El Consejo Europeo de Protección de Datos Publica las Directrices Sobre el Tratamiento de Datos Personales Basado en el Interés Legítimo

El Consejo Europeo de Protección de Datos Publica las Directrices Sobre el Tratamiento de Datos Personales Basado en el Interés Legítimo

El pasado 08 de octubre de 2024 el Consejo Europeo de Protección de Datos (“CEPD”) publicó unas directrices sobre el tratamiento de datos personales basado en el interés legítimo (“Directrices”).

Las Directrices examinan los criterios establecidos en el artículo 6.1.(f) del Reglamento General de Protección de Datos (“RGPD”) que los responsables del tratamiento deben cumplir para tratar datos personales cuando dicho tratamiento sea “necesario para los fines de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero”.

El artículo 6.1.(f) del RGPD es una de las seis bases legales previstas para el tratamiento legítimo de datos personales.

Por tanto, el interés legítimo no debe considerarse como una última opción para situaciones excepcionales o imprevistas en las que no aplican otras bases legales (p. ej., el consentimiento), ni seleccionarse automáticamente ni ampliarse su uso de forma indebida bajo la idea de que es menos restrictivo que otras bases legales por fundamentarse en una decisión unilateral del responsable del tratamiento.

En este sentido, el CEPD indica que para que el tratamiento de datos personales se base en el artículo 6.1.(f) del RGPD, deben cumplirse tres condiciones acumulativas:

i. La existencia de un interés legítimo por parte del responsable del tratamiento o de un tercero.

ii. La necesidad de tratar datos personales para los fines de dicho interés legítimo.

iii. Los intereses, derechos fundamentales o libertades de los interesados no prevalezcan sobre los intereses legítimos del responsable del tratamiento o de un tercero.

Para determinar si un tratamiento de datos personales puede basarse en el artículo 6.1.(f) del RGPD, los responsables del tratamiento deben realizar una evaluación detallada y documentar si se cumplen las tres condiciones acumulativas anteriormente indicadas. La evaluación debe completarse antes de llevar a cabo las operaciones de tratamiento correspondientes.

I. Existencia

No todos los intereses del responsable del tratamiento o de un tercero pueden considerarse legítimos. Solo pueden invocarse como base legal aquellos intereses que sean legales, claramente definidos y actuales.

Además, es obligación del responsable del tratamiento informar al interesado sobre los intereses legítimos que motivan dicho tratamiento.

II. Necesidad

Debe evaluarse si el interés legítimo no puede lograrse de manera razonable y efectiva a través de medios alternativos que sean menos restrictivos para los derechos y libertades fundamentales de los interesados, teniendo en cuenta también el principio de minimización de datos personales establecido en el artículo 5.1 del RGPD.

En consecuencia, si existen otros medios menos restrictivos, el tratamiento no puede basarse en el artículo 6.1.(f).

III. Prevalencia

Los intereses, derechos fundamentales o libertades del interesado no deben prevalecer sobre los intereses legítimos del responsable del tratamiento o de un tercero (relacionado con el responsable del tratamiento), lo cual implica encontrar un equilibrio entre los derechos e intereses en conflicto que depende principalmente de las circunstancias específicas del tratamiento en cuestión.

El tratamiento solo será posible si el resultado de este análisis muestra que los intereses legítimos del responsable del tratamiento o de un tercero no son anulados por los derechos y libertades del interesado.

Conclusiones

i. Cuando se pretenda basar el tratamiento en el interés legítimo, el responsable del tratamiento debe realizar una evaluación adecuada en virtud del artículo 6.1.(f) del RGPD.

ii. La evaluación para determinar la idoneidad del tratamiento basado en el interés legítimo no es una tarea sencilla, dado que exige una consideración detallada de una serie de factores que permitan realizar una ponderación entre los derechos de los interesados y el interés legítimo del responsable del tratamiento o de un tercero.

iii. Entre los factores a tener en cuenta se encuentran:

  • la naturaleza y el origen del interés legítimo,
  • el impacto del tratamiento sobre los derechos y libertades des fundamentales del interesado,
  • las expectativas razonables del interesado respecto al tratamiento, y
  • la existencia de garantías adicionales que puedan limitar impactos indebidos en los derechos de los interesados.

