Privacidad y Protección de Datos en América Latina: ¿Hacia un estándar regional similar al RGPD europeo?

InLaw Alliance | Europa ha sido referente en materia de protección de datos personales. Ya en 1981 el Consejo de Europa adoptaba el Convenio 108, el primer instrumento internacional vinculante sobre protección de datos. Incluso se abrió a la firma de Estados no europeos en 2013, con la incorporación de 9 países, entre ellos Argentina, México y Uruguay.

Los mercados integrados, el avance de Internet, las transacciones internacionales y, por cierto, la consideración del dato personal como objeto comerciable dieron cuenta de una regulación insuficiente. El Reglamento General de Protección de Datos de la Unión Europea de 2016 (en adelante "RGPD", por sus siglas en español), marcó un hito en esta materia, ampliando las tutelas sobre la información personal y traspasando responsabilidad a las empresas que la manejaban.

La ola de cambios iniciados por el RGPD se hizo sentir al poco tiempo en Latinoamérica. Tan solo un año después de su entrada en vigencia, en Chile, Brasil, Colombia, México, Argentina, Uruguay y Perú, tanto en leyes dictadas como en proyectos de reforma, se podía apreciar una convergencia en elementos estructurales que venían del RGPD: el reconocimiento del dato personal como proyección del derecho a la vida privada, la consagración de principios comunes (licitud, finalidad, proporcionalidad, calidad, seguridad, transparencia) y el reconocimiento de los derechos de acceso, rectificación, cancelación/supresión y oposición del titular ("derechos ARCO").

Brasil puso plenamente en vigor su Lei Geral de Proteção de Dados (LGPD) en 2020, que replica de manera bastante fiel la estructura del RGPD: amplios principios, bases de legitimación alternativas al consentimiento, figura del encargado de datos, evaluaciones de impacto y autoridad administrativa especializada. Ecuador, por su parte, adoptó su Ley Orgánica de Protección de Datos Personales (LOPDP), que desarrolla derechos ARCO, reglas estrictas para tratamientos a gran escala y transferencias internacionales, y un régimen sancionatorio con multas significativas, también inspirado en el estándar europeo. En tanto, Perú, que ya había modificado su Ley N.º 29.733, sobre Protección de Datos Personales en 2017, dictó recientemente un nuevo reglamento (Decreto Supremo N.º 016-2024-JUS), que entró en vigencia en marzo de 2025.

En este contexto, la reciente reforma chilena a la Ley N.º 19.628 sobre protección de datos personales (en adelante "LPDP") marca un punto de inflexión y sitúa a Chile mucho más cerca de ese grupo de países de la órbita RGPD. El nuevo texto entrará en vigor el próximo 1 de diciembre de 2026 y plantea grandes desafíos de adecuación para las empresas, pero también a nivel institucional.

Dentro de los principales aportes está, en primer término, la adopción de una definición más amplia del dato personal, muy cercana a la del RGPD, e incorpora dentro de los datos sensibles categorías que no existían, como los relativos a salud, perfil biológico humano, datos genéticos y biométricos, orientación sexual e identidad de género. Además, establece un régimen de tratamiento fuertemente restringido, basado en consentimiento expreso y en excepciones acotadas de interés público.

Luego, la nueva LPDP consagra de manera más detallada los principios que deben regir el uso y tratamiento de datos, en términos similares a los del RGPD. Cabe decir que previo a esta modificación a la LPDP, en 2018 ya se había incorporado a la Constitución chilena la garantía de protección de datos personales. En ese mismo orden de ideas, además de los derechos ARCO, se incorporan el derecho a la portabilidad de datos y el bloqueo temporal de su tratamiento.

Siguiendo el esquema del RGPD, junto con mantener la regla del consentimiento libre, informado, específico e inequívoco —que debe ser acreditado por el responsable de datos— se reconocen otras bases de legitimación de uso y tratamiento.

Como ya ha sido la tendencia luego del RGPD, se instituye un órgano público especializado —la Agencia Nacional de Protección de Datos Personales (ANPDP)— con facultades similares a las autoridades de control europeas. Pero incluso a nivel organizacional privado se crean figuras de control interno, como el delegado de protección de datos, quien puede desarrollar modelos preventivos, de modo de actuar anticipadamente ante eventuales riesgos.

Cabe señalar que la nueva legislación impone durísimas sanciones en caso de infracción, que pueden llegar incluso hasta el 4% de los ingresos anuales, tratándose de empresas de mayor tamaño, de nuevo en concordancia con el RGPD.

Se imponen deberes de protección a los organismos públicos o privados que manejen datos personales, con obligación de reportar todo incidente o brechas de seguridad a la ANPDP o incluso, en ciertos casos, a sus propios titulares.

A nivel legislativo puede parecer que estamos adoptando un estándar regional similar al europeo, pero aún es muy temprano para confirmarlo. Con todo, es claro que América Latina ha dejado de mirar la protección de datos como un apéndice de la vida privada, para concebirla como un derecho autónomo, con dimensión constitucional, económica y regulatoria. Finalmente, todo va a depender de la interpretación, las capacidades institucionales y de la aplicación práctica que de ella puedan hacer los titulares, usuarios, empresas y agencias nacionales en nuestra región.