Uno sguardo al passato e al futuro sulla protezione dei dati in America Latina e Spagna

Siamo orgogliosi di annunciare una nuova versione aggiornata delle leggi sulla privacy dello Stato delle comunicazioni in otto paesi dell'America Latina e in Spagna. Per oltre un anno, EFF ha lavorato con organizzazioni partner per sviluppare domande e risposte dettagliate (FAQ) sulle leggi sulla privacy delle comunicazioni. Il nostro lavoro si basa sulla ricerca precedente e in corso di tali sviluppi in Argentina , Brasile , Cile , Colombia , Messico , Paraguay , Panama , Perù e Spagna . Miriamo a comprendere le sfide legali di ogni paese, al fine di aiutarci a individuare le tendenze, identificare gli standard migliori e peggiori e fornire consigli per guardare avanti. Questo post sugli sviluppi della protezione dei dati nella regione fa parte di una serie di post sulle attuali leggi sulla privacy sullo stato delle comunicazioni in America Latina e Spagna.

Guardando indietro agli ultimi dieci anni nella protezione dei dati, abbiamo assistito a notevoli progressi legali nel garantire agli utenti il ​​controllo sulla loro vita personale. Dal 2010, sessantadue nuovi paesi hanno emanato leggi sulla protezione dei dati , per un totale di 142 paesi con leggi sulla protezione dei dati in tutto il mondo. In America Latina, il Cile è stato il primo paese ad adottare tale legge nel 1999, seguito dall'Argentina nel 2000. Diversi paesi hanno ora seguito l'esempio: Uruguay (2008), Messico (2010), Perù (2011), Colombia (2012), Brasile (2018), Barbados (2019) e Panama (2019). Sebbene esistano ancora diversi approcci alla privacy, le leggi sulla protezione dei dati non sono più un fenomeno puramente europeo.

Tuttavia, gli sviluppi contemporanei della legislazione europea sulla protezione dei dati continuano ad avere un'enorme influenza nella regione, in particolare, il Regolamento generale sulla protezione dei dati (GDPR) 2018 dell'UE . Dal 2018, diversi paesi, tra cui Barbados e Panama, hanno aperto la strada all'adozione di leggi ispirate al GDPR nella regione, promettendo l'inizio di una nuova generazione di legislazione sulla protezione dei dati. In realtà, le protezioni sulla privacy dei Brasile nuova legge GDPR di ispirazione s' è entrato in vigore la scorsa settimana, il 18 settembre, dopo che il Senato spinto indietro su un ordine di ritardo dal presidente Jair Bolsonaro.

Ma quando si parla di protezione dei dati nel contesto delle forze dell'ordine, pochi paesi hanno adottato gli ultimi passi dell'Unione europea. La direttiva di polizia dell'UE , una legge sul trattamento dei dati personali per le forze di polizia, non è ancora diventata un fenomeno latinoamericano. Il Messico è l'unico paese con una normativa specifica sulla protezione dei dati per il settore pubblico. In tal modo, i paesi delle Americhe perdono un'opportunità cruciale per rafforzare le loro salvaguardie sulla privacy delle comunicazioni con diritti e principi comuni al kit di strumenti per la protezione dei dati globali.

Nuove leggi sulla protezione dei dati ispirate al GDPR
Brasile , Barbados e Panama sono stati i primi paesi della regione ad adottare leggi sulla protezione dei dati ispirate al GDPR. La legge di Panama, approvata nel 2019, entrerà in vigore nel marzo 2021.

