CIBERSEGURIDAD · UNIDAD 2 · GDPR Y ESTÁNDARES IBEROAMERICANOS

Unidad 2: el estándar europeo que el mundo terminó copiando

LECTURA · 12 MIN

Aunque Bolivia todavía no tiene una ley integral de protección de datos, cualquier empresa con clientes internacionales, cualquier programador que construye una app y cualquier estudiante que investigue el tema se topan con la misma sigla: GDPR (Reglamento General de Protección de Datos). Conocerlo es casi como aprender "derecho internacional" de los datos, porque se volvió el marco de referencia que se usa en negociaciones, contratos y derecho comparado en toda la región.

2.1 Rol y responsabilidad del responsable y encargado de protección de datos

2.1.1 Rol del oficial de protección de datos (DPO)

Los artículos 37 a 39 del GDPR exigen que ciertas organizaciones (autoridades públicas, o quienes hacen monitoreo a gran escala o tratan datos sensibles) designen un Delegado de Protección de Datos (DPO): un rol independiente, no necesariamente un abogado, encargado de vigilar el cumplimiento, asesorar y actuar como contacto con las autoridades y los titulares de datos. Puede pensarse como un árbitro interno cuya función es justamente evitar que el "equipo" (la empresa) cometa faltas en el manejo de datos. Esta obligación no existe todavía en la legislación boliviana, pero cada vez más empresas del país la adoptan de forma voluntaria por tener clientes internacionales.

2.1.2 Responsable y encargado de protección de datos

El artículo 4 del GDPR distingue al "responsable del tratamiento" (quien decide para qué y cómo se tratan los datos, por ejemplo una universidad que decide crear una base de datos de estudiantes) del "encargado del tratamiento" (quien procesa los datos por cuenta del responsable, siguiendo instrucciones, como un proveedor de correo en la nube que aloja esa base). El artículo 28 exige un contrato entre ambos que defina sus obligaciones. La distinción importa en la práctica: la responsabilidad principal suele recaer en quien decide la finalidad, aunque el encargado también tiene deberes propios.

2.1.3 Reglamento general de protección de datos (GDPR)

El Reglamento (UE) 2016/679, aplicable desde el 25 de mayo de 2018, reemplazó a la directiva europea de 1995 y es considerado la ley de protección de datos más influyente del mundo, inspirando reformas en Brasil (LGPD, 2018), California (CCPA/CPRA) y varias propuestas latinoamericanas. Se aplica no solo a empresas establecidas en la UE, sino a cualquier empresa —incluida una boliviana— que ofrezca bienes o servicios a personas en la UE o las monitoree: un caso poco común de una norma regional con alcance global (el llamado "efecto Bruselas").

2.1.4 Principios del GDPR

El artículo 5 enumera siete principios: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva. Estos siete principios son, en esencia, la "gramática" que usan prácticamente todas las leyes modernas de protección de datos analizadas en este curso.

2.2 Alcance y propósito del GDPR

2.2.1 Responsabilidad proactiva

Más allá de ser uno de los siete principios, la "responsabilidad proactiva" o accountability (arts. 5.2 y 24) merece un énfasis aparte: cambia la lógica de "que no me descubran" a "demostrar, con registros, políticas y auditorías, que cumplo antes de que algo salga mal". De este principio nacen herramientas como las evaluaciones de impacto (DPIA) y el diseño desde el principio ("privacy by design").

2.2.2 Red iberoamericana de protección de datos

Creada en 2003, la Red Iberoamericana de Protección de Datos (RIPD) reúne a autoridades y organismos de países iberoamericanos —España, Portugal y la mayoría de países latinoamericanos— para coordinar criterios comunes, incluso donde, como en Bolivia, todavía no existe una autoridad nacional dedicada. Funciona como un "grupo de estudio" regional que comparte experiencia para que las leyes que van surgiendo no partan de cero.

2.2.3 Estándares de la red

En 2017, la RIPD aprobó los "Estándares Iberoamericanos de Protección de Datos", un marco común flexible (no un tratado vinculante) de principios y derechos compartidos para que los Estados iberoamericanos adopten reglas comparables; posteriormente fueron actualizados para incorporar temas como la inteligencia artificial, las decisiones automatizadas y los datos de menores. Son un puente entre el rigor del estilo GDPR y las capacidades administrativas, muy distintas entre sí, de los países de la región.

2.2.4 Recomendaciones de la red para los Estados

La RIPD también emite recomendaciones prácticas sobre temas puntuales (por ejemplo, datos de salud en emergencias o datos de menores) para orientar a Estados que, como Bolivia, todavía están construyendo su marco normativo, ofreciendo un punto de partida sin necesidad de copiar el GDPR sin adaptarlo a la realidad y capacidad institucional local.

