Modelos de autoridades de control en transparencia y protección de datos personales

institucioneslatinasPor Marí­a José Viega Rodriguez

1. Introducción

Para analizar el tema propuesto voy a partir de la necesidad de concientización de que tanto las leyes de acceso a la información pública como las de protección de datos necesitan en su gestación no sólo el logro de una excelente norma, sino el análisis de cómo se llevará a cabo su implantación.

Este es el presupuesto desde el cual se analizó el tema en Uruguay durante el 2008, año en que se aprobaron las leyes de Protección de Datos y Acción de Habeas Data el 11 de agosto Nº 18.331 y de Acceso a la Información Pública el 17 de octubre Nº 18381.

La temática de los órganos de control ha sido analizada en diferentes países frente a una u otra norma, siendo Uruguay un caso especial, ya que ambas leyes se concibieron conjuntamente, a pesar de que las iniciativas provinieran de diferentes ámbitos, gubernamental el primero y de la sociedad civil el segundo.

El momento en que se realiza el planteamiento acerca del derecho y su gestión tiene como consecuencia que encontremos planteos acerca de los órganos de control sobre acceso por un lado y de protección de datos por otro.

Analizaremos esta situación en primer lugar, para luego reflexionar sobre la conveniencia de una doble autoridad de control y finalizar con el modelo institucional uruguayo.

2. Órganos de control de Protección de Datos

De acuerdo con el Dr. Rebollo existen 3 modelos de órganos de protección o de control:

  • órgano unipersonal (alemán),
  • órgano colegiado (Francia, Portugal, Italia, España y la Unión Europea) o,
  • atribuir la defensa de este derecho a los tribunales ordinarios (Estados Unidos).

Órganos Unipersonales. En esta categoría se ubica al Comisario Federal de Protección de Datos de Alemania, el cual goza de independencia plena en su labor y está sometido únicamente a la ley.

También en Argentina, la Ley N° 25.326 del año 2000, dispone la existencia de un órgano de control dotado de autonomía funcional que funcionará en el ámbito del Ministerio de Justicia y Derechos Humanos de la Nación, el que estará dirigido por un Director Nacional designado por el plazo de cuatro años, por el Poder Ejecutivo, con el acuerdo del Senado de la Nación, entre personas con antecedentes en la materia, quien se dedicará en forma exclusiva a su función, siendo el jerarca máximo.

Órganos Colegiados. Fundamentalmente cumplen funciones informativas y de publicidad en lo referente a la normativa de datos personales, así como sancionatorias, inspectivas y registrales. Al igual que los anteriores órganos, gozan de plena autonomía e independencia.

Algunos de los países que poseen este sistema son a modo de ejemplo: España, Francia, Portugal, Italia, Uruguay, así como la labor de la Unión Europea se ubica en esta categoría, encomendándose a una Comisión.

Tribunales ordinarios. Es el caso de Estados Unidos de América do tutela de los derechos fundamentales contenidos en la Constitución o en sus distintas Enmiendas quedan sometidas a los tribunales ordinarios y es el Tribunal Supremo quien en última instancia, dictamina la posible vulneración o no de derechos, así como la interpretación jurídica que debe realizarse de los mismos. El inconveniente de este modelo es que la actuación de los tribunales se realiza a posteriori, una vez que se produjo la lesión del derecho, quedando en manos del gobierno, o por delegación de éste, en la Administración, la labor de promoción y control, del citado derecho3”.

Por otra parte y teniendo en cuenta el grado de autonomía, nos encontramos con:

a)   Agencias con carácter autónomo de los poderes del Estado (España);

b)   Direcciones dependientes del Poder Ejecutivo (Argentina) y

c)     Unidades Reguladoras: órganos desconcentrados con autonomía técnica (Uruguay).

