Análisis de la Ley nicaragüense de Protección de Datos Personales

leyes_nicaragua_pd

Por Jorge Luis Garcia Obregon

La Ley 787, Ley de Protección de Datos Personales fue publicada en La Gaceta, Diario Oficial del 29 de Marzo del 2012. Cuenta con 56 artículos, divididos en IX capítulos. Los abordaremos someramente sin entrar a fondo en ellos, pues no es el criterio de su servidor transcribirles la normativa sino más bien denotar las particularidades e importancias de la misma.

El Capitulo I aborda generalidades, como objeto y ámbito de aplicación de la norma, entendiéndose que es la protección de datos personales, automatizados o no, de toda persona natural o jurídica, y el manejo de esta información en ficheros públicos o privados. También, encontramos algunos conceptos propios de la materia donde resaltan los siguientes:

-Autodeterminación Informativa: Definiéndolo como el derecho que tiene toda persona a saber ¿quién?, ¿cuándo?, ¿con qué fines? y ¿en qué circunstancias? toman contacto con sus datos personales. A mi criterio este concepto esta muy reducido, pues la normativa lo ha limitado “a saber”, cuando en realidad es un derecho fundamental derivado del derecho a la privacidad y por ende el individuo conserva la facultad de ejercer el control total y absoluto sobre su información personal.

-Bloqueo: entendiéndolo como la identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas.

-Consentimiento del titular: Manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual el titular de los datos consiente el tratamiento de sus datos personales. Este ítem amerita atención primordial, pues en la práctica no es así. Los comercios, bancos, financieras, etc, imponen al consumidor el firmar un formulario, de lo contrario no hay transacción económica. ¿Dónde esta la libre voluntad? ¿Se informa específicamente que es el documento a firmar? Tales presupuestos me despiertan leve sospecha que se estén cumpliendo a cabalidad. Esto demuestra que el camino para lograr una tutela jurídica efectiva, el camino es largo, ¡pero posible! Creo que es una situación de educación a los comerciantes…

-Clasificación de los datos personales: La norma los clasifica en Datos personales (puros y simples): refiriéndosea la información sobre una persona natural o jurídica que la identifica o la hace identificable. Datos personales informáticos: Son los mismos datos personales pero tratados a través de medios electrónicos o automatizados. Datos personales sensibles: Concernientes a toda información que revele el origen racial, étnico, filiación política, credo religioso, filosófico o moral, sindical, relativo a su salud o vida sexual, antecedentes penales o faltas administrativas, económicos financieros; así como información crediticia y financiera y cualquier otra información que pueda ser motivo de discriminación.Datos personales relativos a la salud:sólo pueden ser los relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquellos, respetando el secreto profesional. Datos personales comerciales:son datos sensibles de las Empresas las bases de datos de clientes, proveedores y recursos humanos, para fines de publicidad y cualquier otros datos que se consideren información comercial o empresarial reservada fundamentalmente para el libre ejercicio de sus actividades económicas.

Disociación de datos: Se refiere al mecanismo para el tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada.

Ficheros de datos: Archivos, registros, bases o bancos de datos, públicos y privados, que contienen de manera organizada los datos personales, automatizados o no.

Fuentes de acceso público: Son aquellos ficheros cuya consulta puede ser realizada por cualquier persona, sin más exigencia que, el abono de una contraprestación.

 -Responsable de ficheros de datos: Es toda persona natural o jurídica, pública o privada, que conforme Ley decide sobre la finalidad y contenida del tratamiento de los datos personales.

-Tercero: ¿Quién es considerado tercero en materia de protección de datos? Es toda persona, pública o privada que realice a su arbitrio el tratamiento de datos personales, ya sea en ficheros de datos propios o a través de conexión con los mismos.

-Tratamiento de datos: Son las operaciones y procedimientos sistemáticos, automatizados o no, que permiten la recopilación, registro, grabación, conservación, ordenación, almacenamiento, modificación, actualización, evaluación, bloqueo, destrucción, supresión, utilización y cancelación, así como la cesión de datos personales que resulten de comunicaciones, consultas, interconexiones y transferencias.

¿Cómo opera el consentimiento del titular de datos? ¿Cuales son las excepciones?

El titular de los datos deberá por sí o por medio de apoderado dar el consentimiento para la entrega de los datos. Siendo necesario otorgarlo por escrito o por otro medio idóneo, físico o electrónico. Se podrá revocar sin efecto retroactivo. No será necesario el consentimiento cuando: a) Exista orden judicial; b) Los datos personales se sometan a un procedimiento previo de disociación; c) Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; y d) Los datos se obtengan de fuentes de acceso público irrestricto y se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, y fecha de nacimiento.

