Colombia aprueba las clausulas contractuales tipo de la RIPD

 El 18 de septiembre de 2025, la Superintendencia de Industria y Comercio (SIC) de Colombia aprobó mediante Circular Externa No. 001 de 2025 las instrucciones sobre el tratamiento de datos personales en servicios fintech.

La circular establece 13 instrucciones principales para actores del ecosistema fintech que procesan datos personales:

1. Finalidades legítimas: Solo tratar datos para fines constitucionalmente válidos y por tiempo razonable
2. Minimización: Limitar el tratamiento a datos necesarios e idóneos
3. Autorización informada: Obtener consentimiento libre, expreso e informado antes del tratamiento
4. Diferenciación de finalidades: Separar finalidades necesarias de accesorias en la autorización
5. Datos biométricos: Protección especial con autorización explícita y medidas de seguridad adicionales
6. Derechos de titulares: Establecer mecanismos ágiles para ejercer derechos de acceso, rectificación y supresión
7. Transparencia: Informar claramente sobre el uso de datos personales
8. Decisiones automatizadas: Explicar decisiones automatizadas desfavorables al titular
9. Medidas de seguridad: Implementar protecciones técnicas, administrativas y físicas apropiadas
10. Cobranza: No contactar referencias sin autorización del titular
11. Definición de roles: Documentar roles como responsable/encargado del tratamiento
12. Transferencias internacionales: Validar nivel adecuado de protección en países destino
13. Cláusulas contractuales modelo: Usar las cláusulas de la Red Iberoamericana de Protección de Datos (RIPD)

La circular concluye recomendando suscribir las cláusulas contractuales modelo de la RIPD como medida efectiva para transferencias internacionales. Estas cláusulas modelo ya fueron previamente aprobadas por Argentina, Perú y Uruguay, consolidando un marco regional armonizado para la protección de datos en transferencias internacionales.

Nuevo caso de derecho al olvido en Canada

Fuente del caso

https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2025/pipeda-2025-002/

El Derecho al Olvido Digital: Cuando Google Debe Eliminar Resultados de Búsqueda

El Comisionado de Privacidad de Canadá acaba de emitir una resolución histórica que podría cambiar fundamentalmente cómo funcionan los motores de búsqueda en el país. En el caso PIPEDA 2025-002, la autoridad canadiense determinó que Google debe eliminar ciertos artículos periodísticos de los resultados de búsqueda cuando se busca el nombre de una persona específica, estableciendo un precedente importante para el llamado "derecho al olvido digital" en Canadá.

La controversia comenzó en 2017 cuando una persona presentó una queja contra Google, alegando que el motor de búsqueda violaba la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) al mostrar artículos periodísticos sobre su arresto por no revelar su estado de VIH a una pareja sexual. Aunque los cargos fueron retirados poco después de ser presentados porque las autoridades de salud pública confirmaron que la persona no representaba un riesgo actual, los artículos seguían apareciendo prominentemente cuando se buscaba su nombre, causándole daños graves incluyendo agresiones físicas, discriminación laboral y estigma social severo.

La investigación del Comisionado reveló información extremadamente sensible en los resultados de búsqueda: la orientación sexual del demandante, sus actividades sexuales, su estado de VIH y el hecho de haber sido acusado de un delito. Esta información, según determinó la autoridad, ha causado daños significativos que van desde violencia física hasta pérdida de oportunidades de empleo. El caso es particularmente relevante considerando que tanto el gobierno federal como varios provinciales han emitido directivas desde 2017 indicando que no se deben presentar cargos por no revelar el VIH cuando no existe una posibilidad realista de transmisión.

Google desafió desde el inicio la jurisdicción del Comisionado para investigar el caso, argumentando que su motor de búsqueda no constituía una actividad comercial bajo PIPEDA y que estaba exento por realizar actividades periodísticas. Sin embargo, tanto la Corte Federal como la Corte Federal de Apelaciones confirmaron que PIPEDA sí se aplica al servicio de búsqueda de Google. La Corte Federal determinó que existe un "intercambio real" entre Google y los usuarios, quienes proporcionan información personal (ubicación, preferencias, intereses) que luego se utiliza con fines de lucro a cambio de resultados de búsqueda.