3. Órganos de control de Acceso a la Información Pública

La supervisión y seguimiento constituyen partes centrales de cualquier LAI, pues ellas determinan si ésta tendrá un impacto real en la gestión y operación de los gobiernos. Una LAI sin supervisión y seguimiento está condenada a convertirse en letra muerta dado que las inercias de la burocracia típicamente caminan en contra de la implementación de la apertura. El procedimiento ideal para evitar lo anterior sería el establecimiento de un organismo autónomo que esté encargado de recibir las apelaciones y que también se dé a la tarea de vigilar el cabal cumplimiento del derecho a la libertad de información de los ciudadanos. Sin un organismo autónomo las apelaciones deben pasar directamente a las cortes, lo cual resulta en un proceso altamente costoso en términos de tiempo, dinero y esfuerzo para la ciudadanía4.

Ejemplo de existencia de Comisiones independientes encontramos en los siguientes países: Bélgica, Canadá, Estonia, Francia, Hungría, Irlanda, Letonia, México, Portugal, Eslovenia, Tailandia e Inglaterra.

Alasdair Roberts5 ha reseñado tres posibles modelos para el seguimiento de las leyes de acceso a la información pública. Estos son:

  • A los individuos se les otorga el derecho de someter una “apelación administrativa”ante otro funcionario de la misma institución a la cual la solicitud de la información fue sometida en primer lugar. Si esta apelación administrativa falla, el individuo puede apelar ante una corte o tribunal que pueda ordenar la entrega de la información.
  • A los individuos se les otorga el derecho a entablar una apelación ante un Ombudsman independiente o ante un Comisionado de la información quien debe enviar una recomendación acerca de la entrega de la información solicitada. Si la institución ignora la recomendación, se procederá a apelar ante la corte.
  • A los individuos se les otorga la posibilidad de someter una apelación ante un Comisionado de la Información que tenga el poder de obligar a la apertura de la información requerida. Aquí no proceden mayores apelaciones legales, aunque en casos extremos las acciones del Comisionado quedan sujetas a revisión judicial.

Por último destaca que frente a cualquiera de estos escenarios es necesaria la existencia de un poder judicial independiente.

De los diversos países que cuentan hoy en día con leyes de acceso a la información pública, solo algunos de ellos cuentan con órganos independientes encargados de las tareas de control de la aplicación de la norma y el respeto del derecho de acceso a la información pública.

4. Modelos de Órganos de Control

Encontramos en el análisis del derecho comparado la existencia de situaciones disímiles, que van desde la ausencia de un órgano de control hasta órganos dotados de autonomía.

a) Ausencia de órgano de control

La Dra. Laura Nahabetián reflexiona sobre este punto al referirse a órganos de control de acceso a la información pública inexistencia de órganos de control con competencia específica vinculada con el

carácter de garante del acceso a la información y verificador del cumplimiento de la legislación en la materia. De esta forma la ejecución y el seguimiento de la instrumentación de estas normas dependen del respeto institucional a la normativa aunado a la voluntad política social del cumplimiento y de su exigencia,   respetivamente”.

Se plantea igual situación respecto a la protección de datos, existiendo países que han aprobado leyes pero no han creado un órgano garante. En estos casos, la opción del ciudadano es recurrir al Poder Judicial para exigir el cumplimiento de su derecho.

Puntualmente, en temas de Acceso a la Información Pública podemos encontrarnos con entidades no creadas por ley, categoría definida por la Dra. Nahabetián, en la obra citada, para países como Belice, Jamaica y Trinidad y Tobago.

b) Órgano de control con competencias específicas

Consagrados el derecho a la protección de datos y/o el derecho de acceso a la información pública como derechos fundamentales, conlleva la necesidad de crear órganos administrativos garantes con competencias específicas.

Las acciones jurisdiccionales son consideradas, en estos casos, como la última ratio para que el ciudadano proteja su derecho, otorgándole un medio gratuito y sencillo para el ejercicio de su derecho.

c) Un órgano de control para cada derecho o uno con doble rol

No es nuevo el planteo acerca de la conveniencia de optar entre: crear un órgano de control con competencia en protección de datos y otro con competencia en acceso a la información pública o crear un único órgano que reúna competencias en ambas materias.