De esta pregunta me surge otra más, ¿Como se garantiza la validez de un consentimiento enviado por email? ¿Quién valida que el titular del email sea la misma persona? Con tantas facilidad que encuentras en la red para abrir cuentas comerciales de email (gmail, live, Outlook, yahoo, etc, etc,), pensaríamos que se puede desvirtuar fácilmente la garantía de credibilidad del titular de la cuenta. En otras legislaciones se han dado las soluciones acordes por medio de leyes específicas, pero en lo que respecta a Nicaragua se carece de normativas para este concreto, solo podemos tomar como referencia fiable las opciones que nos brinda la ley de Firma Digital, pero ese es otro tema.

El capitulo II habla de los responsables de los ficheros de datos. Abordando la obligación principal de informar al obtener los datos personales del titular.

Se estipula la obligación de informar previamente a los titulares de datos personales de forma expresa y clara, de los siguientes aspectos: a) La finalidad para la que serán utilizados y quiénes pueden ser sus destinatarios o clase de destinatarios; b) La existencia del fichero de datos electrónicos o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable; c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga; d) Las consecuencias de proporcionar los datos personales, de la negativa a hacerlo o de la inexactitud de los mismos; e) La garantía de ejercer por parte del titular el derecho de acceso, rectificación, modificación, supresión, complementación, inclusión, actualización y cancelación de los datos personales; f) Cuando los datos procedan de fuentes accesibles al público y se utilicen para hacer envíos publicitarios o promocionales, en cada comunicación que se dirija al titular de los mismos se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten; g) Que los datos sólo pueden ser utilizados para los fines que motivaron su tratamiento; y no podrán ser utilizados para otros fines; h) Los datos inexactos, incompletos, o que estén en desacuerdo con la realidad de los que le corresponden a la persona, serán rectificados, modificados, suprimidos, completados, incluidos, actualizados o cancelados según corresponda; i) La seguridad en el almacenamiento de datos y el derecho de acceso del titular a los mismos; j) La cancelación de los datos personales una vez que hayan dejado de ser necesarios a los fines para los cuales hubiesen sido tratados; k) Las condiciones técnicas mínimas de tratamiento de datos, tales como técnicas de integridad, confidencialidad y seguridad; y l) La prohibición de la creación de ficheros de datos personales que almacenen información de datos sensibles.

Con respecto a las medidas de seguridad y confidencialidad en el tratamiento de datos, al igual que en otras legislaciones, el responsable del fichero de datos debe adoptar las medidas técnicas y organizativas necesarias para garantizar la integridad, confidencialidad y seguridad de los datos personales, y evitar bajo su responsabilidad la adulteración, pérdida, consulta, tratamiento, revelación, transferencia o divulgación no autorizada, detectar desviaciones, intencionales o no, de información privada, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. En atención a la confidencialidad, las personas que intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional respecto de los mismos. Subsistiendo aun después de finalizada su relación con el responsable del fichero de datos, pudiendo ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad nacional, defensa nacional, seguridad pública o la salud pública.

Los datos personales se podrán ceder y transferir cuando, previo consentimiento del titular de los datos, al que se le deberá informar sobre la finalidad de la cesión e identificar al cesionario. El consentimiento para la cesión es revocable, mediante notificación por escrito o por cualquier otra vía que se le equipare, según las circunstancias, al responsable del fichero de datos. Este no podrá ser exigido cuando lo disponga una ley, se realice entre instituciones del Estado en el ejercicio de sus atribuciones, se trate de razones de salud pública, de interés social, de seguridad nacional o se hubiere aplicado un procedimiento de disociación de datos, de modo que no se pueda atribuir a una persona determinada.

Será prohibida la cesión y transferencia de datos personales de cualquier tipo con países u organismos internacionales, que no proporcionen niveles de seguridad y protección adecuados. Se exceptúa en los supuestos de colaboración judicial internacional, intercambio de datos personales en materia de salud, cuando sea necesaria para una investigación epidemiológica, transferencias bancarias o bursátiles, conforme la legislación de la materia, cuando la transferencia se hubiere acordado en el marco de tratados internacionales ratificados por el Estado de Nicaragua (como los tratados de intercambio de información tributaria entre México y EEUU) y cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia.

