Importancia de una ley de protección de datos personales en Guatemala
Autora: Lic. José Rodrigo Toledo
Correo electrónico: JRTOLEDO@BI.COM.GT
El tema de privacidad y protección de datos ya no es un tema nuevo y muchos países ya cuentan con normativa adecuada para tratar esta materia. Sin embargo, en la actualidad no existe en Guatemala una Ley de Protección de Datos como tal, únicamente se cuenta con ciertos textos normativos y jurisprudenciales que sirven para establecer una guía (no muy clara) en cuanto al tratamiento de datos personales. Esto produce serios problemas de inseguridad jurídica en la materia, especialmente cuando se trata de entidades que manejan cantidades significativas de datos diariamente.
¿Qué tenemos hoy en día?
La privacidad no es un derecho nuevo, de hecho, existe normativa nacional y extranjera que regula estos temas desde hace muchas décadas. Sin ir muy lejos, la Constitución de Guatemala, que fue aprobada en 1985, contiene en su artículo 24, la “Inviolabilidad de correspondencia, documentos y libros” que a su vez establece la siguiente garantía: “Se garantiza el secreto de la correspondencia y de las comunicaciones telefónicas, radiofónicas, cablegráficas y otros productos de la tecnología moderna.” Sin embargo, existe una buena razón para que, hoy en día, se considere que el tema de protección de datos personales esté íntimamente ligado a los avances tecnológicos pues, la revolución digital transformó al mundo de muchas formas, siendo una de ellas la forma en la que generamos, explotamos y consumimos información (datos). Esto sin mencionar la creciente popularidad de las tecnologías emergentes como la inteligencia artificial y, próximamente la computación cuántica, la cuales potencializan de forma exponencial el procesamiento de datos de todo tipo.
Entonces es evidente que es necesario también actualizar nuestro marco jurídico para responder a esta nueva realidad, pero ¿en Guatemala tenemos alguna normativa relacionada a protección de datos personales? Pues la respuesta es que sí.
Ya se mencionó que nuestra constitución reconoce hasta cierto punto el derecho de privacidad, pero también tenemos la Ley de Acceso a la Información Pública la cual cobró vigencia en el año 2009. El objetivo de esta ley fue crear una herramienta legal para que los guatemaltecos pudieran acceder a la información pública con la que se les relaciona, así como reforzar la transparencia y rendición de cuentas del sector público, tanto así que el primer artículo de esta ley establece como uno de sus objetos “Garantizar a toda persona individual el derecho a conocer y proteger los datos personales de lo que de ella conste en archivos estatales, así como de las actualizaciones de los mismos”. Sin embargo, el alcance de esta ley se limita a los datos personales que consten en archivos estatales, o de entidades privadas que manejen fondos públicos por lo que no se le puede considerar una ley de protección de datos como tal. Aún así, la ley nos trae importantes aportes como la primera definición de datos personales dentro de nuestro ordenamiento jurídico en su artículo noveno definiéndolos como: “los relativos a cualquier información concerniente a personas naturales identificadas o identificables”. La ley también aporta la primera definición de datos personales “sensibles”.
Como se mencionó anteriormente, en Guatemala aún no existe regulación específica para el tratamiento de datos personales. No obstante, la Corte de Constitucionalidad de Guatemala ha tratado este tema en diversas ocasiones. Las resoluciones de la Corte de Constitucionalidad 1356-2006, 863-2011, y 3552 -2014 profundizan sobre el tema de protección de datos personales y, aunque las 3 sentencias varían en conceptos y definiciones, se podría decir que todas resuelven en el mismo sentido reconociendo incluso algunos de los derechos “ARCO- POL”, por lo que pueden ser consideradas como doctrina legal o jurisprudencia, convirtiéndose así en una legítima (aunque incompleta) fuente de derecho en materia protección de datos personales en Guatemala.
Es importante tomar en consideración que en la mayoría de los países los sectores financieros y bancarios tienden a contar con normativas especializadas para ciertos temas debido a la importancia de mantener un sistema financiero saludable y el tema de privacidad no es excepción cuando se trata de regulación bancaria específica. Por ejemplo, la Ley de Bancos y Grupos Financieros contiene un artículo que es sumamente relevante en cuanto al tratamiento de datos bancarios, el artículo 63 “Confidencialidad de operaciones” el cual establece que los bancos “…no podrán proporcionar información, bajo cualquier modalidad, a ninguna persona, individual o jurídica, pública o privada, que tienda a revelar el carácter confidencial de la identidad de los depositantes de los bancos, instituciones financieras y empresas de un grupo financiero, así como las informaciones proporcionadas por los particulares a estas entidades.”
Este artículo, que regula lo que doctrinariamente se conoce como “el secreto bancario” es una obligación de confidencialidad que los bancos e instituciones financieras le deben a sus clientes, el cual es bastante restrictivo y sin muchas excepciones. Es importante resaltar la generalidad de esta disposición ya que no se limita a datos personales sino a toda información que proporcione cualquier particular.
