Protección de datos en Latinoamérica: Las leyes imprescindibles para el email marketing

¿Qué son y por qué importan las leyes de protección de datos?

Históricamente, los desarrollos tecnológicos han ido muy por delante de la legislación y la protección de datos no es una excepción. Como clientes y como profesionales, nos costó años darnos cuenta de la importancia de proteger nuestra privacidad y nuestros datos personales. Tuvieron que ocurrir casos de repercusión mundial (como el de Cambridge Analytica, por ejemplo) para que, por fin, abriéramos los ojos a los peligros potenciales que existen a nuestro alrededor.

Muchos países, como Chile, Brasil, EE. UU. y los estados de la Unión Europea, han llevado a cabo procesos legislativos con el fin de proteger la privacidad de sus ciudadanos y estos esfuerzos se han visto redoblados en los últimos años.

Y todo eso lleva a que aquellos que trabajamos con información personal de clientes o consumidores tengamos que dedicar gran parte de nuestro esfuerzo a estar al día en cuestión de normativas. En ocasiones, eso significa tener que cambiar nuestras prácticas para evitar posibles sanciones o perder la confianza de nuestra audiencia.

Muchas marcas ya centran sus campañas de marketing en demostrar que son dignas de confianza, como respuesta al creciente interés de sus clientes en la protección de sus datos. Un ejemplo reciente es Apple, que ha lanzado una campaña de marketing dedicada a este tema, junto con nuevas funciones de privacidad en sus aplicaciones.

¿Y qué hay que tener en cuenta si estamos en Latinoamérica? Pues quizá te sorprenda, pero no solo debemos centrarnos en las leyes locales, sino que existen algunas normas internacionales que también debes conocer.

Estado general de la normativa en Latinoamérica

Vamos a empezar por analizar las leyes en Latinoamérica.

En los países de Centroamérica y América del Sur no existe todavía ningún marco normativo transfronterizo que se asemeje al Reglamento General de Protección de Datos existente en Unión Europea. Mercosur, la entidad que promueve la integración regional y de la que son miembros la mayoría de los principales estados de la región, aún no ha iniciado ningún tipo de esfuerzo legislativo o diplomático en ese sentido.

Esto significa que queda a discreción de cada uno de los países el desarrollar sus propias leyes locales al respecto.

Por otro lado, y sin tener el alcance de una normativa como la europea, la Organización de los Estados Americanos (OEA) aprobó en su asamblea general de 2021 unos Principios Actualizados sobre la Privacidad y la Protección de Datos Personales, con el fin de “servir a los Estados miembros como punto de referencia para el fortalecimiento de sus respectivos marcos jurídicos en la materia, y orientar el desarrollo colectivo de la región hacia una protección armónica y efectiva de los datos personales”.

Si quieres tener una idea general de cómo se comparan los principales países en cuanto a sus normativas, puedes consultar esta tabla:

Haz clic aquí para ver la tabla más grande

A continuación, vamos a ver en detalle cuál es la situación en estos países.

Normativa de protección de datos en México

En México, el tratamiento de la información personal está regulado por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) desde el 5 de julio de 2010. En ella, se regula el tratamiento de los datos personales por parte de empresas del sector privado.

Además, desde 2017, cuenta con la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, para el sector público.

México, por tanto, tiene leyes específicas de protección de datos y cuenta con una autoridad acreditada por la International Conference of Data Protection and Privacy Commissioners (ICDPPC).

Los puntos más relevantes de estas dos leyes son:

• Se requiere el consentimiento del titular (expreso o tácito, según el caso) para el tratamiento de los datos personales.

• Se regula el derecho a la cancelación de los datos personales.

• Las sanciones pueden oscilar entre un apercibimiento y varios millones de pesos (aunque la cantidad varía cada año, porque depende del salario mínimo en el Distrito Federal).

