Protección de datos, globalización y nuevas tecnologías

globalziacion_loipd

Por Romina Florencia Cabrera

La Globalización es un proceso de alcance general , en cuya virtud diversas actividades –la economía, la tecnología, y las comunicaciones- se relacionan en tiempo real y más allá de la distancia. Por otra parte, junto con la creciente desterritorialización de las transacciones  económicas se fortalece el principio territorial aggiornado: los mercados financieros, las industrias informáticas y el comercio , progresan y se diversifican al calor de estados débiles en centros urbanos estratégicos. [1]

Si bien posibilita un sinnúmero de relaciones de toda índole, comerciales, financieras, políticas, culturales, personales, etc; dada la extensión y complejidad de los vínculos emergentes entre las mismas, la privacidad, la intimidad, el honor, y sobre todo el objetivo de nuestro trabajo, la protección de datos personales, como derecho autónomo e independiente se ven amenazados ante este fenómeno, y más aún, en la era de la Internet, la Red de Redes, en que la velocidad de la misma agiliza y diversifica este tipo de relaciones en la sociedad global.

Como nos enseña el Profesor Luis María Palma en las excelentes conclusiones se su trabajo de investigación académico[2], debe generarse una Política de Recursos Humanos sustentada en la capacitación permanente de los agentes, así como la participación más activa de la sociedad civil ( Tan solicitada en este contexto mundial actual donde se discute en nuevo modelo de Gobernanza de Internet), para generar  nuevas y mejores soluciones, con seguridad jurídica y una infraestructura tecnológica adecuada que pueda dar respuestas eficientes a las demandas sociales. La realidad humana y tecnológica nacen tan cambiantes que el camino más eficiente y eficaz es la adaptación. Las Instituciones Globales pueden constituir un medio fundamental para lograrlo, de la mano del diálogo y la construcción del consenso a escala mundial.  Ampliar las actuaciones de los Estados Nacionales en el nivel mundial, creando redes de Cooperación Internacional, para intervenir y negociar frente a las a las redes económicas globales[3], y sobre todo, en mi humilde opinión, no dejando de lado la Protección de los Datos Personales, que debe estar presente en todas las Agendas Gubernamentales, Mesas Redondas de Trabajo y Discusión académica-científica; capacitando a todos los actores sociales y creando una mayor cultura de Protección de Datos Personales, que es el objetivo del Observatorio Iberoamericano de Protección de Datos que integro, bajo la brillante Dirección de Daniel López Carballo y excelentes colegas de Iberoamérica.

Si bien se debe llegar a un consenso y entendimiento entre los Estados-Nación para que la sociedad en general evolucione en sus ideas y praxis, sobre todo en la materia de Protección de la Información,( el activo más importante que tiene una organización en la actualidad, tanto pública como privada, nacional o internacional),  la identidad cultural es lo más importante que posee una comunidad: es su identificación en el mundo; su etnia; su pasado, presente y futuro; sus alegrías, tristezas y sentimientos diversos manifestados en el encuentro social. Una gran familia que se une por su historia y sus costumbres y gustos; por su religión y su manera de percibir, concebir y practicar la fé (algo innegociable por lo menos para mí). Se deben respetar esos espacios únicos en su tipo en cada uno de los diferentes grupos que habitan el Estado-Nación, y llegar a un equilibrio y un respeto mutuo para lograr una mejor calidad de vida de todos los ciudadanos y progreso social. En los Tratados Internacionales de Derechos Humanos, se hace referencia a la tolerancia étnica, y religiosa, como una manera de no discriminación, y rescatando el valor y dignidad de la persona humana en concepto de Derechos Humanos, tal como la establece la Convención de Viena; como también el Derecho a la privacidad, a la intimidad, al honor y la libertad de asociación. En la Argentina, mi país, los Tratados de DDHH están incorporados a la Carta Magna en el Artículo 75 inciso 22, con jerarquía constitucional.

La Protección de Datos Personales en la Era Digital, implica un repensar de las relaciones institucionales, empresariales y personales, que repercuten en la vida jurídica de los Estados y por consecuencia de sus habitantes.

Las relaciones jurídicas deben replantearse dado el entorno digital en el  que se desarrollan. Cambia el contexto, y por ende la técnica legislativa debe adaptarse a estas transformaciones; dotando a las normas jurídicas de un sentido de realidad actual y también previendo el futuro del Derecho.

Los Derechos y Obligaciones de los actores jurídicos se plasman en el espacio virtual globalizado, donde las Comunidad Internacional debe fijar las pautas de conducta, para lograr una buena gestión de los Estados-Nación, tanto a nivel municipal, provincial, nacional y supranacional.

En la llamada “Declaración del Ciberespacio”, los habitantes del mismo manifiestan su deseo de una convivencia justa, sin soberanía territorial alguna, proclamando y preservando el derecho natural de los seres humanos a la libertad y a la igualdad también en el ciberespacio.[4]

En la citada declaración, se pueden encontrar los siguientes enunciados:

Art. 1. La libertad de la información solo se aplica a la información (conocimiento, elevación moral del ser humano, DDHH). Art. 2. Libre e igual acceso a la Información.  Art. 3. Eliminación de la brecha digital. Art. 4. Accesibilidad de la Información. Art. 5. Igualdad de oportunidades en la producción y difusión de la Información. Art. 6. Equilibrio entre propiedad intelectual y libre flujo de la información. Art. 7. Prohibición de monopolios y oligopolios de la información. Art. 8. Derecho a la inviolabilidad de la información. Art. 9. Derecho al Habeas Data. Art. 10. Contenido del Habeas Data. Art. 11. Derechos que limitan al Habeas Data. Art. 12. Derecho al  secreto de las Comunicaciones. Art. 13. Prohibición de los monopolios de  poder en Internet. Art. 14. Protección de menores. Art. 15. Dignidad de la persona. Art. 16. Libertad de comercio y trabajo en el ciberespacio. Art. 17. Protección del Patrimonio cultural en el ciberespacio. Artículo 18. Derecho ciudadano a la relación telemática con los poderes públicos. Artículo 19. Derecho a la autorregulación en un marco de heterorregulación.  Artículo 20. Garantía institucional de los Derechos Humanos en el Ciberespacio. Art. 21. Cláusula de extensión y de progreso. Artículo 22. Cláusula de cierre en evitación de la paradoja de la libertad. [5]

En otro de mis escritos, llamado “Globalidad y Transferencias Internacionales de Datos”, publicado por este mismo Observatorio, expreso que “La integración económica y social resultante del establecimiento y funcionamiento de un mercado globalizado, ha implicado un desarrollo notable de los flujos transfronterizos de datos personales entre distintos agentes públicos y privados establecidos en diferentes países. Este flujo de datos se ha visto favorecido por factores como el avance de las tecnologías de la información y, en particular, el desarrollo de Internet, que facilitan considerablemente el tratamiento y el intercambio de información, y que permiten compartir recursos tecnológicos, centralizar determinadas actividades y procesos, y abaratar costes en la prestación de servicios por la propia empresa fuera del país en el que se encuentra establecida”.

A modo de Conclusión final, se deberían activar políticas de Estado que se centren en la Protección de Datos como verdaderamente un Derecho Autónomo e Independiente ( Definición de la Agencia Española de Protección de Datos), y como expresamos en nuestro Observatorio en las Diferentes Declaraciones ( Documentos Internacionales) que hemos presentado, unificar criterios de Privacidad , para que sean aplicables a todos los países ( En nuestro caso de Iberoamérica) y se busquen soluciones en concordancia con las legislaciones locales, para que los conflictos que surgen en torno a la información personal no menoscaben el progreso tanto económico, social, político, cultural y personal de la Sociedad Globalizada, y que el fenómeno de la Globalización sea utilizado como una ventaja en la evolución de Ideas materializadas, y no como un elemento distorsivo y de retroceso.

[1] Palma, Luis María. “Justicia y Reforma en la Argentina Democrática. Universidad de Belgrano. Las Tesis de Belgrano. Facultad de Estudios para Graduados. Doctorado en Sociología.N° 65. Departamento de Investigaciones. Julio de 2013.    Páginas 373-374-. Sitio web: url: htp://www.ub.edu.ar/investigaciones.

[2] Palma, Luis María. Op cit. Páginas 385-386.

[3] Palma, Luis María .  Op cit. Páginas 385-386.

[4] Suñé Llinás, Emilio, “Declaración de derechos del ciberespacio”.  Universidad Complutense de Madrid, 2008. Sitio web:

http://portal.uexternado.edu.co/pdf/7_convencionesDerechoInformatico/documentacion/conferencias/Los_Derechos_Humanos_en_el_Ciberespacio.pdf

[5]  Suñé Llinás, Emilio, op.cit.

Lo que debes saber sobre la cesión de datos

cesiones_datosPor Jorge Luis Garcia Obregon

El contrato de cesión de base de datos es un convenio que reside en el acuerdo de voluntades de las partes, guardando los parámetros estipulados por la legislación de protección de datos personales y otras. Como todo contrato posee sus clausulas particulares, las cuales debes tener en cuenta si decides ceder o recibir una base de datos para su tratamiento.

A nivel mundial las legislaciones que abordan el tema de protección de datos poseen ciertas similitudes entre ellas, que son levemente variadas de acuerdo a la tropicalización que se le da en cada país. Tal como explique en mi anterior entrada, hay ciertas cosas que debes tener en cuenta sobre la protección de datos.

