con lineamientos claros, como los que en estas líneas humildemente sugerimos.