iv. Las Directrices ofrecen una orientación sobre cómo llevar a cabo una evaluación que permita a los responsables del tratamiento basar el tratamiento en el interés legítimo, incluyendo ejemplos en contextos específicos (p. ej., la prevención del fraude o el marketing).

v. Las Directrices explican la relación entre el artículo 6.1.(f) del RGPD y diversos derechos de los interesados recogidos en el reglamento.

vi. Finalmente, es importante mencionar que las Directrices han pasado por un proceso de consulta pública, permitiendo a las partes interesadas presentar sus opiniones o comentarios hasta el pasado 20 de noviembre de 2024 y, por tanto, aún pueden ser modificadas.

Compartir:
¿Cómo construir una cultura de compliance sólida dentro de las farmacéuticas?

¿Cómo construir una cultura de compliance sólida dentro de las farmacéuticas?

El Compliance se ha convertido, cada vez más, en parte integral del día a día de las empresas. Aquello que hace no mucho parecía una utopía reservada para grandes corporaciones, hoy se consolida como una necesidad transversal en todos los sectores. Lejos de ser una moda, es una herramienta esencial para garantizar el cumplimiento normativo, fomentar la ética organizacional y construir una cultura sólida que permita la sostenibilidad en el tiempo.

En sectores como el farmacéutico, que podríamos definir como “súper regulados”, el cumplimiento normativo no puede limitarse a una obligación legal. Se trata de una responsabilidad ética con los pacientes, con los profesionales del sector y, por supuesto, con la sociedad. Pero más allá de cumplir con la norma, el verdadero reto es lograr que el Compliance sea parte del ADN de la organización y no simplemente un requisito más por cumplir.

Desde mi experiencia liderando un Departamento Legal y de Compliance, he constatado que el primer paso no debe centrarse únicamente en redactar políticas o diseñar procedimientos. Muchas veces, las organizaciones caen en el error de producir distintos documentos que terminan archivados, sin mayor seguimiento ni utilidad práctica. Se cumple con el checklist y se proclama con orgullo tener un sistema robusto de cumplimiento… al menos en el papel.

En línea con lo expuesto anteriormente, un ejemplo de máxima actualidad —ocurrido justamente el pasado 29 de abril— que demuestra con claridad la importancia de contar con un sistema de cumplimiento efectivo es la condena a una persona jurídica en el marco del caso Lava Jato en Perú. Por primera vez, se sancionó penalmente a una empresa por actos de corrupción. Este hito marcó un precedente contundente: las empresas no solo pueden, sino que deben responder penalmente cuando no previenen ni controlan conductas indebidas dentro de su estructura. Este caso evidenció la necesidad urgente de contar con sistemas de Compliance eficaces, capaces de detectar riesgos, prevenir delitos y proteger la reputación institucional. Hoy más que nunca, las personas jurídicas deben asumir un rol activo y responsable en la prevención de malas prácticas.

Este es, precisamente, el enfoque que debemos evitar: tratar el cumplimiento como un formalismo. El verdadero objetivo del Compliance es lograr que las normas se comprendan, se interioricen y se apliquen en el día a día de cada colaborador. Para eso, la formación continua es un pilar innegociable. Sin capacitación permanente, no hay cultura de cumplimiento posible. Como bien dicen algunos colegas del sector, es mejor ser profesor que policía.

Aquí es donde surge uno de los desafíos más importantes para los Compliance Officers: ganarse la confianza de todos los niveles de la organización. En muchas empresas, esta figura aún es desconocida o mal entendida. Por ello, es fundamental demostrar el valor que aporta al negocio, no solo como una barrera de control, sino como un facilitador de procesos, un garante de buenas prácticas y un promotor de la transparencia.

Una vez se establece esa confianza, los canales de comunicación —como los sistemas de denuncias internas (whistleblowing)— comienzan a cobrar verdadero sentido. Estos deben ser seguros, confiables y accesibles, para que cualquier irregularidad pueda reportarse sin temor a represalias. Así se fortalece la integridad organizacional y se impulsa un ambiente basado en la transparencia.