Respecto a este punto podemos hablar de ventajas y desventajas en cuanto a uno u otro modelo.

Respecto a la existencia de un órgano con competencias exclusivas para uno de estos derechos podemos destacar como ventajas: el reconocimiento de un derecho fundamental autónomo, el elevado grado de especialización del órgano y la autonomía e imparcialidad de sus resoluciones.

Como desventajas se señala el impacto presupuestario en la creación de dos organismos autónomos, la posibilidad de que frente a dos derechos que muchas veces pueden verse como contrapuestos, no se mantenga un equilibrio entre ambos, o peor aun que órganos diferentes tomen resoluciones contradictorias frente a un mismo tópico.

En relación a las autoridades de doble rol se establecen como ventajas: la uniformidad de criterios, menor impacto presupuestario, hay que tener presente que muchas veces el órgano no se crea con el doble rol, sino que asume una de las competencias posteriormente, por lo que, si dicho órgano está legitimado socialmente, será más sencillo la difusión del nuevo derecho.

Por otra parte, se han indicado como desventajas la inexistencia de un órgano especializado y se discute sobre la difícil tarea de llegar a un equilibrio entre los dos derechos, porque podría favorecerse uno en desmedro del otro.

5. Modelo Institucional Uruguayo

Comenzaré haciendo una referencia a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC), porque este organismo ha sido el impulsor de la ley de Protección de Datos y trabajó activamente en la reforma del proyecto de Acceso a la Información Pública, para que ambas normas pudieran convivir en forma armónica.

Es AGESIC, además, el órgano garante del equilibrio entre los dos derechos, así como el encargado de la gestión en ambos casos.

5.1 El gobierno electrónico como un Derecho Ciudadano

La misión del gobierno electrónico o gobierno digital apunta básicamente a dos temas, el acceso a la información pública y trámites electrónicos, la transparencia, el fortalecimiento democrático, la participación ciudadana y por otro lado su proyección en la transformación del Estado, centrada esencialmente en la concreción de procesos más eficientes.

Esto implica transformaciones en los procesos interinstitucionales, como por ejemplo la interoperabilidad, hay una especie de reorganización, que es nueva y tiene una finalidad diferente, ya que se visualiza a la administración pública como un todo.

Podemos hablar de gobierno electrónico como hacer portales y tendríamos muchas cintas para cortar, pero no vemos los problemas que están en la profundidad. Pongamos por ejemplo la interoperabilidad, para determinados trámites se piden testimonios de partidas de nacimiento, de matrimonio, de defunción que están en poder del Estado, con lo cual no se deberían pedir7.

Debemos entonces comenzar a visualizar al Estado, ya no desgajado, sino único y al gobierno electrónico como un derecho ciudadano, como un derecho de la persona a que el Estado no le exija lo que éste ya posee, mejorando en calidad de servicios y en eficiencia y eficacia.

El concepto de Gobierno en Red o Gobierno Conectado es el resultado de la búsqueda de un Gobierno integrado, que posicione cada vez más a la tecnología como una herramienta estratégica y como un facilitador para la innovación del servicio público y el crecimiento de la productividad. El eje del Gobierno en Red es la promoción del bien público, mediante la participación de los esfuerzos creativos de todos los segmentos de la sociedad. A través del uso de las TIC, los esfuerzos del Gobierno Conectado están destinados a mejorar la cooperación entre los organismos gubernamentales. Esto permite un mejor acceso, consultas más eficientes y eficaces; mayor compromiso con los ciudadanos y una mayor participación de las partes interesadas, tanto a nivel regional como internacional8.

Este concepto de Gobierno Electrónico centrado en el ciudadano motivó la creación de la Dirección de Derechos Ciudadanos de AGESIC por la Ley Nº 18.362 de fecha 6 de octubre de 2008, que en su artículo 72 establece como su cometido la atención de consultas y asesoramiento en materia de protección de datos y de acceso a la información pública.