Siendo un poco más enfático en este tema particular – cesión de base de datos– deseo explicarles brevemente en que consiste este tipo contrato, lo abordaremos clausula a clausula, veamos;

-El objeto: Se debe explicar la causa del mismo, su razón de ser, el ¿por qué? Por ejemplo, un contrato de compraventa de un vehículo automotor, el objeto es la compra y la venta de un bien. En el referido convenio es igual. Su objeto es la cesión de una base de datos especifica a favor del cesionario a cambio de un precio cierto, persiguiendo determinados fines; comerciales, científicos, almacenamiento de datos, estadísticas, etc, etc. Así mismo, es recomendable plasmar que no debe ser transferible, tampoco sublicenciable.

– Condiciones de la cesión: se deben estipular todas las condiciones que envuelven este acto jurídico. Por ejemplo:

El alcance que posee la cesión de la base de datos, tales como ficheros, archivo electrónicos o analógicos, que permitan lograr un aprovechamiento de la base de datos.

El uso correcto del contenido de la base de datos, plasmando explícitamente que el cedente no autoriza que se le de el tratamiento para hacer spam, actos inmorales, ilegales, actos contrarios a las buenas prácticas empresariales y phishing, el cual abordé en este artículo.

La garantía de titularidad de la base de datos, el cedente debe garantizar que lo que esta transmitiendo es de su propiedad, no propiedad intelectual de terceros.

El modo de cesión, si es por envío físico, magnético ó a disposición en una dirección web disponible para su descarga, previa autenticación mediante usuario y contraseña. Si es por este último medio, debes leer este post que escribí sobre los aspectos legales del software.

La cesión exclusiva, el cesionario debe respetar la titularidad de la base de datos cedida, no pudiendo hacer más copias que la de seguridad.

Cumplimiento de la Ley de Protección de datos. El cedente debe garantizar que ha cumplido con toda la normativa vigente. Aunque, el cedente no puede garantizar la integridad absoluta de dichos datos personales, así como la calidad y actualización de los mismos. Tal como expliqué en este artículo, las leyes de protección de datos poseen sus particularidades específicas.

– La propiedad intelectual e industrial: El cedente debe acreditar que la base de datos objeto de la cesión es de su propiedad. Solo se concede un derecho de uso exclusivo o no, según corresponda. Como dijimos sin derecho de sublicencia o de cesión a terceros.

– El precio y medio de pago: es primordial como en todo contrato estipular el ámbito económico del mismo para poder reclamar en caso de incumplimiento o poder determinar resarcimientos económicos por daños.

– La confidencialidad: Este tipo de contrato debe ser bajo la más estricta confidencialidad. A nadie le agrada saber que sus datos personales son cedidos a otra empresa diferente a la que uno autorizo que los maneje.

-Responsabilidades: Acá se determinan las responsabilidades de cada uno de los contratantes ante diferentes eventualidades que puedan surgir tales como; el incumplimiento de la ley de protección de datos, la obtención fraudulenta de los datos cedidos, las responsabilidades por incumplimiento de leyes de cookies, spam, acosos, legislación de consumidores, leyes de competencia, la inscripción del fichero cedido, etc, etc.

-Extinción del contrato: se estipulan las clausulas por que se da por terminado el contrato, en todo lo no contemplado en ellas se debe remitir a la legislación pertinente.

-Legislación aplicable: En caso de incumplimiento o de interpretación de alguna de las clausulas se debe estipular cual de las legislaciones será aplicable, en el caso que los contratantes sean de distintas nacionalidades y estén separados geográficamente.

Como siempre recomiendo, si vas a emprender alguna idea, debes asesorarte de  un especialista. Recuerda que las consecuencias pueden ser nefastas para tu modelo de negocio, sino prevés los peligros.

Lo que debes saber sobre datos personales al momento de emprender

innnovar_lopdPor Jorge Luis Garcia Obregon

Muchas ocasiones hemos escuchado; la información es poder,  quien tiene información tiene ventajas, así como frases similares… Pero, ¿Qué hay de cierto? ¿Hasta donde puedes sacar ventaja de la información? ¿Cómo puedes aprovecharla acorde a derecho? Son muchos los interrogantes en torno al tema. Este artículo te explica cómo funciona.

La ley de protección de datos, a nivel mundial, nace como producto de la “propuesta conjunta de estándares internacionales de protección de la privacidad en relación con el tratamiento de datos personales”[1] que fue retomada por el Departamento de Derecho Internacional (DDI) de la Organización de los Estados Americanos (OEA), invitando a los estados miembros a sumarse en este tipo de iniciativas. Por ello a nivel mundial todas estas normativas tienen estrecha relación, pues todas buscan poner un ¡HASTA AQUÍ! al manejo arbitrario que se le estaban dando a los datos personales.

En el campo empresarial, este control estatal da pauta a dos situaciones; El apego a la ley por parte de las empresas que guardan información personal y la oportunidad de negocios de consultorías en materia de protección de datos.

Con respecto a la primera, encontramos que en virtud del giro de sus negocios, actividades y operatividad, las empresas guardan información que la legislación de datos personales clasifica en varios tipos, por ejemplo:Datos personales (puros y simples): los que permiten identificar a una persona natural o jurídica (nombre, ID, dirección, señales particulares, etc.). Datos personales informáticos: Son los mismos datos personales pero tratados a través de medios electrónicos o automatizados. Datos personales sensibles: Conciernen a toda información que revele el origen racial, étnico, filiación política, credo religioso, filosófico o moral, sindical, relativo a su salud o vida sexual, antecedentes penales o faltas administrativas, económicos financieros; así como información crediticia y financiera… en fin todos los que puedan dar lugar a una discriminación.Datos personales relativos a la salud: por ejemplo los relativos a la salud física o mental de los pacientes que acudan a los profesionales de la salud ó que estén o hubieren estado bajo tratamiento de aquellos, respetando el secreto profesional. Datos personales comerciales: son datos sensibles de las Empresas las bases de datos de clientes, proveedores y recursos humanos, para fines de publicidad y cualquier otros datos que se consideren información comercial o empresarial reservada fundamentalmente para el libre ejercicio de sus actividades económicas.

Ahora que establecimos cuales son los datos personales, piensa un momento ¿cuánta información de este tipo maneja una empresa? ¿Cuántos titulares de estos derechos te dieron autorización para manejar su información personal? ¿Qué pasa si no me dieron autorización?

La información de este tipo que una empresa maneja es significativamente enorme, por ejemplo; los datos personales de tus trabajadores, los que entrevistas como candidatos a trabajos, tus clientes, tus proveedores, entre otros… Seguro no te han dado ninguna autorización para que la manejes ¿verdad? No sabías que debías tenerla y ahora lo más seguro es que tendrás una gran multa si uno de ellos se queja ante la Entidad encargada de la Protección de Datos en tu país. Estas emprendiendo, buscando como salir adelante con financiamiento y sacrificios. Pero ¿una multa? ¡Sí tendrás una multa por contrariar la ley!

Para evitar este tipo de multas debes buscar un asesor en la materia que te ayude a poner en orden todo ANTES DE… Pues, se puede evitar y estas en la obligación de hacerlo.

Lo primero que hará el experto es clasificar el tipo de información que manejas; datos de colaboradores, tus clientes, tus suscriptores – si es algún emprendimiento de plataforma virtual -, proveedores, etc.

Lo segundo, es inscribir tus ficheros[2] ante la Entidad encargada de la Protección de Datos en tu país.

En tercer lugar elaborará todos y cada uno de los documentos de soporte que le pida la Entidad encargada de la Protección de Datos, los contratos, formularios de autorización de manejo de datos personales que debes tener para tus proveedores, trabajadores, colaboradores y demás personas que les manejes tus datos personales.

En cuarto lugar, actualizará los ficheros y los clasificará para que se resguarde la información como debe ser…

Quinto, realizará una auditoría donde valoré tus debilidades, a fin de reforzar en ese aspecto y poder evitar cualquier contingencia.

Por último, evaluará tu website. Validará si cumple con las condiciones mínimas de ley, como el famoso “Aviso Legal” “Políticas de privacidad” o mejor dicho aquel gran testamento que todos vemos en las páginas de internet, que nadie lee y solo le damos “I Agree” ó “acepto”.

Como segunda pauta, tenemos la oportunidad de negocios de consultorías en materia de protección de datosque se pueden desarrollar. Este nicho es muy prometedor y requiere una preparación muy técnica.

Quien se dedique a ello debe conocer perfectamente la ley de protección de datos, estudiar el derecho comparado y casos relevantes en otros países, estar en constante evaluación y autoanálisis. Pues de algo, hay que estar claro y es que ninguna empresa es igual a otra, menos en la parte administrativa.

Si te piensas dedicar a desarrollar este negocio, actualízate y ofrécelo cuando estés sumamente preparado. Pues, si por un error involuntario o impericia de tu parte, causas un perjuicio a tu cliente, te puede traer graves problemas legales.

En cambio, si eres muy bueno en ello, verás los resultados en tus bolsillos muy pronto y tendrás un trabajo freelance demasiado enriquecedor. ¡Te lo digo por experiencia!

[1] Documento elaborado en el marco de la “Conferencia Internacional de las Autoridades de Protección de Datos y Privacidad”, que se celebra anualmente y reúne a las autoridades de más de 50 países pertenecientes a todos los continentes.

[2] Así se les llama a formularios y archivos donde se clasifica la información que manejas

Fuente de la imagen: Euroinnova Business School. Artículo originariamente publciado en revistamprende.com.

Análisis de las medidas de seguridad recogidas en las diferentes legislaciones iberoamericanas

comparado_medidas_seguridad

Por Dulcemaría Martínez Ruíz

Para garantizar el adecuado tratamiento de los datos personales, uno de los elementos más importantes para cumplirlo y alcanzarlo son las medidas de seguridad, las cuales y como encontramos en diversas legislaciones iberoamericanas, no solo se refieren a elementos técnicos o informáticos, sino que se refieren también a elementos administrativos o físicos que permitan la protección de los datos personales y que eviten la pérdida, alteración, destrucción, acceso, uso o tratamiento no autorizado.

