El Reglamento General de Protección de Datos de la UE: un espejo en el que debemos mirarnos

Ante la exponencial disrupción tecnológica que ha transformado el mundo en las últimas décadas, la República Dominicana no ha permanecido inerte. Es evidente que en materia de digitalización en el país se han producido importantes avances: mejoras en la prestación de los servicios públicos, reducción de la brecha digital y una creciente proliferación de empresas cuyo modelo de negocio está basado en las tecnologías de la información o en la prestación de servicios derivados de ellas.

Asimismo, en la esfera gubernamental se ha implementado el programa «República Digital», que integra proyectos como el Sistema de Gestión de Citas Médicas, que permitirá a los ciudadanos solicitar citas hospitalarias de manera remota y que ha diseminado más de 60,000 dispositivos electrónicos en los planteles escolares.

Sin embargo, por las características propias de la sociedad digital, estos avances deben ir acompañados de herramientas que instauren un nivel adecuado de seguridad y resiliencia cibernética, y no deben suponer un menoscabo de los derechos fundamentales reconocidos en nuestro ordenamiento jurídico, especialmente, la privacidad de los individuos y la protección de sus datos personales.

En este sentido, la República Dominicana cuenta con una normativa de protección de datos aprobada en el año 2013, la Ley No. 172-13 que tiene por objeto la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados, de la cual, huelga decir, que al igual que el resto de normativas latinoamericanas, se inspiró en la española Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, que a su vez fue el resultado de la transposición de la Directiva Europea 95/46/CE, hoy derogada en razón de su insuficiencia.

Y es aquí donde entra en juego el Reglamento General de Protección de Datos de la Unión Europea, en plena aplicación desde el 25 de mayo de 2018 —en lo sucesivo RGPD—, puesto que deroga la referida directiva europea y fue aprobado con el marcado interés de devolver un verdadero control a los interesados frente a la irrupción de tecnologías como el big data, la inteligencia artificial, la computación en la nube, la computación cuántica y otras tantas tecnologías que no existían en el año 1995.

En línea con lo anterior, el marco europeo ha pasado de ser correctivo a ser preventivo, porque la protección del derecho fundamental no se reduce a la potestad sancionadora con ocasión de una vulneración, sino que el modelo está diseñado para prevenir que las transgresiones ocurran. Por ello, se han consagrado los principios de privacidad por defecto y desde el diseño; se ha incluido con carácter reforzado el principio de transparencia y la norma —en general— está orientada por el principio de accountability, en virtud del cual, además de cumplir con las exigencias del reglamento, se precisa estar en condiciones de demostrar que se cumple.

Del mismo modo, el reglamento europeo exige que el consentimiento para el tratamiento de datos sea otorgado de manera inequívoca, quedando excluido todo consentimiento implícito o por inacción y se han ampliado considerablemente los derechos de los interesados al incluir el derecho al olvido o supresión, el derecho a la limitación del tratamiento, el derecho a no ser objeto de decisiones individualizadas basadas en el tratamiento automático de datos, entre otros.

Todo lo anterior refleja el cambio de paradigma en el modelo regulatorio a raíz del RGPD y lo convierte en un referente de primer orden, puesto que dicho cambio resultaba imperioso en la sociedad digital en la que hoy nos desenvolvemos, siendo obligatorio señalar que el modelo europeo apunta a convertirse en un estándar mundial de privacidad tal y como reflejan las modificaciones legislativas que han emprendido países como Brasil, México, Ecuador, Chile, Tailandia, Corea del Sur, Japón, entre otros, con el objetivo de ajustarse al RGPD.

Por ello, resulta conveniente abrir un debate sobre la necesaria modificación de la legislación dominicana de protección de datos, no solo en procura de alcanzar un nivel adecuado de protección similar a la UE, también, para otorgar a los ciudadanos un verdadero control sobre sus datos personales, garantizando así un derecho fundamental.

No menos importante es poner de relieve que en aplicación del actual modelo europeo —cuyo régimen trasciende las fronteras de la Unión, siempre que el tratamiento de datos concierna a personas que se encuentren en su territorio— podrían suscitarse reveses a la economía nacional, a los modelos de negocio de alto componente digital, al comercio electrónico, a la inversión extranjera y a la marca país si la República Dominicana no lleva a cabo las acciones pertinentes para elevar sus estándares de protección de datos.

En ese orden de ideas, creemos que debe valorarse contar con un nivel de protección equiparable a la Unión Europea, ya que, de tal forma, el país se inscribiría dentro de una tendencia mundial que sin duda repercutirá en la economía y las relaciones sociales. Todo ello, sin perder de vista el grado de madurez de las empresas e instituciones dominicanas en lo que respecta al establecimiento y observancia de políticas de privacidad, así como al cumplimiento de la legislación de protección de datos per se.

Por estas razones, recibimos con agrado que en los pilares de la Estrategia Nacional de Ciberseguridad 2018-2021 se haya incluido el fortalecimiento del marco legal e institucional, permitiéndonos sugerir que dentro del mismo se contemple la modificación de la normativa dominicana de protección de datos, al tiempo de subrayar la necesaria creación de una autoridad de control que tenga a su cargo velar por el cumplimiento de dicha ley y que sea conferida de la potestad sancionadora.

Francisbel Jerez Castillo