2.3 Otras normativas: Normativa de California, ISO 27701

La Ley de Privacidad del Consumidor de California (CCPA, 2018, vigente desde 2020), ampliada luego por la CPRA (2020, vigente desde 2023, que creó la Agencia de Protección de la Privacidad de California), parte de una filosofía distinta a la del GDPR: en lugar de exigir una base legal general para todo tratamiento, se centra en los derechos del consumidor a saber, eliminar y oponerse a la "venta" o "el compartir" de sus datos, sobre todo con fines publicitarios. Muestra que existe más de un modelo regulatorio válido.

La norma ISO/IEC 27701, por su parte, es una extensión específica de privacidad de la norma de seguridad de la información ISO/IEC 27001 (que se estudia en la Unidad 4), y crea un "Sistema de Gestión de Información de Privacidad" (PIMS) que las organizaciones pueden certificar para demostrar, mediante procesos documentados y auditables, un cumplimiento similar al del GDPR.

2.4 Normativa nacional

2.4.1 Constitución Política del Estado

La base normativa boliviana parte del artículo 21.2 de la CPE (privacidad, intimidad, honra, honor, propia imagen y dignidad) y del artículo 130 (Acción de Protección de Privacidad), ya estudiados en la Unidad 1 y en el artículo dedicado a esta asignatura: son el cimiento constitucional que toda norma inferior debe respetar.

2.4.2 Código Civil

El Código Civil boliviano (Decreto Ley N.º 12760, vigente desde 1976) protege, dentro de sus disposiciones sobre derechos de la personalidad, aspectos como el honor, la imagen y la vida privada mediante las reglas generales de responsabilidad civil: un uso indebido de tus datos o tu imagen que te cause un daño puede dar lugar a un reclamo de daños y perjuicios, aunque el Código no tenga un capítulo específico de protección de datos. Es la herramienta "de respaldo" cuando la acción constitucional no es la vía procesal adecuada.

2.4.3 Ley 164 de telecomunicaciones

La Ley General de Telecomunicaciones, Tecnologías de Información y Comunicación (Ley N.º 164, de 8 de agosto de 2011) protege la confidencialidad de las comunicaciones y, en su artículo 78, da validez jurídica a la firma digital: es la principal ley sectorial que toca la privacidad y los datos en el ámbito de las telecomunicaciones y las TIC.

2.4.4 Normativa ASFI

La Autoridad de Supervisión del Sistema Financiero (ASFI), bajo la Ley N.º 393 de Servicios Financieros (2013) y su Reglamento de Protección del Consumidor Financiero, exige a las entidades financieras mantener la confidencialidad de la información de sus clientes y usarla solo para fines autorizados: un régimen sectorial de protección de datos bancarios y financieros, similar en la práctica a lo que haría una autoridad general de protección de datos, pero limitado a ese sector.

2.4.5 Protección de datos laborales

Bolivia no cuenta con una norma específica sobre datos de trabajadores; su protección proviene de fuentes generales: el derecho constitucional a la privacidad (Art. 21.2), los principios generales de buena fe laboral y, cada vez más, políticas internas de las empresas inspiradas en estándares internacionales (por ejemplo, límites al monitoreo del correo o la ubicación del trabajador, o a la conservación de datos médicos o de verificación de antecedentes). Es un área con un vacío normativo claro que una futura ley integral debería atender de forma específica.

Puntos clave

  • El GDPR (Reglamento UE 2016/679, desde 2018) distingue responsable y encargado del tratamiento, y exige un Delegado de Protección de Datos (DPO) en ciertos casos.
  • Sus siete principios (Art. 5) —incluida la responsabilidad proactiva— son el "estándar" que copian muchas leyes del mundo.
  • La Red Iberoamericana de Protección de Datos (creada en 2003) promueve estándares comunes flexibles para la región, incluida Bolivia.
  • California (CCPA/CPRA) y la norma ISO/IEC 27701 muestran otros modelos válidos de protección de datos.
  • En Bolivia, la base normativa combina la CPE (Arts. 21.2 y 130), el Código Civil, la Ley 164, la normativa de la ASFI, y todavía un vacío en materia laboral.

Este artículo tiene fines educativos y busca explicar conceptos generales del derecho boliviano de forma didáctica, con base en normativa vigente citada; no constituye asesoría legal para un caso concreto.

← VOLVER A ASIGNATURAS