Por lo anterior, las medidas de seguridad en materia de datos personales pueden ser clasificadas legalmente y conforme lo establece la legislación mexicana en la materia, de la siguiente manera[1]:

  • Administrativas: incluyen la gestión, soporte y revisión de la seguridad, de la identificación y clasificación de la información, así como la formación y capacitación del personal.
  • Técnicas: actividades, controles o mecanismos con resultado medible que se valen de la tecnología para asegurar que el acceso a las bases de datos o información en formato lógico.
  • Físicas: acciones y mecanismos físicos o tecnológicos que previenen el acceso no autorizado, el daño o interferencia a instalaciones físicas, áreas críticas de la organización, equipo e información; que protegen los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones de la organización; que proveen mantenimiento a los equipos; y las que garantizan la eliminación de datos de forma segura.

Ahora bien, realizando un viaje por algunas de las legislaciones que en materia de datos personales existen en Iberoamérica, nos encontramos con el hecho de que en términos generales se establece la obligación para el responsable, encargado o usuario de los archivos de datos de adopte las medidas se seguridad técnicas, administrativas o físicas, que le permitan garantizar la seguridad y confidencialidad de los datos personales, evitando con ello riesgos o usos, accesos y tratamientos no autorizados o fraudulentos.

Elementos o condiciones de seguridad

En algunas legislaciones como la mexicana[2] y la costarricense[3], se establece que para el establecimiento de las medidas de seguridad los responsables no adoptarán medidas de seguridad menores a las que utilicen para su propia información o los que sean adecuados a los desarrollos tecnológicos o mecanismos de seguridad adecuados.

Para lo anterior, el esquema de implementación de las medidas de seguridad consiste en la adopción de ciertos elementos y características generales que se irán adecuando a las necesidades de las empresas, organizaciones o modelos de negocio de los que se trate.

Citando lo establecido en las mencionadas legislaciones de México y Costa Rica, para determinar las medidas de seguridad el responsable o en su caso, encargado del tratamiento deberá considerar al momento de determinar las medidas de seguridad aplicables a cada organización:

(i)     El riesgo inherente por tipo de dato personal.

(ii)    La sensibilidad de los datos personales tratados.

(iii)   El desarrollo tecnológico.

(iv)   Las posibles consecuencias de una vulneración para los titulares.

(v)    El número de titulares de datos personales.

(vi)   Las vulnerabilidades previas ocurridas en los sistemas de tratamiento.

(vii) El riesgo por el valor potencial (cuantitativo/ cualitativo) que pudieran tener los datos personales tratados para terceras personas no autorizadas.

(viii) Los factores que puedan incidir en el nivel de riesgo o que provengan de otra legislación aplicable al responsable.

Una vez definidas las medidas de seguridad por parte del responsable, para garantizar su cumplimiento, ejecución y seguimiento, a su vez, el responsable deberá considerar acciones tales como[4]:

(i)  Descripción detallada del tipo de datos tratados y almacenados.

(ii) Inventario de datos personales, sistemas de tratamiento e infraestructura tecnológica utilizada.

(iii) Determinar las funciones y obligaciones de las personas que traten datos personales.

(iv) Análisis de riesgos de los datos personales.

(v) Establecer las medidas de seguridad aplicables a los datos personales e identificar las implementadas efectivamente.

(vi) Análisis de brecha (diferenciación entre medidas de seguridad existentes y las faltantes).

(vii) Plan de trabajo para implementar las medidas de seguridad faltantes (análisis de brecha).

(viii)  Efectuar revisiones o auditorías.

(ix) Capacitar al personal que efectúa el tratamiento de los datos personales.

(x) Realizar un registro de los medios de almacenamiento de los datos personales.

(xi) Actualizar las medidas de seguridad en caso de realizar procesos de mejora o modificaciones sustanciales en el tratamiento, o cuando se vulneren los sistemas de tratamiento o se efectué alguna afectación a los datos personales.

Adicional a lo anterior, México ha emitido las Recomendaciones en materia de seguridad de datos personales y mediante las cuales, se exhorta a los responsables y en su caso, encargados, para que adopten un Sistema de Gestión de Seguridad de Datos Personales basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).

Con dichas Recomendaciones se pretende facilitar a los responsables el contar con una guía que les permita mantener vigente el cumplimiento de la legislación y fomentar las buenas prácticas en materia de datos personales.

Por otra parte, existen otro tipo de legislaciones que a diferencia de la mexicana y/o la costarricense catalogan los datos personales o las medidas se seguridad en niveles y en base a los mismos, establecen o enuncian los diferentes parámetros o elementos que permitan garantizar la seguridad de los datos personales.

Ejemplo de lo anterior lo encontramos en la legislación argentina, ya que en la Disposición 11/2006 sobre las Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados[5], se clasifican las medidas de seguridad en tres niveles:

(i) Nivel básico: archivos, registros, bases y bancos de datos que contengan datos de carácter personal.

Las medidas de seguridad aplicables a este nivel deberán estar contenidas al interior de las organizaciones en un Documento de Seguridad, el cual, deberá contener al menos lo siguiente:

  1. Funciones y obligaciones del personal.
  2. Descripción de archivos con datos personales y de los sistemas de información que los tratan.
  3. Rutinas de control para el ingreso de datos y las acciones a seguir ante los errores detectados, esto a efectos de su corrección.
  4. Registro de incidentes de seguridad.
  5. Procedimientos para efectuar copias de respaldo y de recuperación de datos.
  6. Relación de sistemas de información y usuarios autorizados, así como de los procedimientos de identificación y autenticación de dichos usuarios.
  7. Controles de acceso de usuarios a datos y recursos para efectuar sus tareas.
  8. Medidas preventivas que impidan amenazas de software malicioso.
  9. Procedimiento para la gestión de soportes.

(ii) Nivel medio: archivos, registros, bases y bancos de datos (1) de empresas privadas que desarrollen actividades de prestación de servicios públicos, o (2) de entidades que cumplan una función pública y/o privada mediante la que deban guardar secreto bancario.

Además de las medidas de nivel básico, deberán establecer las siguientes:

  1. Instructivo de seguridad que identifique al Responsable de la Seguridad.
  2. Auditorías (internas o externas).
  3. Limitar los accesos reiterados no autorizados al sistema de información.
  4. Control de acceso físico al local en donde se encuentre el sistema de información.
  5. Registro de entradas y salidas de los soportes informáticos (gestión de soportes).
  6. Registro de incidentes de seguridad.

(iii) Nivel crítico: archivos, registros, bases y bancos de datos personales sensibles.

Contendrán las medidas aplicables para el nivel básico y el medio, así como las siguientes:

  1. Distribución de soportes con cifrando de datos o mecanismo similar.
  2. Registro de accesos que indique quien y cuando accedió, y si el acceso fue autorizado o denegado.
  3. Copias de resguardo externas situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria.

Otro país que sigue un sistema similar en cuanto a la implementación de las medidas de seguridad, es Perú, ya que tanto en el Reglamento de la Ley de Datos Personales como en la Directiva de Seguridad de la Información, establecen diferentes niveles de datos personales y sus correspondientes medidas de seguridad.

Tal es el caso que la Directiva de Seguridad de la Información de Perú establece los lineamientos para determinar las medidas de seguridad mediante un sistema de categorización más complejo y detallado que en el caso de Argentina, ya que para cada grupo se consideran variables sobre (i) el tipo de dato; así como variables cuantitativas relacionadas con (ii) el número de personales respecto de las cuales se maneja la información y (iii) el número de datos personales que son contenidos o tratados en cada base de datos.

Es así que por ejemplo, dentro del nivel básico se consideran los bancos de datos que:

(i) No contengan información de más de 50 personas.

(ii) El número de datos personales no sea mayor a 5.

(iii) No contengan datos sensibles.

(iv) Tengan como titular a una persona natural.

Considerando la categoría antes mencionada, en total la Directiva establece los niveles básico, simple, intermedio, complejo y crítico.

Dependiendo del nivel o categoría del banco de datos de que se trate, le corresponderá la aplicación e implementación de ciertos requisitos o criterios, los cuales a su vez se dividen en medidas de seguridad relacionadas con:

(i) Requisitos de seguridad.

(ii) Medidas de seguridad organizativas y jurídicas.

(iii) La protección del banco de datos contra acceso físico o lógico no autorizado.

(iv) La autorización, asignación, retiro e identificación de acceso de usuarios.

(v) La pérdida del banco de datos.

Vulneraciones a la seguridad

De manera relacionada a las medidas de seguridad, las distintas legislaciones contemplan el hecho de que en caso de que lleguen a existir vulneraciones a la seguridad durante el tratamiento de los datos, los responsables tendrán la obligación de informar de manera inmediata al titular (en el caso de México, Uruguay y Costa Rica) o a la autoridad competente (en el caso de Colombia).

Lo anterior, con la finalidad de que el titular pueda tomar las medidas necesarias o prudentes en defensa de sus derechos y/o de que las autoridades puedan ejercer las acciones que permitan efectuar las investigaciones o procedimientos judiciales o administrativos que correspondan.

En México y en Costa Rica se establece que en los casos de que se tenga alguna vulneración a la seguridad, el responsable deberá informar sobre la misma al titular y que dicha información deberá contener al menos la siguiente información[6]:

(i) La naturaleza del incidente.

(ii) Los datos personales comprometidos.

(iii) Las recomendaciones al titular para que pueda proteger sus intereses.

(iv) Las acciones correctivas realizadas de forma inmediata.

(v) Los medios donde puede obtener más información al respecto.