Por otra parte, no podemos perder de vista los nuevos desafíos sociales. Aspectos como los criterios ESG (ambientales, sociales y de gobernanza) deben ocupar un lugar central en la agenda empresarial. En un sector como el farmacéutico, cuya misión está directamente vinculada con la salud y el bienestar, no hay espacio para prácticas como el greenwashing. La coherencia entre lo que se promueve y lo que se ejecuta es clave.

Después de todo lo expuesto, mi conclusión es la siguiente: “El Departamento de Compliance debería desaparecer.” ¿Por qué? Porque el verdadero éxito del Compliance no está en su existencia como departamento, sino en su integración total dentro de la organización. El día que cada colaborador actúe con integridad, conozca las normas y las aplique naturalmente, ese día el Compliance habrá cumplido su misión más ambiciosa: dejar de ser un área aislada y convertirse en una cultura compartida.

Juan Pablo Aros Amaya

Legal & Compliance Manager Meiji Pharma Spain.

Compartir:
Webinar “¿Cómo podría Trump 2.0 transformar los negocios en Latinoamérica?

Webinar “¿Cómo podría Trump 2.0 transformar los negocios en Latinoamérica?

El pasado 05 de marzo se llevó a cabo con éxito el webinar titulado “¿Cómo podría Trump 2.0 transformar los negocios en Latinoamérica?”, organizado por Albagli Zaliasnik (AZ), Miller & Chevalier en colaboración con Compliance Latam.

Participaron como expositores Rodrigo Albagli, socio de AZ, Yoab Bitran, director de Grupo Compliance, María Lapetina, socia de la firma estadounidense Miller & Chevalier, y Facundo Galeano, asociado de la misma firma. Juntos ofrecieron una visión experta sobre los desafíos que podrían surgir en materia de compliance, regulaciones internacionales, comercio y relaciones bilaterales, en el contexto de una nueva administración estadounidense liderada por Trump.

Durante la conversación, se abordaron temas clave como el endurecimiento de políticas regulatorias, eventuales cambios en tratados comerciales, y el fortalecimiento de los mecanismos de control en las operaciones internacionales, todo lo cual impacta directamente en las estrategias de cumplimiento y gestión de riesgos de las empresas chilenas y latinoamericanas.

El evento fue una instancia valiosa para que ejecutivos, abogados y profesionales del área pudieran anticiparse a posibles escenarios y ajustar sus estrategias frente a un contexto político internacional cambiante.

Compartir:
Ley de Fomento de la Inteligencia Artificial y Tecnologías

Ley de Fomento de la Inteligencia Artificial y Tecnologías

El 25 de febrero de 2025, la Asamblea Legislativa aprobó la Ley de Fomento de la Inteligencia Artificial y Tecnologías (en adelante, la «Ley IA«). Su objetivo es impulsar el desarrollo, la investigación y la aplicación de la inteligencia artificial (en adelante, «IA«) en El Salvador, fomentando la innovación y asegurando su uso responsable para contribuir al avance tecnológico y el crecimiento económico del país. La Ley IA aplica a todas las personas naturales o jurídicas involucradas en la investigación, desarrollo y aplicación de la inteligencia artificial, así como a quienes recopilen, almacenen y procesen datos para estas actividades. 

Principios fundamentales. Los principios claves que rigen la Ley IA son: transparencia y explicabilidad, equidad e inclusión, seguridad y privacidad, responsabilidad y rendición de cuentas, y sostenibilidad ambiental.  

Creación de la Agencia Nacional de Inteligencia Artificial (ANIA). Para garantizar la correcta implementación de la Ley IA, se crea la Agencia Nacional de Inteligencia Artificial (“ANIA”), una institución autónoma adscrita a la Presidencia de la República. Sus principales funciones incluyen: 

  • Supervisar el cumplimiento de la Ley IA y gestionar el Marco Integral de Evaluación de Riesgos para sistemas que manejen datos confidenciales o personales. 
  • Administrar el Registro Nacional de Desarrollo, Innovación y Aplicación de IA. 
  • Fomentar alianzas público-privadas para el desarrollo de IA. 
  • Colaborar con el Ministerio de Educación para integrar la IA en los programas educativos. 
  • Emitir normativas técnicas de seguridad junto con la Agencia de Ciberseguridad del Estado (ACE). 