Normativa de protección de datos en Argentina

La Ley de Protección de Datos Personales 25.326, o PDPA, se sancionó en el año 2000. Unos años después, Argentina se convirtió en el primer país en América Latina en poder hacer transferencias de datos con los países de la Unión Europea sin necesitad de herramientas o garantías adicionales, facilitándole la vida a los profesionales del marketing que trabajan desde allí.

En el año 2016, la Agencia de Acceso a la Información Pública (AAIP) aprobó la emisión de un nuevo reglamento para regir la transferencia de datos personales entre fronteras.

Con esta nueva adición, las principales cuestiones a tener en cuenta son:

• Se requiere el consentimiento expreso en todo caso (salvo las excepciones recogidas por la ley).

• Se reconocen los derechos a la supresión, la rectificación y actualización de los datos.

• Las sanciones pueden ser administrativas y/o penales, ya que esta ley introduce modificaciones al Código Penal.

Normativa de protección de datos en Brasil

La LGPD brasileña (o Lei Geral de Proteção de Dados Pessoais, en portugués brasileño) entró en vigor en agosto de 2020, siendo de plena aplicación doce meses después, en agosto de 2021.

La autoridad brasileña de protección de datos no es considerada a nivel internacional como un organismo independiente. Esto complica y aumenta los requisitos en cuanto a garantías a la hora de realizar transferencias internacionales de datos entre Brasil y la UE.

Aquí tienes algunos de los asuntos que conviene recordar al respecto:

• Se requiere el consentimiento para el tratamiento de los datos personales y se regula en qué casos puede no existir ese requerimiento.

• Se reconoce el derecho a la eliminación de los datos personales (entre otros), mediante un proceso sencillo y gratuito.

• Las posibles sanciones pueden alcanzar un máximo del 2 % de la facturación anual de la empresa, o un máximo de 50 millones de reales.

Normativa de protección de datos en Colombia

La Ley 1581 de 2012 es el punto de partida sobre el que se sustenta la mayoría de la legislación respecto a protección de datos en Colombia.

Colombia ha seguido desarrollando su normativa y cuenta con una autoridad independiente, lo que la sitúa en una posición parecida a la de México.

Estos son alguno de los puntos a tener en cuenta en lo que respecta a la Ley 1581 de 2012:

• Se requiere de la autorización del titular para el tratamiento de datos. Esta autorización se define como “el consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales”.

• Además, reconoce varios derechos a los titulares, entre los que se encuentra el de supresión de los datos.

• En cuanto a las sanciones, pueden alcanzar un máximo de 2000 salarios mínimos mensuales legales vigentes, lo que en 2022 está en el entorno de los 1850 millones de pesos.

Normativa de protección de datos en Chile

De estos cinco países, Chile probablemente sea el que tenga la situación más interesante en este momento. La única normativa, aparte de la propia Constitución, que actualmente ampara la protección de datos en Chile es la Ley de Protección de la Vida Privada (LPVP), de 1999.

La ley ha ido sufriendo modificaciones hasta llegar a su versión actual y existen actualmente esfuerzos legislativos con el fin de obtener una ley específica sobre protección de datos personales.

Actualmente, debes tener en cuenta lo siguiente:

• La gran diferencia de Chile con otros países es el requerimiento de que la autorización para el tratamiento de datos sea por escrito.

• La redacción en cuanto a los derechos de acceso, rectificación, cancelación y oposición no es muy clara y es una de las cuestiones sobre las que se está trabajando.

• No existe un organismo o agencia encargados de fiscalizar su cumplimiento.

• Las sanciones oscilan entre una y cincuenta unidades tributarias mensuales en la redacción original de la ley. Además, las infracciones que se contemplan expresamente son exiguas. Esta es otra área en la que se está trabajando para adecuarla a la realidad actual.

Otros países latinoamericanos

El resto de los estados latinoamericanos, de los que no hemos hablado aun, se encuentran en situaciones muy distintas: algunos tienen normativa propia actualizada, otros están en proceso de reformar o desarrollar su normativa y otros no cuentan con una normativa específica al respecto.

