La privacidad y la protección de datos son elementos importantes del panorama legal del comercio electrónico, ya que pueden imponer condiciones a la transferencia de datos entre las partes. Esta sección tiene como objetivo identificar las leyes relacionadas con la privacidad y la protección de datos, con especial atención a las que son relevantes para el comercio sin papel.
I.C.1 ¿Existe una ley sobre privacidad y protección de datos? Si es así, ¿Cuáles son sus características? ¿Está basada en normas internacionales?
La privacidad y la protección de datos son nociones que pueden diferir según las regiones y los contextos. A efectos de la lista de verificación, la ley de privacidad y protección de datos es la que establece las condiciones para recabar datos, el acceso, el uso y la transferencia de datos, así como para su almacenamiento y conservación. A menudo, esa ley establece una autoridad dedicada a su aplicación.
El contenido de las leyes de privacidad y protección de datos puede variar significativamente. Los Estados pueden inspirarse en las normas internacionales. A nivel mundial, las Guías sobre la Protección de Privacidad y Flujos Transfronterizos de Datos Personales 2013 de la Organización para la Cooperación y el Desarrollo Económico (OCDE) ofrecen un conjunto de principios relevantes. A nivel regional, el Marco de Privacidad del Foro de Cooperación Económica Asia-Pacífico de 2015 también contiene principios pertinentes que pueden aplicarse a través del Sistema de Normas de Privacidad Transfronteriza (CBPR, por sus siglas en inglés) de la APEC.
Las leyes de privacidad y protección de datos suelen proteger un conjunto específico de datos, denominados datos personales, información personal o información personalmente identificable. Este conjunto de datos puede incluir datos relevantes para el comercio sin papel.
I.C.2 ¿Legislación nacional aborda la transferencia de datos al extranjero?
La legislación sobre privacidad puede tratar la transferencia de datos (incluidos los datos utilizados en el comercio sin papel) al extranjero. A menudo, la exportación de datos sólo se permite con la condición de que el país de destino ofrezca la misma protección de datos.
El artículo 26 de Ley de Protección de Datos Personales de 2012 de Singapur deja muy claro este tipo de regla.
26. Transferencia de datos personales fuera de Singapur
1. Una organización no transferirá ningún dato personal a un país o territorio fuera de Singapur, excepto de conformidad con los requisitos prescritos en esta Ley para garantizar que la organización proporcione un nivel de protección para los datos personales que sean transferidos, que sea comparable a la protección prevista en esta Ley.
Si bien la Ley de Protección de Datos Personales de 2012 es una legislación de referencia en materia de privacidad, no sustituye a otras leyes existentes que se ocupan de la protección de los datos personales, como la Ley Bancaria de 2008 (Cap. 19). Por el contrario, funciona conjuntamente con ellas.
El artículo 26 de la Ley de Protección de Datos Personales de 2012, el Reglamento 9 del Reglamento de Protección de Datos Personales de 2014 y el apartado 19 de la Comisión de Protección de Datos Personales proporcionan conjuntamente una amplia gama de bases legales y mecanismos para transferir datos personales a un país o territorio fuera de Singapur. Estas medidas incluyen el uso de acuerdos contractuales para garantizar que el receptor en el extranjero esté legalmente obligado a cumplir con un nivel de protección comparable. El uso de un acuerdo contractual (bilateral o regional) es coherente con el artículo 7 del Protocolo de la ASEAN para Establecer e Implementar la Ventanilla Única de 2015 (ASW, por sus siglas en inglés) (“Marco Legal”), del que Singapur es parte.
PARTE III a VI, la Regulación 9(1)(a) y (b) del Regulaciones de Protección de Datos Personales de 2014 establece los requisitos para la transferencia de datos personales fuera de Singapur y lo que constituye una “obligación legalmente exigible” que proporciona un estándar de protección que es al menos comparable a la protección bajo la Ley de Protección de Datos Personales de 2012 a los datos personales transferidos en el extranjero de conformidad con la sección 26.
La privacidad y la protección de datos en la transferencia transfronteriza de datos también pueden regirse por acuerdos específicos del sector. Por ejemplo, el régimen de privacidad en el sector financiero puede ser exigido por una autoridad delegada que regula las instituciones financieras y puede exigir el cumplimiento de la obligación en virtud de las leyes que rigen las transacciones financieras.