La legge brasiliana ha dovuto affrontare una dura battaglia. Le disposizioni che istituiscono l'autorità di controllo sono entrate in vigore nel dicembre 2018, ma il governo ha impiegato un anno e mezzo per introdurre un decreto che ne implementasse la struttura . Il decreto, tuttavia, avrà valore legale solo quando il Presidente del Consiglio sarà ufficialmente nominato e approvato dal Senato. Nessun appuntamento è stato fissato alla pubblicazione di questo post. Per il resto della legge, il termine originale per entrare in vigore era febbraio 2020. Questo è stato successivamente modificato nell'agosto 2020. La legge è stata poi ulteriormente rinviata a maggio 2021 tramite un atto esecutivo emesso dal presidente Bolsonaro. Tuttavia, con una sorprendente svolta positiva, il Senato brasiliano ha fermato il rinvio del presidente Bolsonaro ad agosto. Ciò significa che la legge è ora in vigore, ad eccezione della sezione delle sanzioni che è stata nuovamente rinviata ad agosto 2021.

Definizione di dati personali
Come il GDPR, le leggi del Brasile e di Panama includono una definizione completa dei dati personali. Include qualsiasi informazione riguardante una persona identificata o identificabile. La definizione di dati personali nella legge delle Barbados ha alcune limitazioni. Protegge solo i dati che si riferiscono a un individuo che può essere identificato “da quei dati; o da tali dati insieme ad altre informazioni in possesso o che potrebbero entrare in possesso del fornitore. " I dati resi anonimi in Brasile, Panama e Barbados non rientrano nell'ambito di applicazione della legge. Esistono anche variazioni nel modo in cui questi paesi definiscono i dati resi anonimi.

Panama lo definisce come dati che non possono essere riidentificati con mezzi ragionevoli. Tuttavia, la legge non stabilisce parametri espliciti per guidare questa valutazione. La legge brasiliana chiarisce che i dati resi anonimi saranno considerati dati personali se il processo di anonimizzazione viene annullato utilizzando esclusivamente i mezzi propri del fornitore o se può essere annullato con sforzi ragionevoli. La legge brasiliana definisce fattori oggettivi per determinare ciò che è ragionevole, come il costo e il tempo necessari per invertire il processo di anonimizzazione, in base alle tecnologie disponibili, e l'uso esclusivo dei mezzi propri del provider. Questi parametri influenzano le grandi aziende tecnologiche con un'estesa potenza di calcolo e grandi raccolte di dati, che dovranno determinare se le proprie risorse potrebbero essere utilizzate per ri-identificare i dati resi anonimi. Questa disposizione non dovrebbe essere interpretata in modo da ignorare gli scenari in cui la condivisione o il collegamento di dati resi anonimi con altri set di dati, o informazioni pubblicamente disponibili, porta alla reidentificazione dei dati.

Diritto alla portabilità
I tre paesi garantiscono agli utenti il ​​diritto alla portabilità, il diritto di prendere i propri dati da un fornitore di servizi e trasferirli altrove. La portabilità si aggiunge ai cosiddetti diritti ARCO (accesso, rettifica, cancellazione e opposizione), un insieme di diritti degli utenti che consentono loro di esercitare il controllo sui propri dati personali.

Chi fa rispettare le leggi sulla portabilità dovrà prendere decisioni attente su ciò che accade quando una persona vuole trasferire dati che riguardano sia lei che un'altra persona, come il grafico sociale dei contatti e le informazioni di contatto come i numeri di telefono. Ciò implica la privacy e altri diritti di più di una persona. Inoltre, mentre la portabilità aiuta gli utenti a lasciare una piattaforma, non li aiuta a comunicare con altri che utilizzano ancora quella precedente. Gli effetti di rete possono impedire il decollo dei concorrenti emergenti. Questo è il motivo per cui abbiamo anche bisogno dell'interoperabilità per consentire agli utenti di interagire tra loro oltre i confini delle grandi piattaforme.

