El desarrollo de la normativa sobre protección de datos es una realidad que desde sus inicios tiene una tendencia a globalizarse. Así empezando por Alemania (1977), Francia (1978), Israel (1981), Australia (1988), España y Suiza (1992), Hong Kong (1996), Reino Unido y Suecia (1998), Argentina (2000), Japón (2003), Colombia (2008), México (2010) y hasta más de 50 países que actualmente ya disponen de su propia legislación en materia de protección de datos. Existen dos enfoques principales a la hora de regular la protección de datos en los países: el enfoque “ómnibus” que protege los datos personales de modo general en todas las actividades económicas y la mayoría de entornos y que es el enfoque seguido en Europa; y el enfoque “sectorial” que establece los requisitos para el tratamiento de datos en determinadas actividades económicas y en entornos concretos y que es el enfoque seguido en los Estados Unidos. La mayoría de los países fuera de Europa también siguen el enfoque “ómnibus”.

 

A pesar de las peculiaridades y las diferencias existentes entre los países, lo cierto es que las distintas legislaciones nacionales comparten un notable grado de estandarización en relación con los principios fundamentales de la protección de datos (consentimiento informado de las personas) y difieren algo más con respecto a las obligaciones básicas a cumplir por los responsables de ficheros, por ejemplo, la inscripción de ficheros en el Registro de las correspondientes Agencias nacionales de Protección de Datos es obligatoria en más de 30 países (Argentina, Mónaco, Túnez, Vietnam), mientras que en otros países (Australia, Brasil, Egipto, Japón) no existe tal obligación o bien se habilita una alternativa a la inscripción de ficheros (Alemania

 

La globalización de la normativa sobre protección de datos está en constante evolución, lo que se confirma por los continuos desarrollos normativos que se aprueban sea para regular o para actualizar el régimen jurídico en los distintos países. Sólo en Julio 2011, destacamos las siguientes novedades:

  • Hungría: nueva Ley No. CXII de 2011 que deroga la anterior Ley No. LXIII de 1992 para introducir novedades en el consentimiento del interesado y en el registro de transferencias internacionales, así como para crear una Agencia de Protección de Datos (en sustitución del anterior Defensor del Pueblo).
  • Irlanda: nuevo Reglamento No. 336 que sustituye al anterior Reglamento No. 535 de 2003 para incorporar nuevos requisitos en materia de comunicaciones electrónicas, en particular en relación con el consentimiento para las cookies, notificaciones en casos de pérdida de datos y marketing directo.
  • Rusia: nueva Ley federal No. 261-FZ que modifica la Ley federal No. 152-FZ para incluir nuevas previsiones sobre transferencias transfronterizas, permitiéndose las transferencias de datos a países fuera de Rusia que sean miembros de la UE.
  • Igualmente destacar México, cuya primera Ley federal sobre protección de datos se publicó en Julio 2010 para ser implementada de forma gradual: designación de personas para el tratamiento de datos y avisos de privacidad (hasta 6 Julio 2011) y ejercicio de los derechos por parte de los titulares (a partir de 6 Enero 2012).

 

Como consecuencia de la globalización de la normativa sobre protección de datos y de las posibles sanciones no sólo económicas, sino también de prisión, previstas para casos de infracción de tal normativa, la forma de acometer su cumplimiento normativo está igualmente en evolución. Las empresas multinacionales quieren que, con cierta celeridad, todas las empresas del grupo cumplan con la legislación sobre protección de datos en vigor en los países respectivos de sus filiales

Para ello, los programas/proyectos de cumplimiento normativo multi-jurisdicción (regionales / globales) se imponen a los programas nacionales (país a país) porque permiten regularizar o revisar el cumplimiento normativo de forma alineada de todas y cada una de las empresas del grupo, abordando secuencialmente las distintas obligaciones (tales como la inscripción de ficheros, las advertencias de privacidad, la formalización de la relaciones con encargados del tratamiento, las transferencias internacionales de datos, las medidas de seguridad, la implantación de canales internos de denuncia denominados “whistleblowing hotlines” y códigos de conducta) según están previstas en las distintas normativas de los países donde las filiales de la multinacional están presentes.