El análisis del Comisionado se centró en dos aspectos principales: si Google cumplía con los requisitos de precisión de la información y si la divulgación continua de estos artículos constituía un propósito apropiado bajo la ley. Respecto a la precisión, la autoridad determinó que las responsabilidades de Google se limitan a asegurar que los resultados de búsqueda reflejen con precisión el contenido de los artículos vinculados, no el contenido subyacente de esos artículos. En este aspecto, Google no violó la ley.

Sin embargo, en cuanto al propósito apropiado, el Comisionado aplicó un marco de evaluación que balancea el daño significativo al demandante contra el interés público en mantener accesibles los artículos a través de búsquedas por nombre. La autoridad consideró varios factores: que el demandante no es una figura pública, que la información se refiere a su vida privada y no profesional, que los cargos fueron retirados tempranamente por el fiscal, que muchos artículos no reflejan que los cargos fueron retirados, y que ha pasado mucho tiempo desde la publicación.

El caso también involucra consideraciones constitucionales importantes. Google argumentó que requerir la eliminación de artículos periodísticos legalmente publicados violaría la libertad de expresión protegida por la Carta Canadiense de Derechos y Libertades. El Comisionado reconoció estas preocupaciones pero determinó que los daños significativos a la seguridad y dignidad del demandante superan el interés público limitado en mantener estos artículos accesibles específicamente a través de búsquedas por su nombre.

La resolución estableció que eliminar los artículos de los resultados de búsqueda por nombre (pero mantenerlos accesibles por otros términos de búsqueda) representa un equilibrio apropiado entre los derechos de privacidad protegidos por PIPEDA y los valores igualmente importantes protegidos por la libertad de expresión. Los artículos permanecerían disponibles en internet y podrían encontrarse usando otros términos de búsqueda; solo se eliminaría la conexión entre el nombre del demandante y estos artículos específicos.

Google rechazó implementar la recomendación del Comisionado, argumentando que las cortes deben determinar si PIPEDA incluye un derecho a la eliminación de resultados de búsqueda, bajo qué circunstancias podría invocarse tal derecho, y si esto infringiría la Carta de Derechos. Esta posición deja el caso sin resolver, aunque el Comisionado determinó que la queja era fundamentada.

Esta decisión marca un momento crucial en el desarrollo del derecho a la privacidad digital en Canadá. A diferencia de Europa, donde el "derecho al olvido" está bien establecido desde 2014 y ha resultado en la eliminación de más de tres millones de páginas web de los resultados de búsqueda de Google, Canadá había carecido de precedentes claros en esta área. El caso sugiere que las autoridades canadienses están dispuestas a requerir que los motores de búsqueda eliminen contenido cuando el daño individual supera significativamente el interés público, especialmente cuando involucra información altamente sensible sobre salud, sexualidad y identidad.

Las implicaciones van más allá de este caso específico. El Comisionado alentó a Google a revisar su política de eliminación para asegurar el cumplimiento con PIPEDA y a considerar solicitudes futuras de eliminación siguiendo la guía proporcionada en este reporte. Esto podría abrir la puerta a más solicitudes de eliminación de resultados de búsqueda en Canadá, estableciendo un equilibrio entre la libertad de información y el derecho fundamental a la privacidad y dignidad personal en la era digital.

Nuevo libro sobre transferencia internacional de datos publicado en Mexico

Este libro tiene como objetivo proporcionar un análisis inicial del complejo, aunque convergente, panorama de las transferencias de datos personales en América Latina, arrojando luz sobre los desafíos cambiantes, las respuestas regulatorias y las posibles soluciones compartidas que pueden dar forma a este aspecto crucial de la gobernanza de datos a nivel regional.

Pese a las similitudes normativo-regulatoria existentes, no ha sido fácil para los países latinoamericanos construir un marco regional que les permita promover flujos de datos personales libres y seguros y formar un enfoque y una visión comunes de la gobernanza de datos.

