Protección de datos en América Latina: avances, tensiones y desafíos pendientes

El 28 de enero es reconocido a nivel mundial como el Día de la Protección de Datos. La fecha fue establecida en 2006 por el Consejo de Europa y remite al día en que se firmó, en 1981, la Convención 108: el primer tratado internacional jurídicamente vinculante para Europa sobre la protección de datos personales y el tratamiento automatizado de información. La efeméride conmemorativa se inscribe, por lo tanto, en una tradición europea de regulación de la privacidad y la protección de datos, que ha influido en múltiples marcos normativos en todo el mundo y busca destacar la importancia de garantizar esos derechos fundamentales en un contexto de uso creciente de tecnologías digitales.

Aunque las nociones de privacidad y de protección de datos están estrechamente relacionadas, no son sinónimos. La primera se refiere a un derecho amplio a la intimidad y a la autonomía personal, clásicamente definido como el “derecho a no ser molestado”; mientras que la segunda articula un conjunto de normas y prácticas sobre cómo se recolectan, procesan y protegen los datos que identifican o tienen el potencial de identificar a una persona. En ese sentido, el 28 de enero no solo celebra un derecho individual abstracto, sino una tradición normativa que busca colectivizar ese derecho y traducirlo en obligaciones y mecanismos concretos, cuya efectividad depende de instituciones específicas.

En América Latina, esta fecha implica reflexionar no solo sobre los avances legales, sino también sobre las tensiones entre teoría y práctica en contextos sociales, institucionales y políticos específicos que difieren, en muchos sentidos, de los europeos.

Los avances legales

La privacidad es un derecho reconocido en las constituciones y leyes de la gran mayoría de los países. En consonancia con este reconocimiento, durante la última década América Latina avanzó en la aprobación de leyes de protección de datos personales, en procesos legislativos fuertemente influidos por la experiencia europea, en particular por el Reglamento General de Protección de Datos (GDPR).

Estas normas surgen en un contexto marcado por el uso -cada vez más intensivo- de datos por parte de las empresas privadas, cuya presencia en la vida cotidiana de las personas es cada vez mayor y más profunda. A este escenario se suma la creciente digitalización de los Estados, que dependen principalmente de la recolección y el tratamiento de datos personales para diseñar e implementar políticas públicas. En este punto, además, emerge una tensión fundamental: si bien el uso de datos puede ser una herramienta legítima para la acción estatal, su utilización sin salvaguardas adecuadas por parte de las instituciones públicas puede abrir la puerta a prácticas de vigilancia y a vulneraciones de derechos. En ausencia de reglas claras y límites efectivos, las personas quedan en una situación de especial vulnerabilidad.

Es precisamente desde este escenario que deben leerse los avances legislativos recientes en la región, que avanzan con ritmos distintos. Mientras todavía hay países como Honduras, Bolivia y Guatemala, que aún no cuentan con marcos legales de protección de datos, otros van camino a sus primeros marcos normativos o a la actualización de los ya existentes. Así, a fines de 2025, Paraguay aprobó su ley de protección de datos personales tras un prolongado debate legislativo y una activa participación de la sociedad civil. En Chile, en cambio, se prevé para 2026 la entrada en vigencia de una nueva ley, aprobada en 2024.

Estos avances confirman un progreso sostenido en el plano legal y merecen ser celebrados. Sin embargo, es clave no perder de vista lo esencial: la mera existencia de leyes no garantiza derechos si éstas no son proporcionales ni estén alineadas con estándares internacionales de protección de derechos humanos. La experiencia reciente muestra que algunas regulaciones pueden incluso profundizar riesgos, como ocurre en El Salvador, cuya legislación fue objeto de denuncias por sus impactos negativos sobre la libertad de expresión y de prensa. Algo similar se observa en Paraguay, donde la nueva ley -aún siendo resultado de un proceso con activa participación de la sociedad civil- también fue objeto de críticas por incorporar mecanismos que pueden convertirse en obstáculos sistemáticos a la transparencia, limitando el acceso a información de interés público, particularmente en lo que respecta a la contratación pública, los funcionarios públicos y el gasto de fondos públicos.

Asimismo, una pregunta central continúa abierta: ¿hasta qué punto estos marcos normativos, muchas veces importados de modelos regulatorios externos, logran traducirse en transformaciones efectivas que respondan a los contextos y realidades de los países de América Latina?