Quiero destacar que el término ciudadano se utiliza en un sentido amplio, el cual se reitera en documentos como la Carta Iberoamericana de Gobierno Electrónico, firmada en Santiago de Chile el 10 de noviembre de 2007, que  establece: “A los efectos de esta cartaanocualquierse enti persona natural o jurídica que tenga que relacionarse con una Administración Pública y se encuentre en territorio del país o posea el derecho a hacerlo aunque esté fuera de dicho país”.

En Uruguay tenemos una agenda digital que incluyó la protección de datos, la seguridad, el acceso a la información pública. Y en cada uno de esos casos se estructuró un marco regulatorio, que cambiaron en dos años el sistema legal en estos temas. Se creó la Agencia de Gobierno Electrónico y como desconcentrados las Unidades Reguladora y de Control de Datos Personales, de Acceso a la Información Pública y de Certificación Electrónica9.

La Agencia continua trabajando en el desarrollo del gobierno en Red, siempre con el foco en el ciudadano, por lo que este año estamos trabajando en un anteproyecto de ley que consagra el derecho ciudadano al acceso a la Administración Electrónica.

5.2 El equilibrio entre dos derechos: PDP y AIP

El 17 de octubre de 2008 se aprueba la Ley Nº 18.381 de Acceso a la Información Pública, y en su artículo 10 se establece que se considera  información confidencial los datos personales que requieren previo consentimiento informado. La protección de datos ya había sido regulada por Ley Nº 18.331 de 11 de agosto de 2008.

Vemos entonces, la consagración de dos derechos fundamentales, siendo la protección de datos un límite al derecho de acceso a la información pública, ya que ésta puede ser solicitada sin necesidad de poseer un interés legítimo, lo que la transforma en una herramienta para acceder a datos de terceras personas. A la inversa, también el acceso implica un límite a la protección de datos personales cuando por razones de interés público es necesario un actuar transparente10.

El Dr. Delpiazzo afirma que “el equilibrio desprendimiento, el derecho de acceso a la información pública) por una parte,  y el derecho a la protección de datos personales (ubicado concéntricamente con los derechos a la intimidad a la privacidad por otra parte, aboga a favor de este último cuando existen datos personales en poder de la Administración.

Esta afirmación, que se comparte, se encuentra respaldada por varias razones:

  1. Debe atenderse a la diferente naturaleza de la información de que se trata en uno y otro caso, no debe confundirse la información pública con los datos personales que se encuentran en los expedientes administrativos. Cuando una persona solicita información a la Administración, tendrá acceso solo a la establecida como pública por la ley, no a la clasificada como reservada o confidencial, así como tampoco a la información secreta.
  1. La determinación del bien jurídico tutelado, el cual impone la reserva sobre lo íntimo de cada persona, motivo por el cual la Administración debe respetar el principio de finalidad en la recolección de los datos.
  1. Debe considerarse la diversidad de fines que persigue cada derecho. La reserva de datos personales no afecta el derecho de acceso a los documentos administrativos. Pero si el acceso a la información pública no respeta los datos personales, desvirtúa su fin.
  1. Es necesario determinar el contenido esencial de cada derecho impidiendo su desfiguración.

Las Leyes Nº 18.331 y Nº 18.381 crearon un nuevo marco institucional y dos órganos de control en las respectivas materias, la Unidad Reguladora y Control de Datos Personales (URCDP) y la Unidad de Acceso a la Información Pública, existiendo un contexto relacional, quizá con una perspectiva espejada entre ambas.

Ambas Unidades son órganos desconcentrados de Agesic. En el artículo 31 de la Ley N° 18.331 se dispone que la Unidad Reguladora y de Control de Datos Personales estará dirigida por un Consejo integrado por tres miembros: el Director Ejecutivo de la AGESIC y dos miembros designados por el Poder Ejecutivo entre personas que por sus antecedentes personales, profesionales y de conocimiento en la materia aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de sus cargos.

A excepción del Director Ejecutivo de la AGESIC, los miembros durarán cuatro años en sus cargos, pudiendo ser designados nuevamente. Sólo cesarán por la expiración de su mandato y designación de sus sucesores, o por su remoción dispuesta por el Poder Ejecutivo en los casos de ineptitud, omisión o delito, conforme a las garantías del debido proceso.