Para la cesión y transferencia de datos personales que se encuentren en ficheros de datos públicos o privados, se hará a solicitud de una persona legalmente autorizada, debiendo detallar el objeto y la finalidad que se persigue con dicha información, asegurando el responsable del fichero de datos cumplir con las medidas de seguridad y confidencialidad de los mismos. Se debe verificar que el solicitante cumpla de igual manera con éstas medidas y sobre todo informar a la persona titular de los datos, la solicitud de transferencia y el propósito que se persigue, para su consentimiento; por ello se deben de tomar las previsiones necesarias para evitar que la información suministrada sea pasada a terceras personas. Toda esta transferencia de datos debe de contar con el aval de la Dirección de Protección de Datos Personales.

¿Qué es el derecho de olvido digital?La ley faculta que el titular de los datos pueda solicitar a las redes sociales, navegadores y servidores que se supriman y cancelen los datos personales que se encuentren en sus ficheros. En los casos de ficheros de datos de instituciones públicas y privadas que ofrecen bienes y servicios y que por razones contractuales recopilan datos personales una vez terminada la relación contractual, el titular de los mismos puede solicitar que se suprima y cancele toda la información personal que se registró mientras era usuario de un servicio o comprador de un bien. Esto dará lugar a reclamos administrativos y judiciales, según sea el caso, contra de algunos monstruos, como google, facebook, youtube, etc, etc

Los derechos del titular de datos, se encuentras contenidos en el capitulo III. Sobresaliendo el Derecho a solicitar información, pues el titular podrá en todo momento solicitar información a la Dirección de Protección de Datos Personales, relativa a la existencia de archivos de él en de ficheros de datos personales, sus finalidades y la identidad de sus responsables. El registro que se lleve al efecto será de consulta pública y gratuita. También podrán solicitar que se le permita rectificar, modificar, suprimir, complementar, incluir, actualizar o cancelar sus datos personales y se podrán abstener de proporcionar datos personales de carácter sensible, pero como explique anteriormente, esto no se está cumpliendo a cabalidad, sobre todo en información financiera.

¿Cómo modifica el titular sus datos? Anteriormente se explicó que el titular podía solicitar la rectificación, modificación, supresión, complementación, inclusión, actualización y cancelación de los datos personales, que estén incluidos en un fichero de datos. Pues, los datos de carácter personal, explicamos, se deben cancelar cuando dejen de ser necesarios o cumplan la finalidad que dio lugar a su tratamiento o cuando el responsable no cumple con la obligación de garantías mínimas. Esto deja abierta la acción de protección de datos consignada en la ley. Si los datos se modifican, también se le notificar al cesionario, en caso de cesión, para se cancele el tratamiento correspondiente. Cuando se siga un procedimiento de verificación y rectificación del error o falsedad de los datos personales que conciernen al titular, el responsable del fichero de datos debe bloquear los datos materia de la solicitud o consignar al proveer la información relativa que se tramita un procedimiento con determinado objeto. El obligado se puede negar a la rectificación ó modificación, según sea el caso, cuando exista una resolución judicial que determine la no modificación.

Con respecto a los ficheros y responsables de ficheros de datos personales, contemplados en el capitulo IV, es necesario aclarar que los responsables de estos deben inscribirse en el Registro de ficheros de datos que posee la Dirección de Protección de Datos Personales y esperar en el plazo de ley la resolución de su inscripción.

El registro de ficheros de datos debe recabar la siguiente información: a) Nombre y domicilio del responsable, entendiéndose como persona natural o jurídica con toda la descripción de la razón social, fecha de constitución, objeto y representante legal; b) Naturaleza de los datos personales contenidos en cada fichero de datos; c) Forma, tiempo y lugar de recolección y actualización de datos; d) Destino de los datos y personas naturales o jurídicas a las que pueden ser transmitidos; e) Modo de interrelacionar la información registrada; f) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar nombre y domicilio de las personas que intervienen en la colecta y tratamiento de los datos; g) Tiempo de conservación de los datos; y h) Forma y procedimientos en que las personas pueden acceder a los ficheros de datos personales para realizar la rectificación, modificación, supresión, complementación, inclusión, actualización y cancelación de los mismos según concierna. En los ficheros ninguna persona podrá poseer datos personales de naturaleza distinta a los declarados, cualquier modificación a la información contenida en los ficheros de datos personales debe ser comunicada por el responsable a la Dirección de Datos Personales.