El mercado ilegal de datos como síntoma

Una investigación de Derechos Digitales que será publicada próximamente documenta el funcionamiento de grupos y canales de Telegram que operan en distintos países de América Latina dedicados a la compra y venta ilegal de datos personales. Direcciones, números de teléfono, filiación, información de salud y otros datos sensibles circulan en estos espacios.

La existencia de esta economía ilegal de manera organizada, activa y transnacional resulta profundamente preocupante, pero también reveladora. Más que un fenómeno aislado, pone en evidencia las brechas entre los marcos de protección de datos y su aplicación práctica. La persistencia de estos mercados demuestra que los datos personales se recolectan, circulan y se monetizan mucho antes de que las personas puedan ejercer sus derechos, presentar reclamos o incluso tomar conocimiento de la situación.

Es decir, más que una falla puntual, estos mercados ilegales revelan un problema estructural. La protección de datos aún no logra operar como un límite efectivo frente a dinámicas económicas y sociales que convierten la información personal en una mercancía. Comprender esta brecha entre norma y práctica resulta clave no solo para evaluar el alcance real de estos marcos, sino también para pensar cómo fortalecerlos y hacerlos avanzar en la práctica.

Una protección construida sobre bases desiguales

Como ya se mencionó, muchas de las leyes de protección de datos en América Latina están fuertemente inspiradas en el modelo europeo, concebido a partir de trayectorias históricas, institucionales y socioeconómicas distintas a las de nuestra región. Esta traslación normativa suele darse sin una adecuación suficiente a los contextos locales, marcados por profundas desigualdades sociales, inestabilidades políticas y democráticas, y bajos niveles de capacidad institucional. Si bien la protección de datos por definición ya parte de una asimetría estructural entre quienes tratan datos personales y las personas titulares de los mismos, esta brecha se intensifica en una región donde amplios sectores de la población no tienen acceso a la alfabetización digital y de datos.

Esta situación plantea interrogantes especialmente relevantes en torno al consentimiento, una base legal central en muchas legislaciones de protección de datos. Para que el consentimiento sea verdaderamente libre e informado, las personas deben poder comprender y evaluar de manera efectiva todas las implicancias del tratamiento de sus datos. Sin embargo, es importante destacar que se trata de un concepto estructuralmente frágil en contextos atravesados por relaciones de poder, incluso más allá de la protección de datos, como ocurre en casos de violencia de género y culturas de normalización del abuso.

A estos desafíos se suman debilidades institucionales persistentes. La existencia de leyes no garantiza, por sí sola, su aplicación efectiva. En algunos países de América Latina ni siquiera se constituyeron autoridades específicas para la supervisión y aplicación de normas de protección de datos -clave para garantizar la efectividad del derecho, fiscalizar a actores públicos y privados y ofrecer mecanismos de tutela a las personas titulares de los datos-, mientras que en otros se produjeron retrocesos significativos, como la reciente disolución del INAI en México. Incluso cuando estas autoridades existen, suelen enfrentar limitaciones sustantivas en términos de independencia, que afecta su capacidad de actuar frente a vulneraciones cometidas por el propio Estado, así como restricciones de recursos humanos y presupuestarias que comprometen su funcionamiento.

Por último, otra dimensión de esta fragilidad estructural se relaciona con la seguridad de la información. Organismos públicos, y otras entidades que concentran grandes volúmenes de datos personales, suelen enfrentar dificultades recurrentes para implementar políticas integrales de seguridad, prevenir accesos indebidos y responder adecuadamente a incidentes. Las filtraciones y exposiciones masivas de datos no son episodios aislados en América Latina, sino señales de una cultura institucional que aún no incorpora la protección de datos como un eje central de su funcionamiento.

Más allá de la conmemoración

En este contexto, el 28 de enero no puede reducirse a una fecha conmemorativa ni a una celebración acrítica de avances normativos. En América Latina, una región atravesada por profundas desigualdades pero también por una larga trayectoria de resistencia, organización social, disputa política y construcción de derechos, el Día Internacional de la Protección de Datos invita a una reflexión situada sobre la distancia persistente entre los marcos legales y las condiciones reales en las que los datos personales son recolectados, tratados y expuestos.

En este sentido, recordar el origen de esta fecha que nace anclada en una tradición europea de institucionalización de derechos, resulta relevante, no para reproducir modelos, sino para dialogar críticamente con ellos y construir respuestas propias desde nuestros contextos locales. La protección de datos adquiere pleno significado cuando logra traducirse en límites efectivos al poder estatal y privado, y en garantías concretas para las personas. Por ello, debe entenderse como parte de un proyecto más amplio de justicia digital y afirmación de derechos.