En España, un trabajador de una frutería tomó el número de una clienta de la base de datos y la contactó para invitarla a salir. ¿El resultado? Una multa de 300 euros (aproximadamente Q2 mil 700) al empleado, y una afectación reputacional invaluable para la empresa, porque la clienta había cedido sus datos solamente para fines comerciales, no para obtener una cita.
En este caso, la empresa no tuvo ninguna sanción porque la Asociación Española de Protección de Datos (AEPD) consideró que el responsable del mal uso de los datos fue el empleado, no la organización. Pero pudo tener consecuencias para el negocio si por ejemplo detectaran un fallo en la custodia y protección de los datos.
Pensemos ahora en un caso similar en Guatemala. ¿Qué ocurriría ante una filtración o venta de datos sin autorización? A primera vista parecería que nada, ya que no existe una ley, ni una autoridad específica a la cual acudir para denunciar una situación de ese tipo. Sin embargo, la propia Constitución y resoluciones de la Corte de Constitucionalidad (CC) han interpretado el alcance de la protección constitucional básica, y han definido conceptos importantes relativos a la protección de datos.
La Constitución y su interpretación
La CC, en varias resoluciones, ha hecho referencia al derecho a la autodeterminación informativa del individuo. Esto, en resumen, da control a la persona sobre todos sus datos y le garantiza su tutela ante un uso indebido y con fines de lucro por parte de un tercero.
Además, afirman que la posibilidad de comercialización debe ser autorizada voluntariamente por la persona, que debe tener garantizado su derecho a actualizar, rectificar o eliminar esos datos. De no cumplirse esto, puede conllevar responsabilidad tanto para las entidades que proporcionen esos datos como para aquellos que se sirvan de ellos[1].
Tomando esto en cuenta, las empresas que recopilan, almacenan o procesan datos personales en Guatemala, tienen la obligación de garantizar la privacidad de los usuarios. Consecuentemente, para administrar riesgos derivados de ello, previo a requerir cualquier información de carácter personal y/o sensible de terceros, nuestra experiencia nos ha mostrado la importancia sobre lo siguiente:
- Obtener consentimiento informado de los usuarios. Un ejemplo es cuando las plataformas de contenido digital obligan a descargar y leer los términos y condiciones antes de poder aceptarlos.
- Implementar, actualizar, y revisar con frecuencia las medidas de seguridad en sistemas informáticos, para evitar el acceso no autorizado a estos.
- Notificar vulneraciones de seguridad a los usuarios.
- Designar un responsable de protección de datos con la capacidad suficiente para dicho rol. Esta facultad incluso podría ser desempeñada por un oficial de cumplimiento si ya se cuenta con esa figura.
- Garantizar los derechos de Aclaración, rectificación, corrección y olvido (ARCO) a los usuarios, mediante un procedimiento eficiente.
- Limitar el uso de datos al propósito autorizado y expresamente consentido por los usuarios.
Legislación pendiente
Desde 2009, el Congreso de la República registró 6 iniciativas relacionadas con la protección de datos personales y el uso de estos por terceros, pero a la fecha, ninguna ha sido aprobada.
La última, anunciada el 8 de julio de 2025 por la bancada del partido Cabal, parece ir en la línea de lo legislado en Europa, ya que plantean, entre otros temas, crear una autoridad ante quien poder denunciar. De acuerdo con el diputado Julio Héctor Estrada, se busca dar control a la población sobre sus datos para que puedan corregirlos, borrarlos o negarse a que los usen cuando así lo deseen. Además, se busca implementar multas de hasta mil salarios mínimos por incumplimiento.
Recuerde que, aunque el procedimiento de denuncia no esté claro, ni exista una ley específica de protección de datos, el incumplimiento de las obligaciones ya reconocidas por la CC puede derivar en responsabilidades legales, incluyendo sanciones penales, civiles y administrativas, además de daños reputacionales invaluables de las empresas.
Si tiene cualquier consulta sobre el tema, no dude en contactarnos.