Consideraciones finales

Como hemos analizado, en los países de Iberoamérica el establecimiento de las medidas de seguridad se basa en dos vertientes, la primera en donde se establecen elementos mínimos o comunes que serán aplicables a cada organización, es decir, consistentes en parámetros o recomendaciones base; y la segunda, en la que se clasifican los tipos de datos y a cada tipo de datos se le asignan medidas de seguridad específicas.

Lo anterior nos lleva a preguntarnos cual vertiente será más eficiente y sencilla de aplicar, entender y garantizar por parte de los responsables, o si la combinación de elementos y mejores prácticas de cada una nos puede llevar a un mejor diseño y armonización de las medidas de seguridad.

Al final de cuentas y tal y como lo menciona Daniel Solove en el artículo “Data Security Is an Art, Not Just a Science”[7], la seguridad de los datos personales implica un delicado balance de distintas cuestiones, tales como el nivel de riesgo, la cantidad de datos protegidos por persona, el número de personas cuyos datos personales están siendo tratados, los posibles daños o amenazas, costos financieros y de eficiencia de las medidas de seguridad implementadas para reducir el riesgo y las que se relacionen con las características específicas de la industria de que se trate.

Bibliografía

La Ley Federal para la Protección de Datos Personales en Posesión de los Particulares, México, publicada el 5 de julio del 2010, consultada el 20 de marzo de 2014.

Reglamento de la Ley Federal para la Protección de Datos Personales en Posesión de los Particulares, México, publicado el 21 de diciembre del 2011, consultado el 20 de marzo del 2014 .

Ley 25.326 sobre la Protección de Datos Personales, Argentina, promulgada parcialmente el 30 de octubre del 2000, consultada el 22 de marzo del 2014.

Disposición 11/2006 sobre las Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no Estatales y Privados, Argentina, publicada el 22 de septiembre del 2006, consultada el 22 de marzo del 2014.

Ley Estatutaria 1581 para la Protección de Datos Personales, Colombia, dada el 17 de octubre del 2012, consultada el 22 de marzo del 2014.

Decreto 1377 de 2013 por el que se reglamenta parcialmente la Ley 1581 del 2012, Reglamento de Protección de Datos Personales de Colombia, Colombia, dado el 27 de junio del 2013, consultado el 23 de marzo del 2014.

Ley de Protección de la Persona frente al tratamiento de sus Datos Personales, Costa Rica, publicada el 05 de septiembre del 2011, consultada el 23 de marzo del 2014.

Reglamento a la Ley de Protección de la Persona frente al tratamiento de sus Datos Personales, Costa Rica, Publicado el 05 de marzo del 2013, consultado el 23 de marzo del 2014.

Ley de Protección de Datos Personales, Perú, publicada el 03 de julio del 2011, consultada el 24 de marzo del 2014.

Reglamento de la Ley de Protección de Datos Personales, Perú, publicado el 22 de marzo del 2013, consultado el 24 de marzo del 2014.

Directiva de Seguridad de Información, Perú, consultada el 24 de marzo del 2014.

Ley de Protección de Datos Personales, Nicaragua, publicada el 29 de marzo del 2012, consultada el 22 de marzo del 2014.

Ley N° 18.331, sobre la “Protección de Datos Personales y acción de “Habeas Data”, Uruguay, publicada el 11 de agosto de 2008, consultada el 24 de marzo de 2014.

Decreto N° 414/009, que Reglamenta la “Ley de Protección de Datos Personales y acción de “Habeas Data”, Uruguay, publicada el 31 agosto de 2009, consultada el 24 de marzo de 2014.



[1] Artículo 2, fracciones V, VI y VII del Reglamento de la Ley Federal para la Protección de Datos Personales en Posesión de los Particulares, México.
[2] Artículo 60 del Reglamento de la Ley Federal para la Protección de Datos Personales en Posesión de los Particulares, México.
[3] Artículo 10 de la Ley de Protección de la Persona frente al tratamiento de sus Datos Personales, Costa Rica.
[4] Artículos 61 y 62 del Reglamento de la Ley Federal para la Protección de Datos Personales en Posesión de los Particulares, en México y artículos 35 al 37del Reglamento a la Ley de Protección de la Persona frente al tratamiento de sus Datos Personales, Costa Rica.
[5] Disposición 11/2006 sobre las “Medidas de Seguridad para el Tratamiento y Conservación de los DatosPersonales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados”, Argentina.
[6] Artículos 64 al 66 del Reglamento de la Ley Federal para la Protección de Datos Personales en Posesión de los Particulares, México y artículo 39 del Reglamento a la Ley de Protección de la Persona frente al tratamiento de sus Datos Personales, Costa Rica.
[7] Daniel Solove, “Data Security Is an Art, Not Just a Science”, 29 de enero del 2014, consultado el 24 de marzo del 2014.

El porqué de la protección de datos

filosofia_lopd

Por Romina Cabrera Florencia

Estimados lectores, esta vez su humilde servidora redactará un artículo filosófico sobre las razones de la protección de datos personales, en lugar de realizar una investigación técnica-científica sobre el tema.

Adoro realmente en mi ser escribir e investigar sobre Filosofía, y unir estos conceptos dogmáticos al Derecho, como lo he realizado en trabajos anteriores sobre infoética.  Al ser la madre de todas las ciencias, la Filosofía lleva a encontrar caminos al conocimiento impensados; la razón y la introspección pueden llegar a resultados verdaderamente sorprendentes si se aplican con un verdadero gusto por la sabiduría, en la medida en que uno pueda llegar a la verdad o por lo menos a una parte pequeña de ella.

La reflexión metódica que refleja la articulación del conocimiento y los límites de la existencia y de los modos de ser se denomina filosofía. El término, de origen griego, se compone de dos vocablos: philos (“amor”) y sophia (“pensamiento, sabiduría, conocimiento”). Por lo tanto, la filosofía es el “amor por el conocimiento”.

El filósofo, por su parte, es un individuo que busca el saber por el saber mismo, sin un fin pragmático. Se mueve por la curiosidad e indaga acerca de los últimos fundamentos de la realidad. Más allá del desarrollo de la filosofía como disciplina, el acto de filosofar es intrínseco a la condición humana. No es un saber concreto, sino una actitud natural del hombre en relación al universo y a su propio ser.[1]

Al igual que la religión, la filosofía se centra en las cuestiones últimas de la existencia humana. En cambio, a diferencia de la religión, no se basa en una revelación divina o en la fe, sino que lo hace en la razón. De esta forma, la filosofía puede ser definida como el análisis racional del sentido de la existencia humana, tanto individual como colectiva, fundado en la comprensión del ser. Pese a ciertas semejanzas con la ciencia, la filosofía se distancia de ésta ya que muchas de sus preguntas no pueden ser respondidas mediante el empirismo experimental.

En la Antigua Grecia es donde ya por primera vez surgió la citada filosofía. Concretamente la misma apareció a principios del siglo VI a.C en la parte de Jonia, que se encuentra situada en Asia. Un momento y un lugar que, sin duda alguna, marcaron a esta rama del saber pues allí tuvieron lugar algunos acontecimientos fundamentales en la misma.

En concreto, entre esos puntos cúlmenes que hay que subrayar que nos encontraríamos con el establecimiento de cuatro periodos como serían la filosofía presocrática, los sofistas, la ática y la post-aristotélica.

Etapas todas ellas donde tomarán protagonismo grandes pensadores que actualmente siguen estudiándose y que se han convertido en pilares básicos de la historia de la filosofía. Este sería, por ejemplo, el caso de Platón, quien fue seguidor de Sócrates y destacó por realizar numerosas obras donde hizo especial hincapié en lo que es la teoría de las ideas y de las formas.

En concreto lo que determinó con aquella es que cada idea es inmutable y única y que los seres de lo que es el mundo sensible se caracterizan por ser imperfectos y deficientes. Cuestiones todas ellas que adquirieron gran valor entre la filosofía como también lo hizo su conocido mito de la caverna donde analiza en profundidad la diferencia entre realidad y conocimiento.

Además de este pensador también es fundamental en el seno de esta rama que nos ocupa Aristóteles, quien fuera discípulo del anterior. Una figura que está considerada, entre otras cosas, el padre de la Lógica.

La filosofía puede dividirse en diversas ramas. La filosofía del ser, por ejemplo, abarca a la metafísica, la ontología y la cosmología, entre otras disciplinas. La filosofía del conocimiento incluye a la lógica y la epistemología, mientras que la filosofía del obrar se relaciona con cuestiones como la ética.[2]

Las preguntas clásicas de las filosofía ante un interrogante de la vida son: que, por qué, para qué y cómo. En este pequeño trabajo quiero hacer hincapié en las razones por las cuales se debe llevar a cabo una promoción y protección de los datos personales, o sea, el por qué; una proposición interrogativa.

Nuestra vida se ve reflejada en la actualidad en el entorno digital, donde nuestros datos públicos y privados son expuestos en diferentes plataformas tecnológicas, al alcance de todos los usuarios de la red. La privacidad y la intimidad son derechos subjetivos, pero además tienen un valor, que es inherente a la dignidad de la persona humana; respeto a su individualidad, a su desarrollo y crecimiento personal en su permanente intercambio con el medio y sus pares; en la acción social está el manifiesto de la personalidad de las miembros de  una comunidad, y en la actualidad en la llamada aldea global. [3]

El fundamento de proteger la información personal es ése, el respeto a la individualidad de las personas y su desarrollo; y cada individuo debe aprender y decidir datos compartirá con el resto y cuáles no; y conocerlas herramientas para prevenir este tipo de conflictos ( violación de datos personales) y para solucionar posibles menoscabos a la intimidad y a la privacidad.