La mayor parte de América Latina ya ha adoptado marcos nacionales de protección de datos que son muy similares en la mayoría de sus elementos, debido al uso del modelo europeo como fuente común de inspiración. También cabe destacar que la Red Iberoamericana de Protección de Datos ha servido hasta ahora como centro unificador de muchas ideas en la región.

Adicionalmente, la Corte Interamericana de Derechos Humanos (Corte idh) expresamente reconoció en octubre de 2023 la autodeterminación informativa como un derecho humano autónomo de obligatorio respeto y cumplimiento en el sistema interamericano de derechos humanos.

Biografías de los autores
Abreviaturas

Introducción a la obra
1. Transferencias de datos en América Latina. Entre la fragmentación y la interoperabilidad legal
2. Evoluciones y desafíos
3. Retos, oportunidades y el “tropicalismo” de datos personales
4. ¿Cómo entender este libro?

Capítulo I. Reglas vigentes y la necesidad de desarrollar un modelo latinoamericano de adecuación para la transferencia internacional de datos personales
1. Introducción
2. Justificación
3. Alcance del capítulo
4. Metodología
5. Argentina
6. Brasil
7. Colombia
8. México
9. Uruguay
10. Consideraciones finales del capítulo
Anexo al Capítulo I

Capítulo II. Las cláusulas contractuales modelo para transferencia internacional de la Red Iberoamericana de Protección de Datos como una forma de armonización latinoamericana
1. Introducción
2. Red Iberoamericana de Protección de Datos
3. Cláusulas contractuales modelo
4. Cláusulas contractuales modelo para transferencia internacional de datos personales de la red iberoamericana de protección de datos
Anexos al Capítulo II
Anexo I - Guía de implementación de las cláusulas contractuales modelo de la RIPD
Anexo II - Cláusulas contractuales modelo de la RIPD
Anexo III - Norma peruana
Anexo IV - Norma uruguaya
Anexo V - Norma argentina 198

Capítulo III. Hacia una Convención Interamericana sobre Tratamiento de Datos Personales. Autodeterminación Informativa y Circulación de esa Información
1. Introducción
2. Sistema Interamericano de Derechos Humanos
3. Propuesta de una Convención Interamericana sobre Autodeterminación Informativa, Tratamiento y Circulación de Datos Personales
4. Conclusiones
Anexo al Capítulo III
Propuesta de Convención Interamericana sobre Autodeterminación Informativa, Tratamiento y Circulación de Datos Personales

Homeje a Danilo Doneda

 O IDP sediou, de 12 a 14 de maio, a Cátedra Internacional Danilo Doneda – Summer School em Direito Digital e Governança da Internet. Foram três dias de debates intensos, com especialistas do Brasil e do mundo discutindo os grandes temas da era digital — de economia de dados e IA à proteção de dados e democracia. Assista ao vídeo e reviva os momentos que reforçam o IDP como referência na produção de conhecimento e na construção coletiva de soluções jurídicas para os desafios do nosso tempo.

Siempre recordando al gran amigo Danilo Doneda!

https://www.youtube.com/watch?v=2ohBQzbz-qI

Nueva ley de datos personales en Mexico

DOF: 20/03/2025

DECRETO por el que se expiden la Ley General de Transparencia y Acceso a la Información Pública; la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados; la Ley Federal de Protección de Datos Personales en Posesión de los Particulares; y se reforma el artículo 37, fracción XV, de la Ley Orgánica de la Administración Pública Federal.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Presidencia de la República.

CLAUDIA SHEINBAUM PARDO, Presidenta de los Estados Unidos Mexicanos, a sus habitantes sabed:

Que el Honorable Congreso de la Unión, se ha servido dirigirme el siguiente

DECRETO

"EL CONGRESO GENERAL DE LOS ESTADOS UNIDOS MEXICANOS, DECRETA:

[...]

Caso Palazzi v. Renaper s/habeas data

Resumen de Diariojudicial

Resumen de Luis Garcia Balcarce en Linkedin

Cita del caos publicado en El dial.com

Documentos del caso

Demanda

Fallo primera insntacia

Apelacion

Fallo segunda instancia

Publicaron mi nota en diario La Nación sobre IA y deepfakes

Deepfakes y el Derecho

El avance tecnológico ha traído consigo incontables soluciones que han transformado la vida cotidiana, pero también ha generado nuevos problemas que desafían al mundo del derecho, poniendo a prueba las legislaciones actuales. La irrupción de la inteligencia artificial (“IA”) es uno de los aspectos más novedosos que, a pesar de sus potenciales beneficios, ha propiciado el surgimiento de amenazas inéditas, como el acoso digital y el uso indebido de Deepfakes. 

Deepfake es una tecnología de IA que permite crear o modificar contenido audiovisual de manera tan realista que resulta casi imposible de distinguir de la realidad. A través de esto, se pueden intercambiar rostros, modificar voces e incluso generar situaciones que nunca ocurrieron, facilitando fraudes, abusos y vulneración de derechos. Este poder de manipulación de la realidad se extiende también al ámbito del bullying digital, ampliando su impacto debido a la rápida y masiva difusión de contenidos en plataformas como X (antes Twitter) o Telegram.

Un ejemplo claro de esto es el caso de Taylor Swift, quien se vio involucrada en un escándalo cuando imágenes pornográficas Deepfakes de ella fueron distribuidas masivamente en dichas plataformas, afectando su imagen y generando un debate sobre la protección de la privacidad en el entorno digital.

El uso de Deepfakes ha generado preocupación en términos de violencia de género, ya que los agresores recurren a la IA para crear contenido sexualizado de mujeres, alterando imágenes o videos en los cuales se simulan escenas sexuales. Esta práctica puede ir acompañada de extorsión o amenazas para difundir dichos contenidos. Este tipo de violencia digital vulnera la privacidad de las víctimas, contribuyendo a la reproducción de estereotipos machistas y la perpetuación de la desigualdad de género.

En respuesta a la creciente preocupación sobre este tema, Argentina promulgó la Ley 27.736, conocida como “Ley Olimpia”, que amplía el concepto de violencia de género a los entornos digitales, incorporando la difusión no consensuada de imágenes íntimas. Sin embargo, esta ley no aborda específicamente el uso de IA, lo que genera un vacío legal sobre cómo abordar los Deepfakes.

De todas maneras, en algunos casos, cuando las víctimas son menores de edad, se sanciona bajo el artículo 128 del Código Penal, que penaliza la tenencia, distribución y comercialización de material sexual infantil.

A pesar de los esfuerzos por abordar esta problemática, a nivel nacional aún no existe una legislación específica que sancione la creación de imágenes generadas por IA. No obstante, se están impulsando proyectos de ley que buscan modificar el Código Penal y crear un régimen jurídico aplicable para regular el uso responsable de la IA, con especial atención a los Deepfakes.

 A nivel regional, la “Ley Olimpia” de México ha sido un referente. Esta ley surgió como respuesta a la activista Olimpia Coral Melo, quien fue víctima de la difusión de un video íntimo sin su consentimiento. Esta ley ha servido como modelo para otras legislaciones en América Latina, reflejando la creciente preocupación por este fenómeno.

A nivel global, varios países también han comenzado a legislar sobre los Deepfakes. En el Reino Unido, la Online Safety Act 2023, establece como delito la difusión de imágenes manipuladas por IA sin consentimiento. En Francia, el Código Penal contempla sanciones o multas para quienes difundan contenido sexual generado artificialmente. Por su parte, en Estados Unidos, varios estados han legislado sobre el tema. En California, se establece como delito la creación y distribución de imágenes fotorrealistas de partes íntimas de una persona o de personas participando en actos sexuales, generada por computadora. 

En este contexto, el derecho debe evolucionar para adaptarse a las nuevas realidades impuestas por la tecnología, ya que sus avances no deben ser una excusa para la vulneración de derechos fundamentales. La legislación debe ser lo suficientemente robusta como para abordar los riesgos asociados con los Deepfakes y proteger la integridad, la privacidad y los derechos de las personas en el entorno digital.

Firmada Por:

Pablo Palazzi

Socio del departamento de tecnología e inteligencia artificial de Allende & Brea.

PERU - se ordenó a entidad financiera cese del tratamiento de datos biometricos para fines de validación de identidad en el uso del Libro de reclamaciones virtual.

 Se impuso al Banco de Crédito del Perú una multa acumulada de casi S/ 300,000. Además, se ordenó que cese su tratamiento para fines de validación de identidad en el uso del Libro de reclamaciones virtual.

El Ministerio de Justicia y Derechos Humanos (MINJUSDH), a través de la Autoridad Nacional de Protección de Datos Personales (ANPD), sancionó al Banco de Crédito del Perú (BCP) con una multa de S/ 124,200 (27 UIT) por la recopilación excesiva y desproporcionada de datos biométricos faciales de sus usuarios. Estos datos personales eran obtenidos cuando los usuarios, sean o no clientes de la entidad financiera, utilizaban el Libro de reclamaciones virtual, con la finalidad de presentar sus quejas o reclamos.

Además, impuso otra multa de S/ 165,600 (36 UIT) por almacenar en una base de datos propia los datos biométricos faciales sin obtener el consentimiento válido de los usuarios. Ambas sanciones fueron confirmadas en segunda instancia. La multa se calculó en función del año en que se cometió la infracción o fue detectada por la ANPD (S/ 4600 en 2022).

Cabe recordar a la ciudadanía que los datos biométricos son una categoría especial de datos sensibles, ya que son únicos e inalterables, obtenidos a partir de un tratamiento técnico específico, relacionados a las características físicas, fisiológicas o conductuales de una persona física, que permiten identificarlas o autenticar su identidad. Debido a los altos riesgos que su tratamiento implica para los derechos de las personas (como el acceso restringido a servicios, afectación a la privacidad o el uso legítimo de los mismos), reciben una protección especial bajo la Ley y el Reglamento de Protección de Datos Personales.

Asimismo, la ANPD ordenó al BCP implementar medidas correctivas que incluyen la eliminación de los patrones biométricos faciales obtenidos a través del uso del Libro de reclamaciones virtual; asimismo, se dispuso el cese inmediato del almacenamiento y uso de dichos patrones biométricos faciales para futuras validaciones de la identidad de los usuarios.

La ANPD reconoce la importancia de implementar mecanismos de seguridad para validar o autenticar la identidad de los usuarios en las operaciones financieras; sin embargo, esta obligación no exonera a las entidades financieras de evaluar mecanismos alternativos, menos intrusivos e igualmente efectivos para verificar la identidad de los usuarios, limitando el tratamiento de datos personales biométricos a las situaciones en las que sea estrictamente necesarios, pertinentes y adecuados para la finalidad del tratamiento.

Pese a la obligación de minimización en el tratamiento de datos personales, la ANPD, en las distintas actuaciones de fiscalización, ha podido verificar que diversas entidades requieren datos personales, incluso datos sensibles, sin que exista una necesidad real y justificada para su tratamiento.

La ANPD recuerda que el tratamiento de datos personales que efectúen las entidades debe limitarse estrictamente a la realización de sus operaciones, y tiene que estar vinculado a un fin concreto, explícito y lícito. Esto implica que solo deben ser objeto de tratamiento los datos personales necesarios, adecuados y relevantes en relación a las finalidades para las que se hayan obtenido.

El Ministerio de Justicia y Derechos Humanos (MINJUSDH), a través de la ANPD, continúa comprometido en su rol como institución garante de la protección de los datos personales en el Perú. Los ciudadanos que consideren que sus datos personales han sido vulnerados pueden presentar una denuncia a través de la Mesa de Partes presencial o virtual (https://sgd.minjus.gob.pe/sgd-virtual/public/ciudadano/ciudadanoMain.xhtml) o contactarnos mediante el teléfono 204-8020 anexo 2410.

Resolución Directoral N.° PAS: Banco de Crédito del Perú (EXP. 122-2023): https://acortar.link/yPh3mI