Si necesitas más información acerca de alguno de los demás países, puedes consultar distintas fuentes como, por ejemplo, los datos que aparecen en el proyecto Datasketch del Banco Interamericano de Desarrollo, publicado el 7 de febrero de este mismo año.

Leyes de protección de datos internacionales en el mundo del email marketing

Si estamos hablando de Latinoamérica, ¿seguro que necesitamos conocer leyes internacionales de países de fuera de América Latina?

Eso es lo que nos preguntamos siempre los profesionales del marketing y la respuesta, sorprendentemente, es que sí. Tiene lógica si pensamos que, antes o después, trataremos datos de países distintos al nuestro, y existen distintos aspectos de la recogida y tratamiento de datos personales que pueden verse afectados, por ejemplo, por normativas como el RGPD o la nueva CCPA, de California.

La Unión Europea y el RGPD

La llegada del RGPD (Reglamento General de Protección de Datos) de la Unión Europea en 2018 supuso un cambio de paradigma tanto para España y la Unión Europea, como a nivel mundial. Debido al alcance del nuevo Reglamento y a que es uno de los más estrictos en muchos aspectos, multitud de países y compañías que operaban internacionalmente han tenido que revisar cómo trataban los datos con los que trabajan y qué estrategias deben adoptar para adaptarse a este reglamento.

Comparar la normativa de cada país con el RGPD europeo puede ser útil porque el Reglamento es una de las normativas más estrictas a nivel internacional, con lo que si cumples con el RGPD, es muy probable que cuentes con los mecanismos y procesos necesarios para cumplir con la gran mayoría de leyes de protección de datos a nivel internacional.

Para tener una visión general del estado actual de la normativa en cada país del mundo, la Commission Nationale de l'Informatique et des Libertés, o CNIL, cuenta con un mapa interactivo repleto de información relevante que nos permite, de un vistazo rápido, evaluar cómo se equipara cada normativa con la de la Unión Europea.

Existen dos países, Argentina y Uruguay, que están reconocidos por la UE como equivalentes en cuanto a su nivel de protección. Esto significa que pueden realizar transferencias internacionales de datos con países de la Unión Europea y otros países reconocidos como equivalentes de forma sencilla. Otros países incluidos en este grupo son Suiza, Japón, Corea del Sur y Nueva Zelanda.

Estados Unidos, de CAN-SPAM a CCPA

Al otro lado del Atlántico Norte, Estados Unidos aprobó ya en 2003 una ley a nivel federal que pretendía limitar el spam, llamada CAN-SPAM (por sus siglas en inglés, Controlling the Assault of Non-Solicited Pornography And Marketing Act). Tuvo una acogida y un éxito desigual, por desgracia.

El mayor gran avance en materia de protección de datos en Estados Unidos se produjo en 2020, cuando entró en vigor la California Consumer Privacy Act of 2018, o CCPA. Esta ley, muy parecida al RGDP europeo, se limita en su aplicación a la protección de los habitantes de California.

El CCPA marcó el camino para otros estados, como Virginia, Colorado, Connecticut y Utah, cuyas normas entrarán en vigor en 2023. Además, estados como Pensilvania, Nueva Jersey o Massachussets están también preparando sus propias legislaciones, que podrían aprobarse en los próximos meses o años.

A nivel federal, existe una propuesta llamada American Data Privacy and Protection Act (ADPPA) que está siendo debatida actualmente en el Senado y parece contar con muchos apoyos. Eso sí, está todavía en sus fases iniciales y necesitará tiempo para ver la luz.

¿Cuáles son los próximos cambios en materia de privacidad de datos en Latinoamérica?

Y cuando ya empezamos a ver la calma después de la tormenta… vienen más tormentas.

El tema de las normativas de protección de datos es complejo, lo admitimos. Pero es que, además, cada año aparecen nuevos cambios que hacen que tengamos que volver a revisar nuestros procedimientos para adaptarnos a los nuevos requerimientos.