Sin un verdadero respeto por los datos personales, el Estado de Derecho no tiene fundamento; ninguna democracia puede subsistir ni cumplir sus objetivos, si los ciudadanos no pueden gozar de su libre albedrío en paz y con garantías a su información. La palabra democracia tuvo su origen en dos términos del griego antiguo:   “Demos” -Pueblo y “Kratos”- Gobierno. Si los ciudadanos deciden el destino de su nación, nadie puede menoscabar sus derechos.

Como me enseñó un Gran Maestro y Sabio de la Cultura Griega, Edgardo Troiano,  a los simples mortales , como somos, nos están vedados los placeres y la sabiduría de los dioses; pero a través de la reflexión filosófica podemos llegar a comprender un poco más el mundo que nos rodea, y a través de las revisión de fuentes históricas, aprender de nuestros ancestros y sus costumbres, para mejorar la vida en el presente y en el futuro: más todavía esta vida digital tan veloz en que nos vemos sumergidos, donde la realidad cambia día a día, y no nos llegamos a acostumbrar a las modificaciones tanto técnicas como humanas. Como dice Edgardo, en su carta de Ivo Café, en la ciudad de Mar del Plata, Argentina:” el Dafni es la ambrosía del néctar o  el néctar de los Dioses; lo rescato a nosotros, simples mortales, a través de fuentes históricas como Herodoto y Plutarco, reencarnando a Tántalo”. La sabiduría nos ilumina; la razón nos guía hacia el camino del bien y de la verdad.



[1] http://definicion.de/filosofia/. Fecha de consulta del sitio web: 4/3/2014.

[3] Aldea global es un término que busca describir las consecuencias socioculturales de la comunicación inmediata y mundial de todo tipo de información que posibilita y estimula los medios electrónicos de comunicación. Sugiere que , en especial, ver y oír permanentemente personas y hechos -como si se estuviera en el momento y lugar donde ocurren- revive las condiciones de vida de una pequeña aldea: percibimos como cotidianos hechos y personas que tal vez sean muy distantes en el espacio o incluso el tiempo, y olvidamos que esa información es parcial y fue elegida entre una infinidad de contenido.

El término fue acuñado por el sociólogo canadiense Marshall McLuhan. El concepto aparece varias veces en sus libros The Gutenberg Galaxy: The Making of Typographic Man (1962) y Understanding Media (1964) y probablemente se haya popularizado a partir de estos. En 1968, McLuhan lo utilizó en el título de su libro Guerra y paz en la Aldea Global.

McLuhan se refiere a la Aldea global como un cambio producido principalmente por la radio, el cine y la televisión, medios de comunicación audiovisual que difunden imágenes y sonidos de cualquier lugar y momento y ocupaban un espacio cada vez más importante en el hogar y la vida cotidiana, con una expansión muy significativa en la década anterior1 También la difusión del teléfono, la fotografía, la reproducción y grabación de sonido, la prensa gráfica.

http://es.wikipedia.org/wiki/Aldea_global.  Fecha de consulta del sitio web: 4/12/83

Comienza el XVII Congreso Iberoamericano FIADI

santa_cruz_la_seirra

Por Daniel A. López Carballo

Hoy comienza el XVII Congreso Iberoamericano FIADI 2013. Durante cinco días, expertos del ámbito del derecho y las nuevas tecnologías debatirán sobre diferentes temas en la ciudad boliviana de Santa Cruz de la Sierra.

Entre la diferente temática propuesta por la organización cabe destacar Responsabilidad derivada de las nuevas tecnologías, Tecnologías para el derecho, Protección del consumidor On-line, Biométrica, Redes Sociales, Seguridad de la Información, Spam, phishing, Scam, ISO 27001, COSO, COBIT, Sarban Oxley, así como otros temas de absoluta actualidad.

Durante el Congreso intervendrán diferentes colaboradores de la iniciativa del Observatorio Iberoamericano de Protección de Datos, que impartirán diferentes talleres:

La Federación Iberoamericana de Asociaciones de Derecho e Informática FIADI, nació en 1984, con unos fines concretos, plasmados en los artículos 3 y 4 de sus Estatutos, para servir de órgano de intercambio, difusión, investigación y estudio de todas las incidencias que se produzcan en el campo del Derecho por la evolución de la Tecnología informática.

FIADI es la más antigua asociación académica en la materia y por ello fue pionera y ha constituido el primero y durante mucho tiempo, único de los grandes pilares que han promovido, divulgado e impulsado por iberoamérica el estudio y desarrollo de la informática jurídica y el derecho informático, como institución civil e internacional sin fines de lucro puesta al servicio de los enunciados objetivos.

Desde esa fecha hasta nuestros días ha mantenido una actividad continua y permanente, la más prolongada en el tiempo, de que se tenga noticia, en este campo de actividad, en la región, y en el que juristas informáticos iberoamericanos exponen y comparten sus realizaciones, sus proyectos y sus ilusiones.

En el transcurso de los años, FIADI ha propiciado y dado pautas de continuidad regular a dieciséis Congresos Iberoamericanos de informática y derecho llevados a cabo, en varios países de nuestra extensa y variada comunidad iberoamericana, considerados todos ellos como los eventos mayores de la disciplina, en términos de convocatoria lograda y niveles académicos alcanzados. Además ha apoyado y estimulado la realización de numerosos eventos nacionales e internacionales.

El éxito de estas actividades se debe a que FIADI convocó a los mejores ponentes, los más competentes y capacitados profesionalmente, para compartir los días de estudio y de trabajo, debatiendo los documentos presentados y dando la visión más experta sobre la materia, al contar con el apoyo de los mejores especialistas llegados de las más prestigiosas instituciones, empresas públicas y privadas, multinacionales, doctores, profesores, miembros y catedráticos de las más reconocidas universidades.

FIADI se convirtió en líder de las instituciones en la región, brindando a los países iberoamericanos, a través de sus socios y colaboradores, el impulso, apoyo y asesoramiento que necesitaban para promover y aprobar sus leyes relacionadas con estos temas de la informática y el derecho, al propio tiempo que abrió sus puertas y sirvió de revulsivo para que muchos iberoamericanos y universidades se diesen cuenta de la necesidad imperiosa de entrar en el estudio, investigación y docencia de esta nueva realidad de la informática y el derecho.

Para más información se puede consultar la página web del Congreso.

Los derechos de las personas en relación a sus datos

arco

Por Santa Matilde Reyes Valenzuela

La era de la información está suponiendo grandes ventajas para el desarrollo del individuo y de la sociedad en la cual se desenvuelve; sin embargo, también conlleva potenciales peligros para la intimidad por el uso que pueda hacerse de los datos de carácter personal, ya que en muchas  ocasiones se desconoce cómo han sido obtenidos esos datos y la finalidad de los mismos, ocasionando en ese aspecto importante riesgo para la vida privada y el ejercicio de derechos fundamentales que es lo que pretendemos analizar.

Diferentes derechos  reconocidos a los interesados en el tratamiento de los datos personales.

Cuestiones previas.

El análisis previo de dos temas que, por su valor, no deberían estar excluidos para comprender los derechos de las personas en las cuestiones referentes a la protección de datos de carácter personal, de tal manera que trascienden las fronteras del derecho e involucran al individuo en su vida social; nos referimos a la “privacidad” y la “intimidad”:

a) En cuanto al origen del término privacidad, al parecer no existen acuerdos y varían en cuanto a sus raíces. Para algunos la idea de intimidad nace con la disgregación del feudalismo. Otros afirman que el término intimidad coincide con la rectificación revolucionaria de los derechos del hombre y que de esta manera se ve ligada a la clase social de la época, que es la burguesía). En el ordenamiento jurídico es utilizado el término intimidad como comprensivo a un ámbito restringido de nuestras vidas y que para el derecho europeo se traduce como vida privada.

La intimidad como derecho es la manifestación y reconocimiento jurídico de una necesidad social, que no es más que reconocer un ámbito reservado e inaccesible de todas personas a terceros[1].

Toda persona tiene derecho a que le protejan sus datos, a que estos sean tratados de forma correcta. Si una persona entiende que sus datos no están siendo tratados de forma correcta y cree que deben ser tutelados en sus derechos, puede acudir al órgano de control de cumplimiento de la ley a solicitar que se atiendan sus reclamaciones, que le permitan que se le atienda y en consecuencia hacer efectivo y real el cumplimiento real de la norma por el titular de los datos.

El ejercicio de los derechos que la ley otorga a los ciudadanos se lleva a cabo mediante un procedimiento que se puede definir como “habeas data”, que es el derecho que tiene cada ciudadano para controlar sus datos. Siguiendo a Castillo, una garantía constitucional de reciente creación cuyo objeto es la tutela de los derechos fundamentales derivados de la dignidad y el libre desarrollo de la personalidad bajo el pleno respeto de la vida privada frente al uso indiscriminado de los datos de carácter personal que se hace especialmente vulnerable ante el avance de la tecnología y su aplicación sobre grandes bancos de datos, su significado se concentra en la concepción del bloque de datos de carácter personal cuya defensa corre a cargo del derecho a la autodeterminación informativa.

Siguiendo lo que dice la autora ésta estima el derecho relativo a la protección de datos de carácter personal como una nueva forma de garantizar al ciudadano de una sociedad cada vez mas informatizada el pleno ejercicio de sus derechos fundamentales, el interés del habeas data apunta a evitar que la recopilación y en su caso el tratamiento de esos datos pueda vulnerar el ámbito de lo privado de cada uno de nosotros, dando a conocer a terceros hechos o circunstancias de nuestra vida que no nos interesa que se conozcan mas allá de un determinado limite.

Posición con la cual estamos totalmente de acuerdo porque a la medida que cada ciudadano pueda controlar el uso de sus datos estará más protegido.

El objeto de la protección de datos es garantizar y proteger el tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente su honor e intimidad personal y familiar[2].