Libre Participación. Las personas naturales y jurídicas, tanto nacionales como extranjeras, tendrán la libertad de realizar directamente o participar en el desarrollo, investigación, entrenamiento e implementación de la IA y tecnologías similares en El Salvador.   

Registro y Salvaguardas. Las personas o entidades que hagan uso exclusivo de datos de dominio abierto o de su propiedad en proyectos que no busquen fines comerciales o de uso público deberán inscribirse en el Registro Nacional de Desarrollo, Innovación y Aplicación de IA para poder acceder a las salvaguardas de la ley, tales como: 

  • Uso autorizado de datos de dominio abierto para fines de investigación, sin prejuicio de recibir imposición de medidas cautelares o judiciales como limitantes; siempre y cuando, dicho uso respete la legislación aplicable. 
  • Exoneración de responsabilidad en entornos experimentales, siempre que dichas actividades no sean desplegadas comercialmente ni afecten los derechos de los usuarios. 
  • No se establecerá responsabilidad por el mal uso de IA por terceros, siempre que se hayan seguido los estándares de seguridad, ética y operatividad establecidos. 
  • Los modelos de IA (ponderaciones, datos de entrenamiento, resultados, etc.) no estarán sujetos a condiciones de licencia restrictiva que limiten la competencia, innovación o investigación. Ninguna entidad privada podrá imponer condiciones, salvo que dichas restricciones se encuentren expresas en la legislación salvadoreña. 

Si las actividades se encuentran relacionadas con funciones públicas o áreas supervisadas, deberán cumplir también con las normativas técnicas de seguridad establecidas por ACE y otras entidades competentes. 

Evaluación de riesgo de la IA y tecnologías similares. La ANIA implementará un marco integral de evaluación de riesgos que equilibre la innovación tecnológica con la seguridad pública y el bienestar social. Su cumplimiento será obligatorio únicamente para sistemas que manejen datos confidenciales, reservados o personales según la legislación vigente. Este marco será flexible para adaptarse a nuevos estándares y clasificaciones internacionales de seguridad. 

Responsabilidad en el ciclo de vida de la IA o tecnologías similares. Las partes involucradas en el ciclo de vida de la IA, incluyendo desarrolladores, implementadores, proveedores de servicios y usuarios finales, deberán asumir la responsabilidad correspondiente a su rol para garantizar un uso ético y seguro de estos sistemas. Los desarrolladores deberán diseñar soluciones que cumplan con los estándares técnicos y éticos establecidos. Por su parte, los implementadores serán responsables de su correcta aplicación y del cumplimiento de las normas de seguridad. En el caso de los proveedores de servicios, deberán garantizar una infraestructura segura, y los usuarios finales deberán emplear los sistemas de IA de manera responsable, respetando su propósito y alcance. 

Decisiones Automatizadas y Derecho a Impugnación.  Cuando se utilice la IA comercialmente o para acceder a derechos o servicios dentro de la república, se estará en la obligación de informar al usuario de sí, la decisión fue adoptada directamente por la IA o fue impulsada por esta. Además, se establecerán mecanismos para que los ciudadanos puedan impugnar dichas decisiones ante una persona natural competente, quien podrá confirmar, modificar o revocar la resolución. 

Protección de Datos Personales y Seguridad. El uso de datos personales en el desarrollo de IA deberá cumplir con la Ley de Protección de Datos Personales y con las normativas de seguridad emitidas por la ANIA y ACE. 

Protección de la propiedad intelectual en el desarrollo de IA. La propiedad intelectual de la IA, incluidas patentes, derechos de autor y secretos industriales, pertenece exclusivamente a su creador. En proyectos colaborativos, los derechos deben definirse mediante acuerdos previos. Los algoritmos, bases de datos y sistemas de IA desarrollados en el país están protegidos por la ley, prohibiéndose su uso o divulgación sin autorización del propietario. 

Libre Competencia y Desarrollo de IA de Código Abierto. Se prohíbe la imposición de restricciones arbitrarias en el desarrollo de IA de código abierto; igualmente, se fomentará la participación internacional en proyectos de IA, garantizando la colaboración y el acceso a innovaciones tecnológicas. 

