Los datos personales están protegidos de acuerdo al derecho a la privacidad en instrumentos internacionales de derechos humanos. Por ejemplo, el Tribunal Europeo de Derechos Humanos sostuvo que los datos de teléfono, correos electrónicos y uso de internet (Copland versus the United Kingdom, 2007 §§ 41-42) y los datos almacenados en servidores de computadora (Wieser and Bicos Beteiligungen GmbH versus Austria, § 45) encajan en el alcance de la protección estipulada en el apartado 1 del artículo 8 de la Convención Europea de Derechos Humanos. El mero almacenamiento de datos personales puede violar el derecho a la privacidad de un usuario. La violación depende del contexto en que se recogieron los datos, cómo se recogieron, trataron y usaron, y el resultado de este tratamiento (S. and Marper versus the United Kingdom, 2008). Además, en Tristán Donoso versus Panama and Escher et al. versus Brazil (2009), el Tribunal Interamericano de Derechos Humanos sostuvo que los datos que se recogen y transmiten vía las nuevas tecnologías digitales e internet están contemplados en el artículo 11 de la Convención Americana de Derechos Humanos de 1969. Además, el artículo 8 de la Convención de la Unión Africana sobre Ciberseguridad y Protección de Datos Personales de 2014 contempla el derecho al «respeto de los datos personales». Por otra parte, el apartado 1 del artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea del 2000 y el apartado 1 del artículo 16 del Tratado de Funcionamiento de la Unión Europea de 1957 (también conocido como el Tratado de Roma) consideran la protección de los datos personales como un derecho humano fundamental.
La protección de los datos cubre la generación, recolección, almacenamiento, análisis, uso y divulgación de información personal. La protección de los datos cubre la generación y recolección de datos personales porque «el derecho a la privacidad no solo sufre el impacto del análisis o uso de la información sobre una persona por parte de un humano o un algoritmo…[(Bernal, 2016) sino también]…la mera generación y recolección de datos en relación a la identidad, familia o vida de una persona…(consulte A/HRC/27/37, párr. 20…[; Rotaru v. Romania, 2000; Kopp versus Switzerland, 1998; y Roman Zakharov versus Russia, 2015)]” (A/HRC/39/29, párr. 7).
Los organismos públicos y privados pueden consultar, buscar, editar, actualizar y acceder a las bases de datos que contienen datos personales en los mismos países o entre ellos. La gobernanza de la recolección, almacenamiento, uso y divulgación de la información por parte de los organismos privados y públicos varía de país en país. De acuerdo con un informe de la Oficina del Alto Comisionado para los Derechos Humanos de 2018 «la mayor interconexión entre el tratamiento de datos públicos y privados y los antecedentes a la fecha que señalan un mal uso masivo y recurrente de información personal por parte de empresas comerciales confirman que se necesitan medidas legislativas para lograr un nivel adecuado de protección de la privacidad» (cita de A/HRC/RES/34/7, párr. 5(f) y A/HRC/RES/38/7, párr. A/HRC/39/29, párr. 27). Los datos personales podrían ser procesados por países con leyes para la protección de los datos fuertes o débiles, o por países que no cuentan con leyes para la protección de los datos. Por ejemplo, en Ghana, la sección 60 del Acta de Protección de Datos de 2012 permite que el Gobierno acceda a los datos personales sin alguna autorización u otra orden legal (es decir, orden judicial) en beneficio de la seguridad nacional.
Las prácticas de protección de los datos también varían entre las autoridades públicas y privadas. En los Estados Unidos, por ejemplo, solo ciertos tipos de datos que las empresas privadas recogen, almacenan, analizan y comparten están regulados (p. ej., datos financieros, de salud, educativos y de niños; Matas y Wandt, 2019). Además, en ciertos países, la protección varía dependiendo del tipo de datos (p. ej. al contenido del correo electrónico se le otorga más protección que a la dirección de correo electrónico del emisor o remitente). Las leyes de protección de datos varían dependiendo de los tipos y fuentes de datos (p. ej., datos por sectores, datos en línea, datos fuera de línea y datos sensibles) y temas de datos (p. ej., adultos y niños). México tiene dos leyes para la protección de datos: una que regula el sector privado, la Ley Federal de Protección de Datos Personales en Posesión de Particulares de 2010 y otra que regula el sector público, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados de 2017. México también tiene algunas disposiciones en la ley que regulan los datos privados en relación a los servicios en la nube, incluyendo la regulación del acceso de las fuerzas del orden a datos almacenados en la nube y el manejo de los datos después de la finalización de los servicios en la nube.