Por ello, todo tratamiento de datos de carácter personal efectuado en territorio español estará sometido a la ley orgánica de protección de datos, pero esta ley le otorga derechos a la personas, para que tengan cierto control de sus datos a la hora de ser sometidos a cualquier tratamiento.

Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinado a evaluar determinados aspectos de su personalidad. El afectado tiene igualmente el derecho de impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

El afectado siempre tendrá aquellos derechos que la ley le consagra tales como es el derecho a obtener información del responsable del fichero sobre ciertos criterios de valoración y cómo se van a utilizar sus datos y bajo qué programa se tratarán aquéllos.

En la anterior legislación sobre protección de datos específicamente se contemplaba que el afectado podría impugnar los actos administrativos o decisiones privadas que impliquen valoración de su comportamiento cuyo único fundamento sea un tratamiento automatizado de datos de carácter personal que ofrezca una definición de sus características o personalidad.

El artículo 15.1 de la directiva 95/46/CE dispone que los estados reconocerán a las personas el derecho a no verse sometidas a una decisión con efectos jurídicos sobre ellas o que le afecte de manera significativa, o que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento académico, laboral, crédito, fiabilidad, conducta.

Ese mismo artículo dice en su epígrafe 2 que: Los estados miembros permitirán sin perjuicio de lo dispuesto en los demás artículos que una persona pueda verse sometida a una de las decisiones contempladas en el apartado uno cuando dicha decisión se haya adoptado en el marco de la celebración de un contrato, siempre que la celebración o ejecución del mismo haya sido solicitado por el interesado se hayan satisfecho o que existan medidas apropiadas, como la posibilidad de defender su punto de vista, para salvaguardar el interés legítimo del afectado; o que exista autorización por una ley que establezca medidas que garanticen el interés del afectado.

Mientras que para el tribunal europeo es sumamente importante que existan controles personales cuando se trata de datos, para este alto tribunal es necesario incluso garantizar al individuo una protección adecuada contra la arbitrariedad y para ello considera que la prohibición de acceso a los datos ha de estar prevista en la ley y resulta necesaria para la seguridad nacional en una sociedad democrática, considera que es necesario el equilibrio entre el interés general y los intereses particulares de los afectados por las informaciones.

La persona afectada por el tratamiento de sus datos de carácter personal tiene derecho a solicitar, y más aún, obtener gratuitamente información sobre sus datos sometidos a tratamiento, el origen de los mismos, así como cualquier comunicación que se realice. Pero para ejercitar tal derecho hay que poner ciertos límites y ello por la seguridad jurídica para que la protección de un derecho fundamental no afecte otro derecho de igual o menor rango. En cuanto a los derechos que se les atribuyen a las personas estos tienen un carácter personalísimo y es que sólo las personas físicas podrán ejercer ese derecho que la ley le acredita y los diversos procedimientos para hacerlos.

Estos derechos no dependen uno del otro sino que se pueden ejercitar por separado.

Ejercicio de los derechos ante el encargado del tratamiento

Los interesados tienen la calidad para ejercer sus derechos ante un encargado del tratamiento de sus datos de carácter personal, éste tiene la obligación de trasladar dichos datos al responsable con la finalidad de que resuelva sobre la petición salvo que en la relación entre el responsable y el encargado del tratamiento tengan establecido que este último atenderá por cuenta del responsable las solicitudes de ejercicios por los interesados de sus derechos de acceso, rectificación, cancelación y oposición. En estas circunstancias entonces debe constar en la información que se le facilita al interesado en el momento de recabar sus datos personales o con posterioridad sino se recabaron directamente del mismo, para esto se debe indicar la dirección y los datos del responsable del tratamiento para que la persona puedan ejercer su derecho.

Tratándose de datos especialmente sensibles los responsables de los ficheros deben ser muy cuidadosos en cuanto a su manejo, puesto que son las personas destinadas a garantizar la seguridad en el manejo de dichos datos. El registro general de la protección de datos es el órgano encargado de la AEPD al que le corresponde velar por la publicidad de la existencia de los ficheros, ya sean estos de titularidad pública o privada. Esto es para posibilitar el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición que la ley atribuye a las personas.

Las disposiciones del artículo 13 de la LOPD, que regulan la impugnación de valoraciones fundamentadas exclusivamente en un tratamiento de datos personales, tratan de contrarrestar los efectos perjudiciales que puedan derivarse para un individuo en sus relaciones públicas o privadas de la reconstrucción artificial de su perfil personal en base al tratamiento de sus datos y en numerosas ocasiones simplemente en base a datos estadísticos relativos al grupo social al que pertenece, barrio en el que reside, etc. Por otra parte el perfil informático obtenido a través de dicho tratamiento puede no corresponderse con la realidad.

La transposición del artículo 15 de la directiva 95/46/CE ha supuesto que en la LOPDP se recoja un nuevo derecho no contemplado en la derogada LORTAD: El derecho de la persona a no verse sometida a una decisión con efectos jurídicos que les afecte de forma significativa y que tenga como única base el tratamiento de sus datos, destinados a evaluar determinados aspectos de su personalidad, como ejemplo podrían ser su solvencia patrimonial y crediticia, su rendimiento laboral, su carácter, fiabilidad o, como acabamos de tratar su aptitud genética[3].

Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos, o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad.

El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

En este caso el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizado en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.

La valoración sobre el comportamiento de los ciudadanos basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado[4].

Derecho de consulta al Registro General de Protección de Datos.

La LOPD en su artículo 14 establece el derecho de cualquier persona a conocer, recabando la información oportuna del registro general de protección de datos, la existencia de tratamiento de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento, siendo dicho registro de consulta pública y privada.

Es un derecho de información general que se atribuye a cualquier persona y para el que no se exige acreditar un interés legítimo por ser, además, presupuesto necesario del ejercicio de otro derecho del interesado. La información es de carácter general y se limita a la identidad o razón social del responsable, su dirección postal, el nombre del fichero y su finalidad[5].

Derecho de acceso a los datos de carácter personales.

El derecho de acceso es la potestad que tiene el interesado a obtener del responsable del fichero en cualquier momento que se le suministre las informaciones necesarias y sin restricciones concernientes a sus datos si están siendo tratados o no, dentro de un plazo determinado por la ley que es de tres meses a partir de la recepción de la solicitud y con carácter gratuito.

La Ley Orgánica de Protección de Datos de Carácter Personal establece en su artículo 15 que el derecho de acceso el interesado tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.

Las personas afectadas en la utilización del tratamiento de sus datos podrán obtener información por la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objetos de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin que para ello se pueda utilizar claves o códigos que requieren el uso de dispositivos mecánicos específicos.

El derecho a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a 12 meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.[6]

El derecho de acceso ha sido definido por MURILLO DE LA CUEVA como el que concede al interesado la posibilidad de comprobar si se dispone de información sobre uno mismo y conocer el origen del que procede la existencia y la finalidad con que se conserva. Del mismo modo el derecho de acceso conlleva la facultad de exigir y obtener una comunicación escrita en la que consten los anteriores extremos. También el artículo 27.1 del RD 1720/2007, de 21 de diciembre, que aprueba el Reglamento de desarrollo de la LOPD, define el mismo como el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos[7].

El derecho de acceso también es conocido como Habeas Data y forma parte del contenido esencial del derecho a la protección de datos personales. Se consagra en el artículo 15.1 LOPD que señala “el interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, así como las comunicaciones realizadas o que se prevén hacer de los mismos”.

El derecho de ser titular de esos datos no da lugar a que cada vez que se le ocurra investigar respecto a ello podrá ejercerlo, sino que la ley otorga un plazo y en esto se diferencia de lo que señalaba la directiva 95/46/CE en su artículo 12 y el convenio 108 del Consejo de Europa, que establecía un plazo razonable, dejando a la imaginación de cada individuo que puede ser un plazo razonable. Ahora bien la LOPD en su artículo 15.3 establece un plazo de 12 meses, a menos que el interesado tenga un interés legítimo, término que también se entiende es muy amplio porque habrá que analizar qué entiende el interesado por interés legítimo. Autores como APARICIO SALOM establecen que habrá interés legítimo si el interesado acredita la existencia que los datos sometidos a tratamiento son más de los que conoce en virtud del acceso ya ejercido, sino es así entonces el responsable del tratamiento podría denegar la solicitud, dado que la ley en este aspecto no lo distingue; planteamiento con el cual nos identificamos puesto que la ley deja abierto ese campo de qué hacer en caso de que el interesado no demuestre la existencia de tal interés. En ese caso el encargado del tratamiento o bien puede denegar la petición o pedir una indemnización por los gastos que significa la satisfacción de dicha petición[8].

La Agencia Española de Protección de Datos se ha pronunciado en ese sentido estableciendo en su resolución número 00320/2007 que declara que el responsable del fichero debe contestar toda solicitud que le dirija un interesado con independencia de que figuren o no sus datos, y para esto la LOPD establece un plazo de un mes para emitir dicha contestación. Si el responsable del fichero o tratamiento no responde a dicha solicitud es posible que la AEPD en un procedimiento de tutela de derecho lo requiera, aunque no disponga de datos personales del interesado.

Entendemos que esto se debe al nivel de garantía que la ley otorga a cada ciudadano para conocer si sus datos personales están siendo tratados o no, y en ese sentido los responsables de los ficheros o tratamiento deben ser los más interesados en dar una pronta respuesta, porque la carga de la prueba le toca aportarlas a los responsables de los ficheros o encargados del tratamiento.

Los interesados tienen derecho a no verse afectados por la persona que realiza el tratamiento de sus datos.

Se ha de entender que el interesado de los mismos tiene conocimiento de que sus datos están siendo objeto de tratamiento, pero no en todo caso es así porque puede suceder, que los datos no hayan sido suministrados por el titular de los mismos, sino que estos sean recogidos por cuenta de tercero, y aun habiendo prestado su consentimiento éste tiene todo el derecho de tener acceso a esos datos, para verificar que sean exactos y el objeto del tratamiento; si realmente están siendo tratados con la finalidad para la cual fueron recogidos.