Para ayudarte, aquí tienes unas notas generales sobre lo que nos espera en estos próximos meses:

• Chile: El país se encuentra ultimando las modificaciones a su ley de protección de datos, por lo que probablemente sea uno de los países en los que veamos cambios antes.

• Argentina: En los últimos tiempos han tenido lugar filtraciones preocupantes (como la del Censo 2022), lo que ha abierto un debate sobre la necesidad de incorporar medidas en cuanto a cómo se desarrolla y aplica la ley. Esto podría derivar en un cambio legislativo en un futuro próximo.

• Unión Europea: En el otro lado del charco, los últimos avances sobre la nueva Ley de Cookies, o ePrivacy (que aun se encuentra en una fase de negociación tras aprobarse un borrador en febrero de 2021), pueden afectar a tus actividades de marketing en esta región. Aunque parece que no entrará en vigor hasta 2023, con un periodo de gracia de dos años, este año y el siguiente probablemente estarán llenos de novedades al respecto.

• Estados Unidos: Diferentes estados están aprobando nuevas normativas en relación al tratamiento de la información personal. Algunas de ellas entran en vigor durante el 2023, así que si gestionas información personal de ciudadanos de estos estados, deberás conocer cómo cambia la protección de datos en estas regiones.

¿Cómo mantenerse al día con toda la legislación?

Esta es, probablemente, la pregunta del millón. Si hay decenas de países, ¿cómo hago para no perderme una actualización importante?

Bueno, pues existen distintas opciones, dependiendo de los recursos de tu empresa y lo que más os interese para el tipo de negocios y datos que gestionáis:

1. Contar con un equipo interno dentro del departamento legal que se encargue específicamente de protección de datos: Esto tiene la ventaja de que a este equipo le resultará más fácil entender las necesidades de la empresa, ya que forma parte de ella, y podrá solucionar cualquier problema que surja, e incluso actuar de forma proactiva al respecto.

2. Acudir a especialistas en protección de datos externos: Existen numerosas agencias y especialistas independientes cuyo único trabajo es asesorar a empresas e individuos sobre cómo adecuar sus políticas a la legislación de protección de datos. Dependiendo del volumen de negocio y el número de países con los que vayas a trabajar regularmente, esta solución puede resultarte conveniente por su flexibilidad y su experiencia previa en todos los mercados.

3. Darse de alta en una newsletter o leer un blog sobre seguridad y privacidad de datos: Si lo que necesitas es mantenerte al día o buscas un conocimiento más general del tema, una forma sencilla de lograrlo es darte de alta en alguna newsletter que trate sobre privacidad de datos. Por ejemplo, la web CyberSecurity news recoge periódicamente amenazas y noticias relacionadas con la ciberseguridad en su newsletter. Por otro lado, los blogs de los Equipos de Respuesta ante Incidentes de Seguridad Informática (CSIRT) de diferentes países, como el de Chile, ayudan con cuestiones relacionadas con la ciberseguridad y la protección de datos. Además, existen distintas iniciativas a nivel mundial trabajando para lograr avances en lo relativo a la protección de datos, como accessnow.

¿Cómo te ayuda Mailjet a respetar las leyes de protección de datos?

En lo que se refiere al email marketing, es importante asegurarse de que las plataformas que utilizas se toman en serio la protección de datos personales y que cumplen con las normativas más estrictas, garantizando así la máxima seguridad para los datos de tus clientes.

En Sinch Mailjet nos enorgullecemos de contar con la certificación ISO 27001 e ISO 27701 y cumplimos con el estricto RGPD europeo.

Además, tratamos de aportar nuestro granito de arena para que todos los profesionales del marketing tengan una idea mejor sobre la importancia de cómo se tratan los datos personales, así que si quieres conocer más sobre el tema, suscríbete a nuestra newsletter.