La naturaleza transfronteriza de internet requiere una regulación transnacional de protección de datos que se extienda más allá de los marcos y leyes nacionales. Algunos ejemplos incluyen la Convención de la Unión Africana sobre Ciberseguridad y Protección de Datos Personales de 2014 y la Comunidad Económica de Estados de África Occidental (ECOWAS) Ley Suplementaria A/SA.1/01/10 sobre la Protección de Datos Personales dentro de la ECOWAS. Estas leyes y marcos regionales recibieron la influencia de la Directiva de Protección de Datos de la UE (Directiva 1995/46/EC) (Greenleaf, 2011; Orji, 2017; Makulilo, 2013a; Makulilo, 2013b). La Directiva 1995/46/EC fue reemplazada por el Reglamento General de Protección de Datos de la UE (RGPD) el 25 de mayo de 2018. Esta ley única de protección de los datos rige el tratamiento, almacenamiento, uso e intercambio de datos en los Estados miembro de la UE y otros países, organismos y organizaciones privadas fuera de la UE que le proporcionan bienes y servicios y procesan los datos de sus residentes. El RGPD busca armonizar el tratamiento, almacenamiento, uso e intercambio seguro de datos de información personal. Esta ley minimiza la huella digital de los usuarios y la manera en que las aplicaciones, tecnología, servicios y plataformas de internet explotan esta huella. El RGPD fortalece los derechos de privacidad de las personas y mejora la libre circulación de datos personales a través de las fronteras al armonizar las prácticas de protección de datos. El RGPD aclaró lo que constituye datos personales, estableció reglas para manejar los datos, designó funciones y responsabilidades para quienes controlan y procesan datos personales, creó mayores sanciones por incumplimiento e impuso que las notificaciones de filtración de datos se den dentro de las 72 horas a partir del incidente.
Este reglamento impone nuevas obligaciones para quienes controlan los datos (es decir, la entidad que determina las razones para el tratamiento de datos y los métodos usados para procesarlos) y los procesadores de datos (es decir, la entidad responsable para el tratamiento de datos basados en métodos identificados por quien controla los datos). El RGPD regula el acceso a los datos y la rectificación, eliminación y transparencia de los procesadores y controladores de datos; brinda el derecho a oponerse a prácticas de segmentación de mercado; impone obligaciones de seguridad de datos para las empresas que los procesan; proporciona mayores poderes a las autoridades encargadas de proteger los datos y facilita la coordinación y cooperación para el tratamiento y la protección de datos. Este reglamento también contempla multas elevadas y sanciones por incumplimiento.
En Google Spain SL, Google Inc. versus Agencia Española de Protección de Datos, Mario Costeja González (2014), el Tribunal de Justicia de la Unión Europea identificó a los operadores de motores de búsqueda, tales como Google, y los consideró controladores de datos, pues ellos controlan los datos personales de sitios web de terceros al poner dichos sitios a disposición de otros y decidir la manera en la que estos sitios están disponibles.
Los usuarios tienen el derecho a estar informados sobre el tratamiento de datos; el derecho a acceder a los datos procesados; el derecho a rectificar los datos procesados; el derecho a la supresión («derecho a ser olvidado»; el titular de los datos tiene el derecho a pedir y exigir que sus datos se borren de los historiales y a prevenir un mayor uso y transferencia de sus datos personales por parte de terceros); el derecho a oponerse al tratamiento de datos; el derecho a restringir el tratamiento de datos; el derecho a la portabilidad de datos (es decir, dicho titular tiene el derecho a pedir sus datos personales al controlador de datos y transferirlos a otro controlador) y el derecho a no ser sujeto a una decisión basada exclusivamente en un tratamiento automático (p. ej. segmentación).
En Google Spain SL, Google Inc. versus Agencia Española de Protección de Datos, Mario Costeja González (2014), el Tribunal de Justicia de la Unión Europea interpretó que la Directiva 1995/46/EC permite a los usuarios pedir que sus datos personales dejen de indexarse en motores de búsqueda y navegadores. Específicamente, el tribual sostuvo que las personas tienen el derecho a pedir que los controladores de datos (p. ej., navegadores y motores de búsqueda, como Google) que borren los enlaces a sitios web que incluyan información incorrecta, incompleta, irrelevante o que ya no sea pertinente o válida sobre ellos. En particular, la persona puede pedir que se borren los enlaces que aparecen por las búsquedas del nombre del usuario relacionada a este contenido. Esta desindexación se limita al contenido que se ha indexado bajo el nombre del usuario. Esta desindexación no prohibiría la disponibilidad de este contenido indexado bajo un término de búsqueda diferente basado en el contenido, publicación u otra fuente o editor o autor del contenido.