Durante su mandato no recibirán órdenes ni instrucciones en el plano técnico.

Según lo dispuesto por el artículo 32 de la citada Ley, el Consejo Ejecutivo de la URCDP funcionará asistido por un Consejo Consultivo, que estará integrado por cinco miembros:

  • Una persona con reconocida trayectoria en la promoción y defensa de los derechos humanos, designado por el Poder Legislativo que no podrá ser un legislador en actividad.
  • Un representante del Poder Judicial.
  • Un representante del Ministerio Público.
  • Un representante del área académica.
  • Un representante del área privada que se elegirá en la forma establecida reglamentariamente.

Dicho Consejo funcionará presidido por el presidente de la URCDP. Sus integrantes durarán cuatro años en sus cargos y sesionarán a convocatoria del Presidente de la URCDP o de la mayoría de sus miembros. El mismo podrá ser consultado por el Consejo Ejecutivo sobre cualquier asunto de su competencia y deberá ser consultado por éste cuando ejerza potestades de reglamentación.

Esta estructura se encuentra replicada en la Ley de Acceso a la Información Pública, con la diferencia que el Consejo Consultivo está integrado por:

  • Una persona con reconocida trayectoria en la promoción y defensa de los derechos humanos, designado por el Poder Legislativo, la que no podrá ser un legislador en actividad.
  • Un representante del Poder Judicial.

  • Un representante del Ministerio Público.

  • Un representante del área académica.

  • Un representante del sector privado, que se elegirá en la forma establecida reglamentariamente.

La forma de concebir el sistema organizativo quizá pueda parecer un poco extraño en una primera instancia, pero tiene una lógica de funcionamiento que ha demostrado ser exitosa en los hechos.

Las decisiones de Protección de Datos y Acceso a la Información Pública son tomadas por Consejo Ejecutivos independientes, pero vinculados operativamente a través del Director Ejecutivo de AGESIC, principal interesado en el cumplimiento de estos derechos.

Por otra parte, en el análisis de ventajas y desventajas de crear un órgano autónomo para cada derecho o uno con competencias en ambas materias, el modelo Uruguayo mantiene las ventajas del órgano autónomo, pero elimina las desventajas del órgano con doble cometido.

En este sentido podemos decir que se han creado dos órganos con un impacto presupuestario bajísimo, ya que la gestión está encargada a un organismo existe, la AGESIC.

Estos órganos tienen total autonomía técnica y son especializados cada uno en la protección de su derecho, sin embargo, al tener un integrante común asegura la coherencia en la toma de decisiones.

6. Conclusiones

Con el objetivo de lograr el equilibrio entre estos derechos fundamentales, debemos tener en cuenta que “el núcleo dur datos es la dignidad humana mientras que el derecho de acceso a la información pública se sustenta en la transparencia connatural a la servicialidad de la  Administración”.

Uruguay consagró ambos derechos y está logrando el funcionamiento armónico de los mismos. No es un trabajo sencillo, ya que las zonas grises son muchas y deben ser analizadas caso a caso.

El nuevo modelo institucional sin duda toma lo mejor de ambos modelos y se constituye como un mixtura, combinando la independencia y autonomía técnica de dos órganos especializados con un aspecto común que los armoniza y le da coherencia.

Por otra parte, si bien el fin primordial de las normas fue la consagración de los derechos fundamentales, la decisión sobre los órganos de control nace desde la gestión, de la existencia de una Agencia consolidada, con un cometido que va más allá de uno u otro derecho, sino que defiende a ambos como presupuesto de su principal misión.

Por otra parte, se debe tener en cuenta que ambas leyes establecieron como garantía jurisdiccional la acción de habeas data, propia e impropia, estableciendo un mismo trámite para el ejercicio de los derechos, con las diferencias mínimas que caracterizan a cada uno de ellos.

Artículos relacionados