Derecho de rectificación y cancelación.

Estos derechos que forman parte de los derechos de las personas se encuentran establecidos dentro del art. 16.2 de la LOPD y vienen a ser reconocidos en el caso de que el tratamiento de datos de carácter personal no se ajuste a lo dispuesto en la ley y en el caso que esos datos resulten inexactos o incompletos. A la hora de definir estos derechos podemos decir de ellos que son:

a) Derecho de Rectificación. Derecho del afectado a que se modifiquen los datos que resulten inexactos o incompletos. Es la posibilidad que el interesado exija del responsable del tratamiento que cumpla con el principio de calidad de los datos, cuando estos sean erróneos o incompletos.

b) Derecho de cancelación. Éste da lugar a que se supriman los datos que resulten inadecuados o excesivos.

La persona interesada tiene derecho a invocar la facultad que la ley le otorga para revocar el consentimiento previamente prestado para el tratamiento de sus datos puesto que en los artículo6.3 de la LOPD establece que el consentimiento podrá ser revocado cuando exista causa justificada para ello y no se atribuya efecto retroactivo, y en el artículo11.4 de esta misma ley que expresa que el consentimiento para la revocación de los datos de carácter personal tiene también un carácter revocable.

Aunque ambos derechos se encuentren articulados en forma conjunta se trata de dos derechos totalmente diferentes ya que en un caso lo que se busca es que los datos que figuran en un fichero de forma inexacta o errónea sean rectificados y con la cancelación lo que se pretende es eliminar del fichero aquellos datos que no deban figurar en él, ya sea porque nunca debieran ser registrados o porque habiéndose recogido legalmente por diversas causas se exija que sean suprimido del fichero.

El responsable del tratamiento de datos tiene la obligación de informar en el plazo de 10 días, también el deber de notificar al afectado en el plazo de los 10 días siguientes a la recepción de la solicitud del afectado en el uso de sus datos.

La Agencia Española de Protección de Datos está para velar para que los ciudadanos afectados tengan una tutela efectiva de sus derechos; hay que señalar que la AEPD no resuelve los conflictos litigiosos sino que tendrían que instrumentar sus demandas ante el tribunal Contencioso Administrativo cuando se trate de un fichero de titularidad pública y así lo deja claro el tribunal supremo en su jurisprudencia en una Sentencia de la Audiencia Nacional del 28 de septiembre del 2005 (rec. 994/2003) que dice que la discrepancia de la reclamante frente a los movimientos de las cuentas corrientes y determinadas vicisitudes del contrato de préstamo, de modo alguno albergan la convicción de que la AEPED tiene la potestad para dirimir los conflictos. Pero si los conflictos no se pueden resolver ante la AEPD entonces deben ser resueltos ante los tribunales competentes, que sería el Contencioso Administrativo en caso de administraciones públicas y el Tribunal de lo Civil para los ficheros de titularidad privada.

Para ejercer dichos derechos aquellas personas que sean afectadas en el tratamiento de sus datos deben hacer la solicitud indicando cuáles derechos quieren que se les rectifiquen, y eso debe ir acompañado de la correspondiente documentación que justifique lo solicitado. Así lo regula el la LOPD en su art. 16 y RLOPD como se había dicho anteriormente. Los encargados de los tratamientos de datos personales disponen de un plazo de diez días para dar respuesta al solicitante, ya sea que tenga datos en el fichero o aunque no posea ningún datos de éste, el deber es dar una respuesta en virtud de los derechos que tienen dichas personas para saber si sus datos están siendo tratados o no.[9]

Siguiendo lo que establece Vizcaíno Calderón, que en sus apreciaciones considera que “el responsable del tratamiento deberá hacer efectivo el derecho de rectificación o cancelación en el plazo de 10 días, lógicamente desde que el responsable reciba la solicitud del interesado. Pero dice el autor que la ley estipula el plazo de los 10 días para cuando el interesado ejerce su derecho, pero no establece plazo alguno para el caso de que tal rectificación o cancelación deban llevarse a cabo de oficio, por el responsable del fichero al advertir la inexactitud, o que ya los datos no se necesitan; en este caso debe entenderse que las obligaciones deben cumplirse en un plazo razonable”.

 Estamos absolutamente de acuerdo que esta ley tiene diferentes artículos que hablan del principio de calidad de los datos, y que estos deben ajustarse a el principio de calidad de los mismos; si estos no están acorde al referido principio entonces los interesados que se vean afectados en este sentido pueden ejercer la acción que la ley le otorga en el caso de que sea de oficio; también se debe proceder en virtud de este mismo principio[10].

La legislación Española en la Ley Orgánica de Protección de Datos, en su artículo 16, Ordinal 3, establece que la cancelación dará lugar al bloqueo de los datos, conservándose en exclusiva a disposición de las administraciones públicas, jueces y tribunales para las posibles reclamaciones o responsabilidades nacidas del tratamiento, mientras permanezca el plazo de prescripción de éstas; vencido el citado plazo deberá procederse a la supresión de dichos datos. Cabe señalar que el bloqueo de los datos sólo es para estos casos en particular ya que en los demás caso la cancelación significa que hay que suprimirlos en forma definitiva.

Debemos entender que cuando se refiere a bloqueo significa que se deben conservar los datos impidiendo su tratamiento, pero sin impedir su desaparición física.

Esta legislación prevé normas limitadas en algunos casos para ejercer el derecho de acceso, rectificación, cancelación y oposición, y nos plantea los siguientes casos:

a) los responsables de los ficheros automatizados podrán denegar esos derechos a los interesados cuando se trate de ficheros perteneciente a la fuerza y seguridad nacional ya que puede implicar un peligro para la defensa del Estado y por ende para velar por la seguridad nacional; igual derecho a no permitir el acceso se le otorga a la hacienda pública sobre todo si ésta obstaculiza alguna inspección que se le esté realizando a la persona interesada. Estas limitaciones se encuentran establecidas en la LOPD. El Convenio 108 del Consejo Europeo, en su artículo 9.2, establece que será pasible de establecer excepciones a los derechos de los afectados cuando constituya una medida necesaria, en una sociedad democrática para proteger los intereses del estado.

Entendemos que un derecho fundamental no puede violar otro sino que el estado es el garante de que funcionen de manera conjunta todos los derechos en igualdad de condiciones y para eso prevé la tutela efectiva de los mismos.[11]

Derecho de oposición.

Se conoce por derecho de oposición el que se reconoce a todo afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o el cese del mismo.

El artículo 6,4 de la Ley Orgánica de Protección de Datos establece que en los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse al tratamiento o cuando existan motivos fundados relativos a una concreta situación personal, en tal supuesto el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

Entiende el autor que la ley debería referirse al derecho de oposición en sentido más estricto (oponerse al tratamiento de todos los datos) como en un sentido más amplio (oponerse a que se traten algunos de los datos personales, pero no todos) ya que muchos supuestos en que no es necesario el consentimiento para el tratamiento son aquellos en que existe una relación contractual que sin el tratamiento de los datos no podría seguir llevándose a cabo.[12]

El Título III “Sobre los derechos de las personas” regula separadamente el derecho de acceso en el artículo 15 y el derecho de rectificación y cancelación en el artículo 16, si bien no dedica precepto alguno al derecho de oposición, al que sólo alude en el artículo 17 mencionando que junto con los otros tres será objeto de norma reglamentaria en cuanto al procedimiento para su ejercicio.

A resultas de todo ello, el llamado derecho de oposición está huérfano de regulación general, tanto a nivel de normas sustantivas como al de disposiciones reglamentarias que regulen el procedimiento para su ejercicio[13].

Los procedimientos para ejercitar el derecho de acceso, así como el de rectificación y cancelación serán establecidos reglamentariamente.

No se exigirá contraprestación alguna por el ejercicio de los derechos antes mencionados[14].

De conformidad con el procedimiento establecido en el artículo 25 RDOPD, el derecho de oposición se ejercerá mediante petición dirigida al responsable del fichero.

Cuando el derecho de oposición se realice con base a la letra a) del artículo 34 deberán contar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado, que justifican el ejercicio de este derecho (art. 35.1 RLOPD).

El responsable del fichero resolverá sobre la solicitud en el plazo máximo de 10 días a contar desde la recepción de la solicitud disponga o no de los datos del interesado. Transcurrido este plazo sin que de forma expresa se responda a la petición de cancelación, ésta podrá entenderse desestimada y el afectado podrá interponer reclamación ante la AEPD (artículo 35.2 RLOPD).

Estimada la petición de oposición el responsable del fichero o tratamiento deberá excluir del tratamiento los datos relativos que figuren en dicho fichero en alusión al afectado que ejercita el derecho de oposición. Si se desestima la solicitud del interesado en el plazo de diez días la denegación deberá estar motivada y fundada, bien porque el interesado no ha acreditado una concreta situación personal que justifique la oposición de sus tratamientos personales o porque una ley ampara al responsable del fichero o tratamiento en su denegación de la oposición, permitiéndole proseguir con el tratamiento de los datos personales pese a la oposición del interesado[15].

Es cierto que a este derecho no se le hacen apartados como a los demás derechos, como es el caso del derecho de acceso, rectificación y cancelación; no dejan de estar detallados de formas claras en artículos anteriores de LOPD. Si buscamos en la referida ley en los artículos, 6.4, 28.2 y 30.4 se encuentra reflejado de forma específica.

El artículo 30.4 establece que los interesados tendrán derecho a oponerse, previa petición sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquel a su simple solicitud.