Anche in questo caso, paesi diversi hanno approcci diversi. La legge brasiliana cerca di risolvere i problemi relativi ai dati multi-persona e all'interoperabilità non limitando i "dati trasferiti" ai dati che l'utente ha fornito a un provider. Inoltre, non specifica il formato da adottare. Invece, la protezione dei dati l'autorità può stabilire gli standard tra gli altri per l'interoperabilità, la sicurezza, i periodi di conservazione e la trasparenza. A Panama, la portabilità è un diritto e un principio. È uno dei principi generali di protezione dei dati che guidano l'interpretazione e l'attuazione della loro legge generale sulla protezione dei dati . Come diritto, assomiglia al modello GDPR. L'utente ha il diritto di ricevere una copia dei propri dati personali in un formato strutturato, di uso comune e leggibile da una macchina. Il diritto si applica solo quando l'utente ha fornito i propri dati direttamente a fornitore di servizi e ha dato il proprio consenso o quando i dati sono necessari per l'esecuzione di un contratto. La legge di Panama afferma espressamente che la portabilità è "un diritto irrevocabile" che può essere richiesto in qualsiasi momento nt.

I diritti di portabilità alle Barbados sono simili a quelli a Panama. Ma, come il GDPR, ci sono alcune limitazioni. Gli utenti possono esercitare i propri diritti di trasferire direttamente i propri dati da un provider a un altro solo se tecnicamente fattibile. Come Panama, gli utenti possono trasferire i dati che hanno fornito loro stessi ai fornitori e non i dati su se stessi che altri utenti hanno condiviso.

Processo decisionale automatizzato sugli individui
I sistemi decisionali automatizzati prendono decisioni continue sulle nostre vite per aiutare o sostituire il processo decisionale umano. Esiste quindi un diritto emergente ispirato al GDPR di non essere sottoposto a processi decisionali esclusivamente automatizzati che possono produrre effetti legali o similmente significativi sull'individuo. Questo nuovo diritto si applicherebbe, ad esempio, ai sistemi decisionali automatizzati che utilizzano "profili" per prevedere aspetti della nostra personalità, comportamento, interessi, luoghi, movimenti e abitudini. Con questo nuovo diritto, l'utente può contestare le decisioni prese su di loro e / o ottenere una spiegazione sulla logica della decisione. Anche qui ci sono alcune variazioni tra i paesi.

La legge brasiliana stabilisce che l'utente ha il diritto di rivedere le decisioni che lo riguardano basate esclusivamente sul trattamento automatizzato dei dati personali. Questi includono decisioni intese a definire profili personali, professionali, di consumo o di credito o altri tratti della personalità di qualcuno. Sfortunatamente, il presidente Bolsonaro ha posto il veto a una disposizione che richiede la revisione umana in questo processo decisionale automatizzato. Al rialzo, l'utente ha il diritto di richiedere al fornitore di rivelare informazioni sui criteri e sulle procedure adottate per il processo decisionale automatizzato, anche se purtroppo esiste un'eccezione per i segreti commerciali e industriali.

In Barbados, l'utente ha il diritto di conoscere, su richiesta del fornitore, l'esistenza di decisioni basate sul trattamento automatizzato dei dati personali, compresa la profilazione. Come in altri paesi, ciò include l'accesso alle informazioni sulla logica coinvolta e le conseguenze previste su di esse. Gli utenti di Barbados hanno anche il diritto di non essere soggetti a processi decisionali automatizzati senza coinvolgimento umano e a decisioni automatizzate che produrranno effetti legali o similmente significativi sull'individuo, compresa la profilazione. Esistono eccezioni quando le decisioni automatizzate sono: necessarie per stipulare o eseguire un contratto tra l'utente e il fornitore; autorizzato dalla legge; o in base al consenso dell'utente. Barbados ha definito il consenso in modo simile alla definizione del GDPR. Ciò significa che deve esserci un'indicazione libera, specifica, informata e inequivocabile dei desideri dell'utente al trattamento dei propri dati personali. L'utente ha la possibilità di cambiare idea .

La legge di Panama garantisce inoltre agli utenti il ​​diritto di non essere soggetti a una decisione basata esclusivamente sul trattamento automatizzato dei propri dati personali, senza coinvolgimento umano, ma questo diritto si applica solo quando il processo produce effetti legali negativi riguardanti l'utente o pregiudica i diritti degli utenti . Come nelle Barbados, Panama consente decisioni automatizzate necessarie per la stipula o l'esecuzione di un contratto, basate sul consenso dell'utente o consentite dalla legge. Ma Panama definisce il "consenso" in un modo meno protettivo dell'utente: quando una persona fornisce una "manifestazione" della propria volontà.