Este decreto está sujeto a posibles modificaciones antes de su publicación en el Diario Oficial. La Ley IA entrará en vigencia ocho días después de su publicación en el Diario Oficial. 

Compartir:
Compliance y Responsabilidad Corporativa en la Era Digital: La Necesidad de Ética en la Tecnología

Compliance y Responsabilidad Corporativa en la Era Digital: La Necesidad de Ética en la Tecnología

La transformación digital está avanzando a un ritmo sin precedentes, impulsada por innovaciones tecnológicas como el Big Data, BLockchain y la Inteligencia Artificial. Estas tecnologías tienen el potencial de cambiar radicalmente la forma en que las empresas operan, pero también traen consigo una serie de retos complejos, tanto desde el punto de vista legal como ético. En este contexto, las organizaciones deben prepararse para enfrentar estos desafíos garantizando no solo el cumplimiento de las regulaciones, sino también un compromiso genuino con principios éticos sólidos. Este enfoque integral es esencial para garantizar la sostenibilidad y la responsabilidad a medida que las empresas navegan en un entorno tecnológico que avanza rápidamente. 

El compliance o cumplimiento normativo asegura que las empresas operen dentro de los marcos legales establecidos por las autoridades regulatorias. Sin embargo, en el contexto digital, el cumplimiento de las leyes no se limita solo a la observancia de normas locales o internacionales. La rápida expansión de las tecnologías emergentes presenta desafíos nuevos y específicos, tales como la protección de la privacidad de los datos personales y la gestión de la ciberseguridad. Con el manejo de grandes volúmenes de datos, las empresas se enfrentan a un riesgo constante de violaciones que podrían afectar la confianza de los consumidores y la integridad de la información empresarial. 

En este sentido, normativas como el Reglamento General de Protección de Datos de la Unión Europea (GDPR), han marcado un hito en la protección de la privacidad. Este tipo de regulaciones exige que las empresas no solo cumplan con la ley, sino que también implementen estrategias proactivas para proteger los datos personales y garantizar la seguridad de las plataformas digitales.  

Un componente clave en la integración de compliance y responsabilidad corporativa es la transparencia. Las empresas deben ser abiertas con sus consumidores y otros grupos de interés sobre cómo utilizan las tecnologías, cómo protegen los datos personales y qué acciones están tomando para asegurar que sus productos y servicios sean seguros. La transparencia no es solo un requisito legal, sino un factor crucial para ganar la confianza de los consumidores. En un mundo donde la información es abundante y fácilmente accesible, los consumidores están cada vez más informados y exigentes, y prefieren hacer negocios con empresas que comparten sus valores y que operan de manera ética. 

El cumplimiento normativo no debe verse como una acción aislada o meramente reactiva ante posibles sanciones. En la actualidad, las empresas deben integrar los principios éticos en el corazón de sus operaciones. La inteligencia artificial, la automatización y la ciberseguridad, por ejemplo, son herramientas poderosas que pueden mejorar la eficiencia de las empresas, pero también presentan riesgos significativos, como sesgos algorítmicos o la toma de decisiones automatizada sin supervisión humana. Estos riesgos tienen implicaciones éticas y sociales importantes que deben ser gestionadas adecuadamente, por ello es un deber de las empresas garantizar que sus sistemas sean transparentes, auditables y libres de sesgos. 

Las empresas que integran la responsabilidad social y la ética en su modelo de negocio no solo fortalecen su imagen ante los consumidores, sino que también construyen una base sólida para su crecimiento a largo plazo. Al priorizar la sostenibilidad y el cumplimiento de normativas, estas organizaciones no solo contribuyen positivamente a la sociedad, sino que también se posicionan estratégicamente en un mercado global donde los valores y la integridad son cada vez más apreciados por consumidores e inversores. De este modo, la responsabilidad social se convierte en un activo intangible que no solo genera confianza, sino que también puede ser decisiva para el éxito y la permanencia en un entorno empresarial competitivo. 

Javier Haro Head of Legal & Compliance en Chile – Perú – Argentina en Innomotics.

Compartir: