Nueva propuesta europea sobre protección de datos personales

europa_5

Por Matilde Martínez

Nueva propuesta del Parlamento Europeo y del Consejo relativa a la protección de datos personales. Protección de datos en el entorno digital. Realidad Argentina.

Sumario: I. Introducción. II. Directiva 95/46/CE del Parlamento de Europa y del Consejo. III. La nueva Propuesta de la Unión Europea. IV.  Protección de datos personales en el entorno digital. V. Ley 25.326 de Protección de los Datos Personales. VI.   Realidad Argentina. VII. A modo de conclusión.

I.       INTRODUCCIÓN

La recopilación de datos de carácter personal siempre fue un peligro para las libertades individuales,  pero ese peligro se profundizó promediando el siglo XX, con los avances tecnológicos y telecomunicaciones, especialmente con la era informática. La aparición del fenómeno informático y su vertiginosa  evolución generan una nueva forma de poder, -el poder informático- Este nuevo poder no es indiferente al derecho, que debe adoptar, por un lado, la postura de legitimarlo en virtud de los beneficios que proporciona y por otro lado, una postura contenedora debido a los peligros que implica para los derechos individuales. En esta actitud de contención se generan nuevos instrumentos jurídicos tendientes a la protección de las personas frente a los abusos de este nuevo poder. Opina PUCCINELLI que se produjo “acaso el nacimiento de una nueva rama del derecho, el derecho de la protección de datos”.[1]

En el año 1968 en la Conferencia Internacional de Derechos Humanos realizada en Teherán (ONU) se declaró la preocupación sobre los riesgos de violación de los derechos, que implicaba el avance científico y tecnológico.[2] Luego se instrumentaron otros documentos relativos a la protección de los derechos y libertades individuales, hasta que comienza el movimiento legislativo de protección de los datos de carácter personal, primero en Europa, Estados Unidos, Latinoamérica y el resto del mundo.

 II.    DIRECTIVA 95/46/C.E. DEL PARLAMENTO DE EUROPA Y DEL CONSEJO

En la Unión Europea se adopta la Directiva 95/46/CE del Parlamento de Europa y del Consejo, del 24 de octubre de 1995,  relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, con el objeto de que los Estados miembros garanticen, con arreglo a las disposiciones de la Directiva, “la protección de las libertades y los derechos fundamentales de las personas físicas, y en particular, el derecho a la intimidad, en lo que respecta al tratamiento de los datos personales”.[3]

Pero la informática sigue avanzando, internet apenas era conocida en 1995 y hoy, a través del ciberespacio, también tenemos los buscadores, las redes sociales, el “cloud computing” o computación en la nube, los nuevos servicios y aplicaciones inteligentes, que implican un enorme peligro para la protección de datos personales y la privacidad.

Por ello, ahora, la discusión y  el reto, es si la protección de la privacidad es un obstáculo para el desarrollo de las tecnologías, la productividad, la competitividad y consecuentemente cual debiera ser el alcance de la  legislación acerca de estos nuevos fenómenos informáticos.

III. LA NUEVA PROPUESTA DE LA UNION EUROPEA

La Unión Europea adoptó la Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002[4] relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas,  modificada por la Directiva 2009/22/CE [5]relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas,  por la que introducen algunos avances sobre protección en las temáticas señaladas, con el alcance de los objetivos de la Directiva 95/46/CE, y por las que se establecen normas para garantizar la seguridad de las comunicaciones; confidencialidad; régimen de comunicaciones no solicitadas; sanciones que aplicarán los Estados miembros. Tales Directivas se encuentran en pleno vigor y los Estados miembros deben adoptar  las disposiciones necesarias para dar cumplimiento a las  garantías y derechos establecidos en estas.

No obstante ello, la Comisión Europea, ha elaborado una Propuesta de Reglamento del Parlamento Europeo y del Consejo, del 25 de enero de 2012,[6]  relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Mantiene básicamente la estructura de protección de datos personales que la Directiva 46/95/CE, a la que reemplazará una vez que sea aprobada. No obstante ello, incorpora importantes fortalezas a la protección de los datos personales y la privacidad, siendo digno de destacar aquellas inherentes al entorno digital y las nuevas tecnologías.

Las modificaciones en materia de tratamiento de datos expresadas por la Propuesta de Reglamento del Parlamento Europeo y del Consejo indicada, en cuanto pretende generar confianza en el entorno en línea como elemento esencial para el desarrollo económico serán muy favorables para ser más efectivos tanto la protección de datos, como el ejercicio de los derechos relativos a ellos. En cuanto a las redes sociales  será  muy favorable, la obligación que  establecerá a los responsables de tratamiento mediante la privacidad en el diseño y por defecto, pues contrariamente al diseño actual donde los usuarios deben configurar la privacidad, en el caso deberán configurar lo que desean hacer público. En ello coincide con la recomendación del Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE,  en el Dictamen 5/2009 sobre redes sociales en línea en cuanto propone que los Servicios de Redes Sociales funcionen respetando los derechos y libertades de los usuarios, estableciendo plataformas de privacidad en el diseño; advirtiendo adecuadamente a los usuarios sobre los riesgos de los ataques a su intimidad; recordando a los usuarios que poner en línea información y fotografías sobre otras personas puede perjudicar su derecho a la intimidad y a la protección de datos; garantizando los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO).

No menos importante será el establecimiento del “derecho al olvido” tratado tanto en la Propuesta de Reglamento señalada,  como en el Dictamen del GdT del art. 29 mencionado. La reforma establece las condiciones en que se deberá llevar a cabo la supresión de los datos personales de los interesados.  Es decir que cuando los usuarios deseen que sus datos se eliminen y no exista una causa legítima para conservarlos se deberán suprimir.

El refuerzo legislativo sobre protección de datos personales creará confianza en los usuarios para acceder a servicios en línea lo que en definitiva beneficiará el desarrollo y la economía digital.

Asimismo, la Propuesta de Reglamento Europeo introduce modificaciones en materia de consentimiento del interesado, es decir que en la directiva 95/46/CE establece que el consentimiento dado por el interesado debe ser de “forma inequívoca”, mientras que la nueva Propuesta en el art. 4.8, es aún más precisa estableciendo: «consentimiento del interesado»: como toda manifestación de voluntad, libre, específica, informada y explícita, mediante la que el interesado acepta, ya sea mediante una declaración ya sea mediante una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

Otra cuestión es el derecho de información sobre los datos que se recaban, no aquellos que proporcionamos vía Facebook, Twitter, Linkedin, a través de formularios, otros., sino los metadatos que se obtienen de aquellos, o a través del rastreo de la navegación, de servicios que nos ofrecen gratuitamente pero que en realidad estamos pagando con nuestros datos y luego, los elaboran mediante  cálculos o deducciones, con la finalidad de utilizarlos para armar modelos de negocios para acercarse cada vez más a potenciales clientes ofreciendo productos o servicios que se aproximen lo más posible a sus preferencias.

Esto se puede lograr  a  través de Big data, lo que implica la capacidad de procesar una gran cantidad de información; una necesidad de procesar a gran velocidad la información y una gran cantidad de fuentes de información.

Para ello sería altamente positivo la utilización de protección de los datos desde el diseño y por defecto, tal como lo establece la Propuesta de Reglamento Europeo en su art. 23.2, en relación al responsable del tratamiento, quién deberá implementar mecanismos para garantizar que por defecto solo sean objeto de tratamiento los datos personales necesarios para cada fin específico y, especialmente, que no se recojan ni conserven más allá del mínimo necesario para esos fines, tanto por lo que respecta a la cantidad de los datos como a la duración de su conservación.

Otra ventaja normativa que introduce la Propuesta Europea es el derecho del interesado a la portabilidad de sus datos de manera tal de poderlos transferir de un sistema de tratamiento electrónico a otro. En tal caso el interesado podrá elegir aquella empresa que otorgue más garantías a su privacidad y protección de sus datos personales.

Adicionalmente, será de gran importancia la transparencia de la información y la comunicación conforme lo establece la Propuesta de Reglamento Europeo, atento a que el responsable del tratamiento de los datos personales deberá aplicar políticas transparentes y de fácil acceso a los datos en forma inteligible, con lenguaje sencillo, claro y al ejercicio de los derechos de los interesados.

IV. PROTECCIÓN DE DATOS PERSONALES EN EL ENTORNO DIGITAL

Empero, la Propuesta de Reglamento Europeo que venimos analizando, aún se encuentra en discusión entre los distintos Estados de la Unión Europea, motivo por el cual  por el momento no se encuentra en vigor.

No obstante ello, es sustancial entender el entorno digital para poder protegernos de los riesgos, las obligaciones y las responsabilidades que nos presentan los nuevos fenómenos informáticos.

Así, Esther MITJANS PERELLO[7] considera que las leyes de protección de datos han tratado de proteger a los ciudadanos, pero no han estado diseñadas para “protegernos de nosotros mismos”, lo que hoy es el reto de las redes sociales por ejemplo, pues los usuarios gestionan sus propios riesgos a través de sus conductas o comportamientos, y a su vez  generan riesgos a terceros, los aceptan, los transfieren,  pero también los pueden limitar o minimizar,  ejercen  un papel activo porque es la característica de la web 2.0, deben evaluar sus riesgos y asumir responsabilidades. Por otro lado los operadores, proveedores también deben evaluar sus propios riesgos, es decir, si se arriesgan a la posibilidad de someterse a acciones legales o si prefieren obtener la confianza de los usuarios. Considera que las regulaciones pueden provenir de la normativa jurídica del estado, de la gestión de los operadores, de las aplicaciones tecnológicas del mercado, y las derivadas del comportamiento de los usuarios. Es decir,  que hay una concurrencia de normativas que pueden concordar o no, entonces serán las regulaciones estatales las que deberán establecer el equilibrio acerca de los riesgos para la privacidad.

Parte de la base de la necesidad de existencia de transparencia, no obstante reconoce que hay actores en el entorno digital como en las redes sociales donde no se da transparencia alguna con la finalidad de eludir responsabilidades.

También aclara la importancia del conocimiento del entorno digital, conocer los riesgos que se corren dentro de este entorno, las obligaciones y responsabilidades a las que se someten con sus conductas.

Además, opina que la privacidad no tiene que ser un obstáculo para el desarrollo de las tecnologías, pues la leyes pueden quitarse, cambiarse, reinterpretarse y las tecnologías pueden ofrecer muy buenos servicios a los ciudadanos sin desproteger los derechos y las libertades individuales.

 V.    LEY 25.326 DE PROTECCIÓN DE LOS DATOS PERSONALES

La Protección de los datos personales en Argentina tuvo su consagración con la reforma de la Constitución Nacional del año 1994 con la incorporación del instituto del hábeas data a través del art. 43, 3° párr., por el que se establece que: “Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos”.

Pasaron varios años para que se sancionara la ley regulatoria de la garantía constitucional, existieron varios proyectos hasta que finalmente se sancionó la Ley 25.326[8] y con posterioridad se dictó el Decreto 1558/2001[9], reglamentario de dicha ley.

La fuente tomada por el legislador para la redacción del texto legal, fue la Ley Orgánica 5/1992 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal de España, conocida comúnmente como LORTAD.[10]

La ley 25.326 de Protección de los Datos Personales se encuentra integrada por siete capítulos que tratan los siguientes temas: disposiciones generales que abarca el objeto, siendo éste muy amplio en cuanto que  será la protección integral de los datos personales asentados en archivos, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el art. 43, párr. 3°, de la Constitución Nacional.  También se ocupa de las definiciones utilizadas por la norma. Los principios generales relativos a la protección de datos, la calidad de los datos, siendo éstos de fundamental importancia ya que siempre deberán estar presentes en el tratamiento de datos personales. Así, el art. 4 de la ley establece que 1. Los datos personales que se recojan a los efectos de su tratamiento deberán ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieran obtenido. 2. La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la presente ley. 3. Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. 4. Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario. 5. Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, por el responsable del archivo o base de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate, sin perjuicio de los derechos del titular establecidos en el art. 16 de la ley. Asimismo las prescripciones relativas al consentimiento, la información del interesado, la licitud, cesión, transferencia internacional, y otros. Los derechos de los titulares de datos, normas sobre usuarios y responsables de archivos, registros y bancos de datos, sobre el control y las sanciones y la acción de protección de los datos personales para los afectados.

VI. REALIDAD EN ARGENTINA

La ley Argentina de protección da datos personales no contiene ninguna norma relativa a la administración informática en el ciberespacio.

Nuestra situación al respecto es de un gran avasallamiento del uso indiscriminado de nuestros datos personales en el espacio virtual,  nuestros datos navegan  ilegalmente y sin nuestro consentimiento. Asimismo está a la orden del día la publicidad no solicitada tanto por correo electrónico no deseado, como por llamadas telefónicas de marketing y ventas no consentidas.

De la misma manera podemos observar que al citar nuestro número de documento de identidad en cualquier buscador aparecerán todos nuestros datos personales de forma ilegal y con una bajísima calidad de los datos, pues algunos son erróneos, otros desactualizados, incompletos, etc. No menor peligrosidad significan para la privacidad  los negocios basados en inteligencia artificial, el rastreo de información a través de cookies, Big Data, y otros similares.

Esto está íntimamente ligado a un cambio de modelo económico que se centra cada vez más en la productividad y la competitividad, pero ello no implica que se deje de lado la protección de la privacidad. Sabemos que las leyes siempre llegan detrás de las tecnologías o de los hechos.

No obstante, para limitar estos abusos no es necesario que existan leyes específicas para regular el entorno digital, tal como lo  expresa Ricard MARTÍNEZ [11], mientras no se dicte la legislación específica que regule estos nuevos fenómenos informáticos se deben utilizar todas las regulaciones de protección de datos de carácter personal y todos los principios generales del derecho aplicables a la materia para tutelar los derechos y libertades individuales.  Es decir que un modelo de economía centrado en la productividad y la competitividad no deben significar la pérdida de estos derechos fundamentales.

A propósito  de ello, cabe recordar que nuestra Ley 25.326 de Protección de los Datos Personales y el decreto 1558/2001 crean el Órgano de Control que se denomina Dirección Nacional de Protección de Datos Personales. Esta Dirección tiene las funciones que le fijan las normas. En primer lugar deberá velar por el cumplimiento de las disposiciones de la ley, y aplicar las sanciones civiles y penales. Entre otras funciones tendrá las de asesorar a los usuarios acerca de sus derechos de defensa, recibir denuncias de los afectados y aplicar las sanciones por violaciones a la Ley de Protección de Datos Personales.

 VII.          A MODO DE CONCLUSIÓN

Considero que el conocimiento del entorno digital y la concientización de los actores como usuarios, proveedores, etc.  acerca de los riesgos y responsabilidades que asumen son fundamentales, pero no fácilmente alcanzables.  Existe un gran desconocimiento por parte de los usuarios en el uso del entorno digital y sobre todo de los riesgos que implica la información, fotografías, etc. que cuelgan en las redes sociales, tanto propia como de terceros, no existe precisamente la noción de peligro. Por ello, se hace necesaria una gran difusión sobre la protección de datos personales, ello como se ha dicho en muchas ocasiones y en algunos países se ha puesto en práctica, incluir el tema como asignatura en la educación de todos los niveles de enseñanza. También los poderes públicos y Asociaciones civiles deberían  realizar campañas de difusión sobre el entorno digital, los riesgos, obligaciones y responsabilidades en diferentes ámbitos, dirigidas a menores, padres, profesores y la ciudadanía en general.

También se debe difundir la existencia de la autoridad de control de protección de datos de carácter personal, donde los ciudadanos  pueden efectuar las denuncias de incumplimientos por parte de los responsables de tratamiento de datos personales.

Publicado por la autora en Microjuris: Cita: MJ-DOC-6339-AR


1 Puccinelli, Oscar R. Tipos y subtipos de hábeas data en América latina. http://www.editorialastrea.com.ar

2 Altmark, Daniel – Molina Quiroga, Eduardo, Hábeas Data. LL. 1996- A- 1554. P. 1557.

3 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:es:HTML. 16/06/2013.

4 Diario  Oficial de la Comunidades Europeas. 31.7.2002. L.201/37

5 Diario  Oficial de la Comunidades Europeas. 18/12/2009. L.337/11

6 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF

7 Profesora Titular de Derecho Constitucional  de la Universidad de Barcelona. Ex Directora de la Agencia Catalana de Protección de Datos. http://www.sicarm.es/servlet/vsicarm.servlets.Videos?METHOD=FLASH&video=umu08

8 Ley 25.326, sancionada el 4/10/2000 (B.O. 2/11/2000.  http://infoleg.mecon.gov.ar

9 Decreto 1558/2001 del 29/11/2001.  http://infoleg.mecon.gov.ar

10 Martínez, Matilde Susana. Hábeas Data Financiero. Ediciones de la República. Diciembre 2009. P. 133

11  Martínez Martínez, Ricard Josep. Nuevas Tendencias y Desafíos de la innovación tecnológica para la privacidad: ¿Obres viejos para vinos nuevos?  http://www.sicarm.es/servlet/vsicarm.servlets.Videos?METHOD=FLASH&video=umu06