En México, la Ley Federal de Protección de Datos Personales en posesión de los particulares (vigente desde el 6 de julio de 2010) y su reglamento (en vigor desde el 22 de diciembre de 2011) son las principales fuentes de derecho que, de manera conjunta, tienen como finalidad regular el tratamiento legítimo, controlado e informado de los datos personales, para garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
Hasta el año 2016, según cifras oficiales del gobierno mexicano, la inversión de empresas pertenecientes a la Unión Europea alcanzó el 33,5% de la inversión extranjera. Muchas de estas compañías están participadas o controladas en más del 50% por empresas europeas que están obligadas al cumplimiento del nuevo reglamento.
En este contexto, aunque la legislación mexicana no ha tomado medidas particulares para homologar la normativa local con el RGPD, será de vital importancia la difusión del contenido del nuevo Reglamento para garantizar su correcta aplicación de forma armónica con el sistema legal mexicano. En otras palabras, es previsible que los cambios generados por el Reglamento conlleven nuevas medidas relacionadas con la protección de datos en la legislación mexicana. Podemos citar un precedente, Brasil.
En Brasil no existía un reglamento efectivo y detallado sobre la protección de datos personales, contaban con principios generales de inviolabilidad de la intimidad, de la vida privada, del honor y de la imagen de las personas, así como del secreto de las comunicaciones, previstos tanto en la Constitución Federal como en el código civil brasileño, además de normas escasas que regulan de forma muy amplia la materia. Este es el caso de la Ley 12.965/2014, conocida como «Marco Civil de Internet», que establece los principios, garantías, derechos y deberes para el uso de internet en el país. Este marco incluye normas generales que deben observarse en la obtención, uso, almacenamiento y tratamiento de los datos personales, así como del Código de Defensa del Consumidor (Ley 8.078/1990), que contiene disposiciones escasas acerca del derecho de los consumidores al acceso a su propia información existente en registros, archivos y bases de datos personales y de consumo.
La entrada en vigor del RGPD ha provocado, además de la obligatoria adecuación al RGPD por parte de empresas brasileñas que manejan datos personales de personas que se encuentran en la Unión Europea, la aprobación en régimen de urgencia de la tramitación de uno de los tres proyectos de ley para tratar específicamente la protección de datos personales (PLS 330/2013), la cual, desde hacía años, se tramitaba en el Congreso Nacional sin avances significativos. Efectivamente, el 10 de julio de 2018, el Senado Federal aprobaba el Proyecto de Ley de la Cámara de los Diputados no 53, que dispone sobre la protección de datos personales en Brasil y modifica la Ley Nº 12.965, del 23 de abril de 2014, dando origen a la Ley General de Protección de Datos Personales Brasileña.
La nueva ley supondrá un marco disciplinar para la protección de datos personales, definiendo los términos y condiciones de su obtención y tratamiento, y aplicándose a entidades públicas y privadas que realicen el tratamiento de datos personales de personas ubicadas en Brasil (con independencia del lugar del tratamiento de esos datos) y el tratamiento de datos realizado en Brasil que tenga por objetivo la oferta o el suministro de servicios en territorio nacional (con independencia de la origen de los titulares de los datos).
La definición de datos personales incluye “cualquier información relacionada a una persona natural identificada o pasible de identificación”, estando previsto un régimen legal específico para datos calificados como sensibles (por ejemplo, datos personales sobre origen racial o étnico, creencias religiosas, opiniones políticas, afiliación a sindicatos u organizaciones religiosas, filosóficas o políticas, datos relacionados con la salud o la vida sexual, genéticos o biométricos).
La nueva ley prevé, además, la creación de la Autoridad Nacional de Protección de Datos, cuyas funciones incluirán la fiscalización del cumplimiento de las obligaciones previstas en la nueva legislación, incluyendo la competencia para la aplicación de sanciones que podrán ir desde una simple advertencia hasta la aplicación de multas de hasta el 2% de la facturación bruta del grupo en Brasil durante el último ejercicio o a la suspensión o prohibición del tratamiento de datos relacionados con la infracción.
Siguiendo la experiencia europea de garantizar un plazo para la adecuación a la nueva normativa que ha sido de 24 meses, las entidades brasileñas tendrán un plazo de 18 meses desde la publicación oficial de la nueva ley para prepararse para su entrada en vigor.
Después de recordar lo que ha sucedido en Brasil cabe decir que es más que previsible que los cambios generados por el Reglamento conlleven nuevas medidas relacionadas con la protección de datos en la legislación mexicana.