El RGPD aplica para instituciones de la UE, lo cual el Tribunal de Justicia de la Unión Europea ha interpretado como una organización que procesa datos en el contexto de sus actividades, aún si estas actividades son mínimas (Weltimmo versus NAIH, 2014). Mientras ocurran en el contexto de algún acuerdo que exista en la Unión Europea, este tratamiento de datos está contemplado por el RGPD. Las organizaciones con oficinas en la UE y aquellas que promueven o venden servicios de marketing o publicidad que tienen como objetivo a los residentes de la UE también están sujetas al RGPD. Incluso algunas instituciones que no son de la UE están sujetas al RGPD si procesan datos personales con el fin de ofrecer bienes y servicios a residentes de la UE y de monitorear el comportamiento del consumidor en la UE para segmentar el mercado, identificar patrones y predecir preferencias personales de los usuarios.
El RGPD no aplica al tratamiento de los datos personales por razones de seguridad nacional y de conformidad a las políticas extranjeras y de seguridad comunes de la UE (es decir, por temas de defensa y seguridad). El RGPD tampoco aplica a los datos procesados por instituciones de la UE, lo que está regido por el Reglamento (EC) 45/2001 del Parlamento Europeo y del Consejo del 18 de diciembre del 2000 «sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las instituciones y los organismos de la Comunidad y sobre la libre circulación de estos datos». El RGPD tampoco aplica a los datos procesados por autoridades públicas en el curso de la prevención, detección, investigación y enjuiciamiento del delito, lo cual está regido por la Directiva (EU) 2016/680 del Parlamento Europeo y del Consejo del 27 de abril de 2016 «sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y sobre la libre circulación de dichos datos».
El Convenio de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal de 1981 (ETS No. 108) del Consejo de Europa es un tratado internacional legalmente vinculante sobre la protección de datos personales. Un protocolo adicional opcional al Convenio, el Protocolo Adicional al Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, respecto a las autoridades supervisoras y los flujos transfronterizos de datos de 2001, pidió el establecimiento de autoridades supervisoras para asegurar la protección de los datos y el respeto a la privacidad en la divulgación de datos. Otro protocolo (CETS No. 223) enmendó y actualizó el Convenio de 1981 (es decir, el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal de 2018). De acuerdo con el Consejo de Europa (s.f.), la modernización del Convenio «apuntó a dos objetivos principales: lidiar con los desafíos resultantes del uso de nuevas tecnologías de información y comunicación y reforzar la efectiva implementación del Convenio» (para las principales novedades del Convenio modernizado, consulte; y para una tabla comparativa entre el Convenio de 1981 y el modernizado, consulte).
Además de las leyes de protección de datos nacionales, regionales e internacionales, existen directrices y principios que algunos países y organizaciones intergubernamentales han creado y que sectores públicos y privados en todo el mundo ha implementado, como la Organización para la Cooperación y el Desarrollo Económicos (OCDE) Directrices para la Protección de la Privacidad y Flujos Transfronterizos de Datos Personales (1980; 2013):
Deben establecerse límites para la recolección de datos personales y cualquiera de estos datos debe obtenerse con medios legales y justos y, siempre que sea apropiado, con el conocimiento o consentimiento del titular de los datos.
Los datos personales deben ser relevantes para el propósito de su uso y, en la medida de lo necesario para dicho propósito, deben ser exactos, estar completos y actualizados.
Se deben especificar los propósitos de la recolección de datos a más tardar en el momento en que se produce dicha recolección y su uso será limitado al cumplimiento de los objetivos u otros que no sean incompatibles con los propósitos originales, especificando en cada momento si hubiera un cambio de objetivo.
No se deberán divulgar, poner a disposición o usar los datos personales para propósitos que no cumplan lo expuesto en el párrafo 9, excepto:
Se emplearán medidas razonables de seguridad para proteger los datos personales contra riesgos, tales como la pérdida, el acceso no autorizado, la destrucción, el uso, la modificación o la divulgación de estos.
Toda persona tiene derecho a:
Todo controlador de datos debe rendir cuentas acerca del cumplimiento de las medidas que hagan efectivos los principios señalados anteriormente.
Se han adoptado principios similares en legislaciones nacionales. Consulte, por ejemplo, la Ley de Privacidad de Nueva Zelanda de 1993 y la Ley de Privacidad de Australia de 1988.