Los ficheros de datos destinados al envío de publicidad, promociones, ofertas y venta directa de productos, bienes y servicios u otras actividades análogas sólo pueden incorporar datos personales con el consentimiento del titular de los mismos, cuando ésta los ha facilitado, o cuando los datos obren en fuentes accesibles al público. Este es uno de lo más polémicos bancos de datos de las personas, debido al irregular uso que se da hoy en día, saturando de marketing a las personas, tanto en la red como fuera de ella.

El envió de publicidad y promociones, a través de medios electrónicos (sms, email, redes sociales) debe de ser normado, existiendo la posibilidad para el destinatario de expresar su negativa a recibir spot publicitarios y promocionales de bienes y servicios o, en su caso, revocar su consentimiento de una forma clara y gratuita.

Es imperante mencionar que las empresas o instituciones que se dedican a actividades de marketing, envíos publicitarios y promocionales electrónicos deberán protegerse mediante un contrato que establezca que los datos personales que figuran en un fichero de datos han sido obtenidos con el consentimiento inequívoco e informado de los titulares o que estos han sido obtenidos de fuentes de acceso público. Se exceptúan las encuestas de opinión; investigaciones científicas o médicas, y a las actividades análogas, pero sólo serán cedidos previo consentimiento del titular.

El órgano regulador de la analizada ley, es la Dirección de protección de datos personales, cuyas facultades se encuentran contenidas en el capitulo V. Esta adscrita al Ministerio de Hacienda y Crédito Público, con una máxima autoridad administrativa, su función principal es el control, supervisión y protección del tratamiento de los datos personales contenidos en ficheros de datos de naturaleza pública y privada y sus funciones accesorias son:

a) Asesorar a las personas naturales y jurídicas que lo requieran acerca del contenido y alcance de la presente Ley. Facultad, que a mí criterio, hay que observarla detenidamente pues en un proceso administrativo puede verse afectada de parcialidad, por ser Juez y parte. Aunque la Dirección, se aleja de mí criterio, considero que en caso concreto sería oportuno un pronunciamiento de la máxima instancia que aclare esta situación.

b) Dictar las normas y disposiciones administrativas necesarias para la realización de su objeto en el ámbito de su competencia. Quedando siempre a salvo la vía administrativa para el agraviado que se considere que se esta violentando algún derecho particular.

c) Dictar y vigilar que las normas sobre confidencialidad, integridad y seguridad de los datos personales se respeten y apliquen por los titulares de los ficheros de datos correspondientes.

d) Solicitar la información que requiera para el cumplimiento de su objeto a las entidades públicas y privadas titulares de los ficheros de datos, garantizando en todo caso la seguridad, la integridad y confidencialidad de la información. Dicha forma se regula en el respectivo reglamento.

e) Imponer las sanciones administrativas que correspondan a los infractores, quedando a salvo el recurso vertical.

f) Formular y presentar las denuncias por violaciones a la ley, ante la autoridad correspondiente;

g) Verificar que los ficheros de datos personales tengan los requisitos necesarios para que proceda su inscripción en el registro correspondiente.

h) Acreditar a los inspectores para la supervisión y vigilancia de los responsables de los referidos ficheros.

i) Fomentar y promover modelos de autorregulación, siempre y cuando sea posible, como mecanismo adicional para garantizar el derecho a la autodeterminación informativa de toda persona, estos modelos buscan un valor añadido en su contenido con respecto a lo dispuesto en la ley y el reglamento.

j) Emitir su criterio técnico en todo proyecto de ley y reglamento que pudieran tener incidencia en la validez y garantía del derecho a la autodeterminación informativa.

k) Divulgar el contenido y extensión del derecho a la autodeterminación informativa a la población y al resto de los Poderes e instituciones del Estado; y

l) Cooperar con otras autoridades de protección de datos a nivel internacional para el cumplimiento de sus competencias y generar los mecanismos de cooperación bilateral y multilateral para asistirse entre sí y prestarse el debido auxilio mutuo cuando se requiera;

Con respecto a los Inspectores, la ley abordó un procedimiento (susceptible de mejora en un reglamento posterior) que consiste en visitas, de verificación y control, mediante las cuales los inspectores, revisan los ficheros de datos con el objetivo de establecer el grado de cumplimiento de las normas regulatorias de esta actividad o de brindar a las autoridades de la Dirección de Protección de Datos Personales mayores elementos de juicio para la adopción de una resolución con afectación a terceros o no.