En algunos casos, las leyes se promulgan para permitir los flujos de datos de socios comercialmente significativos. El Reglamento de la Unión Europea 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -conocido como Reglamento General de Protección de Datos, o “RGPD” - establece un sistema de transferencia de datos fuera de la Unión Europea que puede requerir este tipo de medidas legislativas.
I.C.3 ¿Los acuerdos internacionales contienen disposiciones relevantes para la privacidad y la protección de datos?
Las disposiciones transfronterizas sobre privacidad y protección de datos también pueden estar contenidas en acuerdos internacionales como los capítulos sobre comercio electrónico de los tratados de libre comercio. Estas disposiciones, cuyo objetivo es garantizar un nivel de uniformidad jurídica, exigen que los Estados desarrollen leyes de privacidad y protección de datos de conformidad, y pueden hacer referencia a principios y lineamientos internacionales.
Por ejemplo, el artículo 14.8 del Tratado Integral y Progresista de Asociación Transpacífico (CPTPP, por sus siglas en inglés),
14.8. Protección de la información personal
1. …cada Parte adoptará o mantendrá un marco legal que disponga la protección de la información personal de los usuarios del comercio electrónico. En el desarrollo de su marco legal para la protección de la información personal, cada Parte debería tomar en consideración los principios y directrices de los organismos internacionales pertinentes
[…]
5. Reconociendo que las Partes podrán tomar diferentes enfoques legales para proteger la información personal, cada Parte debería fomentar el desarrollo de mecanismos para promover la compatibilidad entre estos diferentes regímenes. Estos mecanismos podrán incluir el reconocimiento de resultados regulatorios, sean acordados autónomamente o por acuerdo mutuo, o en marcos internacionales más amplios. Para este fin, las Partes procurarán intercambiar información sobre cualquiera de tales mecanismos aplicados en sus jurisdicciones y explorarán maneras de extender estos u otros acuerdos adecuados para promover la compatibilidad entre estos.
Los acuerdos internacionales pueden ser bilaterales o multilaterales, de aplicación general o sectorial.
I.C.4 ¿La ley exige la localización de los datos? Si es así, ¿aplica para el comercio sin papel?
La ley puede prescribir la “localización de datos”, es decir, la recolección, el tratamiento y el almacenamiento de datos, o de ciertos tipos de datos, en una jurisdicción concreta. Esto puede hacerse por razones de seguridad o de otro tipo. Los requisitos de localización de datos también pueden acordarse en los contratos. La localización de los datos puede afectar significativamente al diseño y funcionamiento de un sistema de información; por ejemplo, puede impedir en la práctica el uso de cierta tecnología, como la nube informática.
Las disposiciones sobre localización de datos pueden encontrarse también en los tratados de libre comercio (TLC). Sin embargo, en ese caso las disposiciones suelen tener como objetivo limitar la capacidad de los Estados para exigir la localización de los datos, ya que esto se considera un obstáculo para el flujo de datos.
Por ejemplo, el artículo 14.13 del CPTPP:
14.13. Ubicación de las instalaciones informáticas
1. Las Partes reconocen que cada Parte podrá tener sus propios requisitos regulatorios relativos al uso de instalaciones informáticas, incluyendo los requisitos que buscan asegurar la seguridad y confidencialidad de las comunicaciones.
2. Ninguna Parte podrá exigir a una persona cubierta usar o ubicar las instalaciones informáticas en el territorio de esa Parte, como condición para la realización de negocios en ese territorio.
3. Nada de lo dispuesto en este Artículo impedirá que una Parte adopte o mantenga medidas incompatibles con el párrafo 2 para alcanzar un objetivo legítimo de política pública, siempre que la medida: (a) no se aplique de forma que constituya un medio de discriminación arbitrario o injustificable, o una restricción encubierta al comercio; y (b) no imponga restricciones sobre el uso o ubicación de las instalaciones informáticas mayores a las que se requieren para alcanzar el objetivo.
I.C.5 ¿Existen reglas especiales sobre privacidad y protección de datos para el comercio sin papel?