Base giuridica per il trattamento dei dati personali
È importante che le leggi sulla privacy dei dati richiedano ai fornitori di servizi di disporre di una base legale valida per elaborare i dati personali e di documentare tale base prima di iniziare il trattamento . In caso contrario, il trattamento sarà illegale. I regimi di protezione dei dati, inclusi tutti i principi ei diritti dell'utente, devono essere applicati indipendentemente dal fatto che il consenso sia richiesto o meno.

La nuova legge di Panama consente tre basi giuridiche diverse dal consenso: per adempiere a un obbligo contrattuale, per rispettare un obbligo legale o come autorizzato da una legge particolare. Il Brasile e le Barbados stabiliscono dieci basi legali per il trattamento dei dati personali, quattro in più rispetto al GDPR, con il consenso come solo una di esse. La legge brasiliana e delle Barbados cerca di bilanciare questo approccio fornendo agli utenti informazioni chiare e concise su ciò che i fornitori fanno con i loro dati personali. Concede inoltre agli utenti il diritto di opporsi al trattamento dei propri dati, che consente agli utenti di interrompere o impedire l'elaborazione.

Protezione dei dati nel contesto delle forze dell'ordine
L'America Latina è in ritardo su un regime completo di protezione dei dati che si applica non solo alle società, ma anche alle autorità pubbliche quando trattano i dati personali a fini di contrasto. L ' UE, invece, ha adottato non solo il GDPR ma anche la Direttiva di Polizia dell'UE, una legge che regola il trattamento dei dati personali per le forze di polizia . La maggior parte delle leggi Latam sulla protezione dei dati esentano le attività di contrasto e di intelligence dall'applicazione della legge. Tuttavia, in Colombia , alcune norme sulla protezione dei dati si applicano al settore pubblico. Il GDPL di quella nazione si applica al settore pubblico, con eccezioni per la sicurezza nazionale, la difesa, le normative antiriciclaggio e l'intelligence. La Corte Costituzionale ha affermato che queste eccezioni non sono esclusioni assolute dall'applicazione della legge, ma un'esenzione solo ad alcune disposizioni. Il diritto statutario complementare dovrebbe regolamentarli, fatto salvo il principio di proporzionalità.

La Spagna non ha ancora implementato la direttiva di polizia dell'UE. Di conseguenza, il trattamento dei dati personali per le attività di contrasto rimane conforme agli standard della precedente legge sulla protezione dei dati del paese . Le leggi dell'Argentina e del Cile si applicano alle forze dell'ordine e il Messico ha una normativa specifica sulla protezione dei dati per il settore pubblico. Ma Perù e Panama escludono le forze dell'ordine dall'ambito delle loro leggi sulla protezione dei dati. La legge brasiliana crea un'eccezione al trattamento dei dati personali esclusivamente per la sicurezza pubblica, la sicurezza nazionale e le indagini penali. Tuttavia, stabilisce che deve essere approvata una legislazione specifica per regolamentare queste attività.

Raccomandazioni e sguardo al futuro
La privacy delle comunicazioni ha molto da guadagnare con l'intersezione tra le sue tradizionali garanzie di inviolabilità e il kit di strumenti per la protezione dei dati. Quell'incrocio aiuta a rafforzare gli standard internazionali sui diritti umani applicabili all'accesso delle forze dell'ordine ai dati delle comunicazioni. I principi di minimizzazione dei dati e limitazione delle finalità nel mondo della protezione dei dati sono correlati ai principi di necessità, adeguatezza e proporzionalità previsti dal diritto internazionale sui diritti umani. Sono necessari per frenare la conservazione massiccia dei dati o l'accesso del governo a rete ai dati. L'idea che qualsiasi trattamento dei dati personali richieda una base legittima sostiene i principi di base della legalità e l'obiettivo legittimo di porre limitazioni ai diritti fondamentali. L'accesso delle forze dell'ordine ai dati delle comunicazioni deve essere chiaramente e precisamente prescritto dalla legge. Nessun altro fondamento legittimo oltre al rispetto di un obbligo legale è accettabile in questo contesto.