Por su parte los inspeccionados están obligados a permitir el acceso a los ficheros de datos a los inspectores, facilitar y prestar la colaboración necesaria en la inspección, brindar la información y documentación solicitada, permitir la revisión de los equipos  y cualquier otra actividad requerida por el inspector…

Si en la inspección se detectara y comprobara la existencia de infracciones graves o hechos que puedan constituir delitos, el inspector deberá tomar las medidas preventivas necesarias en presencia de la persona con quien se presentó para hacer la inspección y comunicarlo de inmediato a su superior inmediato para que proceda de conformidad a derecho.

¿Qué se considera infracciones?

La ley las clasifica en infracciones leves y graves, entendiendo como leves: tratar datos personales sin el consentimiento expreso ya sea por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos de su titular, cuanto la ley así lo exija; omitir la inclusión, complementación, rectificación, actualización, supresión o bloqueo, cancelación, de oficio o a petición del titular, de los datos personales que se encuentran en ficheros de datos públicos y privados; incumplir las instrucciones dictadas por la Dirección; obtener datos personales a través de formularios u otros impresos, sin que figure en los mismos, en forma claramente legible, las advertencias que se utilizarán para crear ficheros; y remitir publicidad a través de medios electrónicos, a titulares que han manifestado expresamente su negativa a recibirla.

Como graves se entiende el tratamiento de datos personales por medios fraudulentos o que infrinjan la ley; impedir u obstaculizar el ejercicio del derecho a la autodeterminación informativa al titular de los datos personales, así como negar injustificadamente la información solicitada; violentar el secreto profesional; reincidir en las infracciones leves; mantener ficheros de datos, inmuebles, equipos o herramientas sin las condiciones mínimas de seguridad, integridad y confidencialidad requeridas; y obstruir las inspecciones que realice la Dirección.

Pero ¿Que tipo de sanciones se pueden imponer?

En materia administrativa operan el apercibimiento, suspensión de las operaciones relacionadas con el tratamiento de los datos personales y clausura o cancelación de los ficheros de datos personales de manera temporal o definitiva.

Es conveniente aclarar que siempre queda abierta la vía civil y penal para el titular de datos afectado por el actuar del responsable de ficheros de datos.

¿Qué es la acción de protección de datos?

Es cuando el titular de los datos busca la tutela jurídica ante el órgano administrativo, interponiendo la acción de protección de datos personales en esta sede. Se presenta ante la Dirección de Protección de Datos Personales, quien debe de conocer y resolver la denuncia presentada por el titular.

Esta particular acción procede para conocer de los datos personales que han sido objeto de tratamiento en ficheros de datos. Cuando se violenten las garantías de confidencialidad, integridad y seguridad en el tratamiento de los datos personales. En los casos en que se presuma la falsedad, inexactitud, desactualización, omisión, total o parcial, o ilicitud de la información de que se trata. Para exigir su rectificación, actualización, modificación, inclusión, supresión o cancelación. Cuando sean lesionados algunos de los principios que rigen la calidad del tratamiento de datos personales, en el ámbito público y privado.Para acceder a información que se encuentre en poder de cualquier entidad pública y privada de la que generen, produzcan, procesen o posean, información personal, en expedientes, estudios, dictámenes, opiniones, datos estadísticos, informes técnicos y cualquier documento que la administración pública o las entidades privadas tengan en su poder. Por último, para exigir la rectificación, actualización, modificación, inclusión, complementación, supresión, bloqueo o cancelación de datos personales tratados en ficheros de datos de entidades públicas o de instituciones  privadas que brinden servicio o acceso a terceros, ya sea de forma manual, mecánica o informática, cuando se presuma la falsedad, inexactitud, desactualización, omisión total o parcial o la ilicitud de la información de que se trate.

La Legitimación activa podrá ser ejercida por el titular, sus tutores y los sucesores de las personas naturales, por sí o por intermedio de un apoderado. Cuando la acción sea ejercida por personas jurídicas, deberá ser interpuesta por sus representantes legales o apoderados que éstas designen al efecto. La Legitimación pasiva procede respecto de los responsables y usuarios de los ficheros de datos personales públicos y privados.

Agotada la vía administrativa, mediante resolución emitida por la Dirección de Protección de Datos Personales, el titular de los datos puede hacer uso de la vía jurisdiccional, a través de Recurso de Amparo respectivo.

El reglamento de la ley ya fue publicado en Octubre del año pasado y aclaró las reglas del juego, estableciendo la dinámica de regulación que la ley calló.