Las nociones de integridad de los datos y de protección de los datos suelen utilizarse en contextos diferentes. La integridad de los datos tiene más que ver con los registros individuales: ¿tengo un certificado de PKI válido que me garantice que este registro no ha sido manipulado? La protección de datos tiene que ver con la protección de una base de datos: ¿dispongo de autenticación multifactorial para acceder al correo electrónico de mi oficina? La privacidad tiene que ver con los límites para transferir datos. Como se ha señalado anteriormente (I.C.1), la legislación general sobre privacidad y protección de datos podría regular todos los aspectos de la protección de la información personal, incluso en el comercio sin papel. Sin embargo, las leyes específicas de sectores (como las bancarias o aduaneras) pueden tener prioridad sobre las leyes generales de privacidad. Los acuerdos contractuales (por ejemplo, con un operador de ventanilla única) también pueden ser relevantes.
I.C.6 ¿La ley protege la confidencialidad de la información comercial en formato electrónico?
Los documentos comerciales y relacionados con el comercio pueden contener información, como conocimientos técnicos (conocido en inglés como know-how) no revelados y secretos comerciales, que son confidenciales. Dicha información puede ser útil, por ejemplo, para fines de marketing, gestión de la cadena de suministro o fabricación.
La confidencialidad protege la información del acceso ilícito, el uso o la divulgación de la misma no autorizados puedan perjudicar los intereses de las empresas. Las leyes generales sobre la confidencialidad comercial pueden aplicarse a la información en cualquier forma, incluida la electrónica. También pueden existir leyes específicas sobre la confidencialidad de la información electrónica.
En Singapur, el artículo 28 de la Ley de Transacciones Electrónicas de 2010 (Cap. 88) impone obligaciones acerca de la confidencialidad cuando la información se obtiene del desempeño de las funciones o el ejercicio de las competencias previstas en la Ley.
28. Obligación de confidencialidad
1. Ninguna persona podrá revelar la información que haya obtenido en el desempeño de sus funciones o en el ejercicio de sus facultades en virtud de la presente Ley, a menos que dicha revelación se haga –
a. Con el permiso de la persona de la que se obtuvo la información o, cuando la información es la información confidencial de una tercera persona, con el permiso de la tercera persona;
b. A efectos de la administración o aplicación de esta Ley;
c. Con el fin de ayudar a cualquier funcionario público o de cualquier otra junta estatutaria en la investigación o el enjuiciamiento de cualquier delito en virtud de cualquier ley escrita;
d. O en cumplimiento del requerimiento de cualquier tribunal o de la disposición de cualquier ley escrita.
2. A los efectos de esta sección, la referencia a una persona que divulga cualquier información incluye el hecho de que permita a cualquier otra persona tener acceso a cualquier registro electrónico, libro, registro, correspondencia, información, documento u otro material que haya obtenido en el desempeño de sus funciones o en el ejercicio de sus poderes en virtud de esta Ley.
3. Toda persona que infrinja el apartado (1) estará cometiendo un delito y podrá ser condenada a una multa no superior a 10.000 dólares o a una pena de prisión no superior a 12 meses, o a ambas.
Asimismo, pueden aplicarse disposiciones específicas a determinados casos, por ejemplo, la divulgación de información presentada en una ventanilla única electrónica. Australia ha adoptado una disposición para proteger la información confidencial presentada de conformidad con la Ley de Aduanas de 1901 contra la divulgación no autorizada, incluida la información cuya divulgación podría perjudicar la posición competitiva de la persona que proporciona la información.
233BABAF. Utilizando la información en poder de la Commonwealth
1. Una persona comete un delito si:
a. la persona obtiene información; y
b. la información es información restringida;
c. la persona utiliza la información para cometer un delito contra una ley de la Commonwealth, un Estado o un Territorio.
Pena: Prisión de 2 años o 120 unidades de pena, o ambos.
4. En esta sección:
información restringida significa información:
a) en un ordenador propiedad de la Commonwealth, alquilado o gestionado por ella para su uso a efectos de la Ley de Aduanas: y
b) cuyo acceso está restringido por un sistema de control de acceso asociado a una función del ordenador.