También podemos mencionar la Resolución de Junta Monetaria “JM 104-2021 – Reglamento para la Administración del Riesgo Tecnológico” publicada en el año 2021. Este reglamento tiene como objetivo establecer las directrices y procedimientos que deben seguir los bancos para administrar y reducir su riesgo tecnológico, como lo dice su nombre. En sí, la norma trata temas en su mayoría sobre seguridad de la información y ciberseguridad; y aunque estos temas están íntimamente ligados con el tema de protección de datos y, a pesar de que equivocadamente se crea que este es un reglamento sobre protección de datos personales, evidentemente no lo es. Sin embargo, el reglamento contiene algunas disposiciones que indirectamente empiezan a tocar el tema de privacidad (ahí la confusión). Por ejemplo, el artículo 41 de esta normativa “Contratación con terceros de servicios que procesen y/o almacenen información” también contiene una disposición que llama la atención, específicamente en su inciso “e” el cual establece que la siguiente prohibición: “Prohibición al proveedor de utilizar la información para algún propósito diferente al establecido en el contrato, durante la vigencia y posterior a la terminación de este.”
Esta disposición refleja el “Principio de Limitación de Propósito” que se encuentra materializado en el artículo 5 del Reglamento General de Protección de Datos Personales de la Unión Europea.
Toda esta normativa dispersa claramente comienza a introducir principios en materia de privacidad, sin embargo, la falta de orden, claridad, actualización y profundización del tema trae consigo consecuencias negativas para el país.
¿Cuáles son las consecuencias?
Al no contar con una normativa desarrollada sobre privacidad o protección de datos, las personas y las empresas guatemaltecas no tienen una directriz o incluso un incentivo para la implementación de programas y sistemas de protección de datos personales o peor aún, no le dan ninguna importancia a la custodia de los mismos pues aparentemente no existe ninguna consecuencia legal. Son contadas las corporaciones que están comenzando a percatarse de la importancia del tema pues se han visto en situaciones donde sus socios comerciales internacionales les exigen cierto nivel de cumplimiento de privacidad. Cada día son más evidentes las consecuencias negativas de seguir con este vacío legal pues la mayoría de los contratos comerciales ahora cuentan con cláusulas de privacidad que obligan a las partes a sujetarse a estándares internacionales de protección de datos, estándares que en la mayoría de los casos no están implementados.
Es importante enfatizar lo esencial que es la información o “la data” para la toma de decisiones de cualquier negocio hoy en día algunos incluso dependen de la analítica de data para que sus modelos de negocio sean rentables o funcionales y, al no existir una normativa nacional clara (y mucho menos una cultura de privacidad) las empresas y particulares tienden a utilizar, procesar y explotar los datos de forma indiscriminada, es decir, tratan los datos personales de la misma forma que se tratan los datos de cualquier naturaleza. Por otro lado, también se da la situación de que, al no existir reglas claras, Guatemala se verá poco atractiva para inversionistas extranjeros que requieren de mucha certeza jurídica en el tema de tratamiento de datos. Además, es importante recalcar que el “secreto bancario” obstaculiza la colaboración interbancaria e interinstitucional para combatir ilícitos como fraudes electrónicos y limita la innovación financiera, como los proyectos de “open banking” ya que, para que este tipo de operaciones tengan éxito, es necesario tener bien definido y desarrollado el derecho de portabilidad establecido dentro de los derechos ARCO-POL.
Si bien contamos con ciertas definiciones y criterios en nuestro ordenamiento jurídico, aún no tenemos bien definidos los derechos de los usuarios, sus excepciones, las obligaciones de los responsables del procesamiento, las sanciones de incumplimiento entre otros.
En conclusión, no contar con una Ley de Protección de Datos Personales apropiada limita nuevos modelos de negocio e inversión extranjera, pero al mismo tiempo deja a todos los ciudadanos en un estado de vulnerabilidad e incertidumbre jurídica en cuanto a sus derechos de privacidad y la forma de ejercerlos.
¿Qué se propone?
En el 2024 fui invitado a participar a las mesas técnicas convocadas por el Foro Parlamentario de Transformación Digital del Congreso de la Republica. Este foro tiene como objetivo incluir a representante de todos los sectores para la discusión y propuesta de nuevas leyes en materia digital. Una de estas propuestas es la Ley de Protección de Datos Personales que, si bien no es la primera propuesta de ley en esta materia, es la que más se apega a los estándares internacionales aceptados actualmente ya que en su discusión participaron profesionales distintas disciplinas y sectores. Es una propuesta de ley bastante general y básica que contiene los principios esenciales para contar con un marco normativo adecuado en materia de protección de datos personales.
El objetivo no es limitar el aprovechamiento de datos que sirve para eficientizar y mejorar el alcance de los servicios y productos o limitar el ecosistema de innovación, al contrario, el objetivo es obtener un equilibrio entre la explotación responsable de la data sin vulnerar la privacidad de las personas y esto únicamente se logra con reglas y principios claros. Por supuesto que toda propuesta normativa es sujeta a mejoras, pero confío que si este proyecto de ley llega a aprobarse podremos decir que contamos (al fin) con una normativa de privacidad clara, completa y propia de primer mundo.
Fuente: Revista Unit Edición No. 13 – Abril 2025