La trasparenza della protezione dei dati e la salvaguardia delle informazioni rafforzano il diritto dell'utente a una notifica quando le autorità governative hanno richiesto i suoi dati . I tribunali europei hanno affermato che questo diritto deriva dalla tutela della privacy e della protezione dei dati. Nelle cause Tele2 Sverige AB e Watson , la Corte di giustizia dell'UE (CGUE) ha dichiarato che "le autorità nazionali alle quali è stato concesso l'accesso ai dati conservati devono informare le persone interessate … non appena tale notifica non è più responsabile di mettere a repentaglio le indagini intraprese da tali autorità ". Prima di allora, in Szabó e Vissy c. Ungheria , la Corte europea dei diritti dell'uomo (CEDU) aveva dichiarato che la notifica agli utenti delle misure di sorveglianza è anche inestricabilmente legata al diritto a un ricorso effettivo contro l'abuso dei poteri di controllo.

La trasparenza della protezione dei dati e la salvaguardia delle informazioni possono anche svolgere un ruolo chiave nel promuovere una maggiore comprensione delle pratiche delle aziende e dei governi quando si tratta di richiedere e consegnare i dati delle comunicazioni degli utenti. In collaborazione con EFF, molte ONG latinoamericane hanno spinto i fornitori di servizi Internet a pubblicare le loro linee guida per l'applicazione della legge e ad aggregare informazioni sulle richieste di dati del governo. Abbiamo fatto progressi nel corso degli anni, ma c'è ancora molto spazio per migliorare. Quando si tratta di controllo pubblico, le autorità per la protezione dei dati dovrebbero avere il mandato legale di controllare il trattamento dei dati personali da parte di enti pubblici, comprese le forze dell'ordine. Devono essere autorità imparziali e indipendenti, competenti in materia di protezione dei dati e tecnologia e disporre di risorse adeguate nell'esercizio delle funzioni loro assegnate.

Esistono già molte salvaguardie essenziali nella regione del Latam. La maggior parte delle costituzioni dei paesi ha riconosciuto esplicitamente la privacy come diritto fondamentale e la maggior parte ha adottato leggi sulla protezione dei dati. Ogni costituzione riconosceva un diritto generale alla vita privata o all'intimità o un insieme di molteplici e specifici diritti: un diritto all'inviolabilità delle comunicazioni; un diritto esplicito alla protezione dei dati (Cile, Messico, Spagna); o "dati habeas" (Argentina, Perù, Brasile) come diritto o rimedio legale. (In generale, i dati habeas proteggono il diritto di qualsiasi persona di scoprire quali dati sono conservati su se stessi.) E, più recentemente, una sentenza storica della Corte Suprema del Brasile ha riconosciuto la protezione dei dati come un diritto fondamentale tratto dalla Costituzione del paese.

In tutto il nostro lavoro nella regione, le nostre FAQ aiutano a individuare scappatoie, segnalare gli standard o evidenziare misure di salvaguardia fondamentali (o la loro mancanza). È chiaro che l'ascesa delle leggi sulla protezione dei dati ha contribuito a proteggere la privacy degli utenti in tutta la regione: ma è necessario fare di più. Norme rigorose sulla protezione dei dati che si applicano alle attività di contrasto migliorerebbero la protezione della privacy delle comunicazioni nella regione. È urgentemente necessaria una maggiore trasparenza, sia per quanto riguarda le modalità di attuazione delle normative, sia per il lavoro aggiuntivo che le aziende private e il settore pubblico stanno intraprendendo per proteggere in modo proattivo i dati degli utenti.

Invitiamo tutti a leggere questi rapporti e riflettere su quale lavoro dovremmo sostenere e difendere nei giorni a venire e cosa ancora deve essere fatto.