La responsabilidad por la divulgación de información confidencial puede surgir de disposiciones legales o contractuales. Es posible la obligación en materia civil o penal, o ambas.
I.C.7 ¿Existen disposiciones sobre delitos informáticos aplicables al comercio sin papel?
Muchos países han establecido sanciones generales contra el acceso abusivo o la alteración y otros usos indebidos de la información almacenada, comunicada o procesada por un sistema o red informática. La legislación general sobre delincuencia cibernética podría aplicarse también al acceso no autorizado a la información contenida en los sistemas de comercio electrónico.
En algunos casos, pueden existir disposiciones específicas. Los artículos 30 a 33 de la Ley de Facilitación del Comercio Electrónico de 2015 de la República de Corea imponen sanciones penales por diversos abusos de la información de una entidad empresarial de infraestructura de comercio electrónico, que es una entidad designada para gestionar un sistema de información que “intermedia, guarda y certifica los documentos comerciales electrónicos interconectando sistemáticamente a los comerciantes con los organismos relacionados con el comercio a través de las redes de información y comunicaciones”.
30. (Sanciones penales)
(1) Cualquiera de las siguientes personas será castigada con una pena de prisión con trabajos forzados no superior a diez años o con una multa no superior a 100 millones de wons:
1. La persona que falsifique o altere cualquier documento comercial electrónico registrado en los archivos informáticos de una entidad comercial de infraestructura de comercio electrónico, una persona que envíe o reciba un documento comercial electrónico, un comerciante o una agencia relacionada con el comercio, o cualquier información comercial introducida en su base de datos, o utilice cualquier documento comercial electrónico o información comercial falsificados o alterados, infringe el artículo 20 (1);
2. Una persona que tiene un certificado en virtud del artículo 17 (1) emitido mediante el procesamiento de información, etc. después de introducir información falsa u órdenes indebidas en un ordenador o cualquier otro dispositivo de procesamiento de información de una entidad comercial de infraestructura de comercio electrónico, en violación del artículo 20 (2).
(2) La persona que intente cometer un delito como el descrito en el párrafo (1) será castigada.
31. (Sanciones penales)
Las siguientes personas serán castigadas con una pena de prisión con trabajos forzados no superior a cinco años o con una multa no superior a 50 millones de wons:
1. La persona que lleve a cabo los negocios previstos en el artículo 6 (2) 1 a 3 sin haber sido designada como entidad comercial de infraestructura de comercio electrónico, en violación del artículo 6 (3);
2. La persona que dañe cualquier documento electrónico registrado en los archivos informáticos de una entidad comercial de infraestructura de comercio electrónico, una persona que envíe o reciba un documento de comercio electrónico, un comerciante o una agencia relacionada con el comercio, o cualquier información comercial introducida en su base de datos, o infrinja su secreto comercial, infringiendo el artículo 20 (3);
3. La persona que divulgue o abuse de cualquier información confidencial relativa a los documentos comerciales electrónicos o a la información comercial de la que haya tenido conocimiento en el ejercicio de su actividad, en violación del artículo 20 (4);
4. Una entidad comercial de infraestructura de comercio electrónico que no conserve los documentos electrónicos o las bases de datos durante tres años, en violación del artículo 20 (5).
32. (Sanciones penales)
La persona que lleve a cabo asuntos comerciales incluidos en cualquiera de los apartados del artículo 12 (1) por medio de documentos electrónicos sin utilizar la infraestructura de comercio electrónico, infringiendo la disposición del artículo 12 (1), será castigada con una multa que no excederá de 20 millones de wons.
33. (Sanciones penales conjuntas)
Si el representante de una corporación, o un agente, o empleado de, o cualquier otra persona empleada, por la corporación o un individuo, comete cualquier infracción comprendida en cualquiera de los artículos 30 a 32 en la conducción de los asuntos comerciales de la corporación o del individuo, no sólo se castigará a dicho infractor, sino que también se castigará a la corporación o al individuo con una multa mencionada en las disposiciones pertinentes: Siempre que esto no se aplique a los casos en los que dicha corporación o individuo no haya sido negligente a la hora de prestar la debida atención y supervisión en relación con los deberes pertinentes con el fin de evitar dicha infracción.