La LOPD en su artículo 28.2 establece que los interesados tienen derechos a que la entidad responsable del mantenimiento de los listados de los colegios profesionales indique gratuitamente que sus datos personales no puedan utilizarse para fines de publicidad o prospección comercial.

Y en su artículo 6.4 prevé lo siguiente: en los casos en que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal y siempre que una ley no disponga lo contrario, este podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos a una concreta situación personal, en tal supuesto el responsable del tratamiento excluirá los datos relativos al afectado. Es en estos sentidos que entendemos que el derecho de oposición se encuentra manifestado de forma concreta en la legislación.


[1] REBOLLO DELGADO, Lucrecio. “Vida Privada y La Protección de Datos. En la Unión Europea”. Editorial DYKINSON, Madrid 2008, p. 30, 31.
[2] DEL CASTILLO VASQUEZ, Isabel. Protección de datos: Cuestiones constitucionales y administrativas, El derecho de saber y la obligación de callar. Madrid. 2007. Ed. Aranzadi, p.42.
[3] GARRIGA DOMÍNGUEZ, Ana. “Tratamiento de Datos…”, ob. cit., p. 129.
[4] GARCIA BUISAN, Nieve; LESMES SERRANO, Carlos. “La Ley de Protección…”, ob. cit., p.335.
[5] VERDAGUER LOPES, Jordi y VESGAS JANÈ, Ma. Antonia. “Todo, protección…”, ob. cit., p.141.
[6] Ley Orgánica de Protección de Datos Personales, 15/1999, de 13 de Diciembre (BOE).
[7] GARCÍA BUISAN, Nieve. Coordinador LESMES SERRANO, Carlos “La Ley de Protección…”, ob. cit., pp. 342 -344.
[8]GUERRERO PICO, María del Carmen. El impacto del internet en el derecho fundamental a la Protección de datos de carácter personal. Madrid 2004. Editorial Aranzadi.  p. 294-296.
[9] VERDAGUER LOPEZ, Jordi y BERGAS JANES, Ma, Antonia. “Todo, protección…”, ob. cit., p.146-147.
[10] VIZCAÍNO CALDERON, Miguel. “Comentario a la ley orgánica…”, ob. cit., pp. 204.-205.
[11] Ley orgánica de protección de datos artículo 16.3. También GARRIGA DOMÍNGUEZ, Ana, Tratamiento de datos personales…”, ob. cit., pp. 132.133.
[12] VERITAS FORMACION, Bureau. “Ley de protección…”, ob. cit., p. 129.
[13] VIZCAÍNO CALDERÓN Miguel. “Comentario a la ley orgánica…”, ob. cit., p.209.
[14] La ley Orgánica de Protección de Datos de Carácter Personal Artículo 17 (BOE de14 de Diciembre de 1999).
[15] VERDAGUER LÓPEZ, Jordi y BERGAS JANÈ, Ma. Antonia. “Todo, protección…”, ob. cit., p.155.

La importancia de la protección de los datos personales hoy

dat_arg

Por Ines Tornabene

Asistimos en los últimos años a una verdadera revolución tecnológica, con características particulares. El paradigma comunicacional previo a la era digital ha sido puesto en jaque, pero con una particularidad: el dinamismo perpetuo. El avance tecnológico no cesa, no hubo en los últimos años ninguna meseta donde pararnos y observar el surgimiento de un nuevo paradigma con algún signo de estabilidad, sino que cada día los hechos en el mundo de las tecnologías de la información y la comunicación se van sucediendo sin respiro.

Por su parte, se perfila en el mundo del derecho una tendencia generalizada a reemplazar el uso de términos adjetivantes como «informático» -para el derecho informático, por ejemplo- o «electrónico» -para gobierno electrónico- por el sustantivo «información». No se trata solo de una cuestión semántica, se trata de dónde poner el énfasis, si en el medio tecnológico o en el objetivo-fin del uso de las nuevas tecnologías. Así, comenzamos a repensar que esta «rama» -por cierto, recorte arbitrario a efectos didácticos más que prácticos- del derecho tenemos que verla y pensarla como la forma en que aplicamos la ciencia jurídica al fenómeno de la información.

Basta con ver el valor que tienen en el mercado las empresas cuyo capital es únicamente la información para entender el valor económico de la misma. Empresas como Google, Yahoo, Facebook, etc., carecen de un contenido propio, se nutren con los datos que día a día le aportamos sus usuarios y, a la fecha, ni siquiera pueden garantizarnos nuestra privacidad.

En los últimos días se ha conocido la forma de espionaje llevada a cabo por la NSA del gobierno de los Estados Unidos a través de las declaraciones de un excontratado.La noticia no fue sorpresa para quienes nos dedicamos desde hace años a velar por la protección de los datos personales, ya que desde que entrara en vigencia la ley conocida como CISPA, ninguna de las empresas mencionadas está en condiciones de garantizar privacidad de los datos a sus usuarios, ya que el gobierno de los Estados Unidos detenta la facultad suprema de acceder a los datos de cualquier usuario para prevenir ataques terroristas.

Las organizaciones que luchan en los Estados Unidos por la vigencia del derecho a la privacidad y resguardo de las garantías y libertades personales defienden a sus ciudadanos. Pero esa defensa nunca podrá alcanzar, tal como están planteadas las cosas, a contemplar a los ciudadanos del resto del mundo.

En un artículo del Lic. Eduardo Peduto, director del Centro de Protección de Datos Personales, que apareció recientemente en el blog de dicho organismo, se expresa: «En ese contexto, no resulta extraña la denuncia efectuada por el ciudadano estadounidense Edward Snowden de la existencia de un programa secreto conocido como PRISM, que permite a la Agencia Nacional de Seguridad de los EE. UU. ingresar directamente en los servidores de nueve de las mayores empresas de Internet estadounidenses, como Google, Facebook, Microsoft o Apple, para espiar contactos en el extranjero de sospechosos de terrorismo o interceptar y leer y ver los millones de correos electrónico, vídeos, chat de voz, fotos, direcciones IP, notificaciones de inicio de sesión, transferencia de archivos o detalles sobre perfiles en redes sociales que se producen diariamente en el mundo.

»Los que desempeñamos funciones estatales en materia de protección de datos personales -cuyo fundamento es el respeto absoluto a la privacidad e intimidad de toda persona- no podemos menos que observar una seria preocupación frente a una acción estatal de esta naturaleza. Es una cuestión que no admite eufemismo alguno: se trata de la violación absoluta de derechos humanos elementales.El ritmo vertiginoso de las tecnologías de información y comunicación, las posibilidades de comunicarse en tiempo real con cualquier parte del mundo, la posibilidad de ver a alguien querido en forma inmediata pese a que se halle a miles de kilómetros, es probable que, quizás por la fascinación que produce, nos haga olvidar de los derechos de que gozamos, permitamos que se los banalice o, peor aún, que en aras del progreso y amparados en la falacia de “algún costo hay que pagar” seamos nosotros los que incurramos en su banalización. El programa PRISM -como seguramente otros similares cuya existencia aún desconocemos- nos clasifica a los ciudadanos del mundo como objetos y no sujetos de derecho y nos adjudica el rol de cautivos en una prisión virtual donde los carceleros tienen derecho a leer, interceptar o censurar toda correspondencia o comunicación que recibamos o que pretendamos enviar o emitir».

Con este panorama, los juristas nos vemos obligados a pensar y repensar conceptos, para encontrar los caminos que más se adecuen a la defensa de los bienes jurídicamente tutelados, y que, en este caso, son derechos humanos de primerísima generación.

I.PRIVACIDAD E INTIMIDAD

La Real Academia Española (RAE) define el término «privacidad» como el «ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión». Por su parte, define el adjetivo «privada» (utilizado en la definición de privacidad) como algo «que se ejecuta a vista de pocos, familiar y domésticamente, sin formalidad ni ceremonia alguna».

Sin embargo, semánticamente, no hay acuerdo sobre si es correcto el uso del término «privacidad» o si sería más adecuado el uso de la palabra «intimidad». Incluso algunos han llegado a rechazar el uso de la palabra privacidad por considerarla un anglicismo y se sugiere que se reemplace por el término «intimidad» o «vida privada», ya que, según quienes sostienen esta opinión, tanto intimidad como vida privada son sinónimos preferibles al término «privacidad», derivado del inglés.

En la legislación española en materia de protección de datos, por ejemplo, encontramos ambos términos en distintos textos legales. La Constitución española solo utiliza el término «intimidad», mientras que la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos (LORTAD) introduce el término «privacidad» en 1992. El Código Penal español, de 1995, define los delitos contra la intimidad y la Ley Orgánica de Protección de Datos de Carácter Personal de 1999 sostiene que su finalidad es proteger la intimidad personal y familiar.

Siguiendo al Dr. José Antonio Díaz Rojo, del Consejo Superior de Investigaciones Científicas de Valencia, España, vamos a repasar algunas definiciones de privacidad de los principales diccionarios generales de la lengua española. Ya vimos el de la Real Academia Española, y coincidimos con Díaz Rojo en que se puede deducir que la definición deja entrever que en la vida privada hay ámbitos que pueden protegerse de cualquier intromisión y otros que escaparían a este derecho.El espacio o dimensión que sí podemos proteger es objeto de protección jurídica y esto implica que podemos repeler cualquier intromisión extraña.

El Diccionario de uso del español actual Clave define la privacidad de la siguiente forma: «Propiedad de lo que pertenece a la intimidad o a la vida privada de una persona». Como ejemplo del uso de este sustantivo nos deja la siguiente frase: «La prensa muchas veces no respeta la privacidad de los famosos». En el caso del Diccionario de uso del español María Moliner, edición 1999, define privacidad como «Cualidad o condición de privado», siguiendo la tradición de definir los sustantivos terminados en «dad» como cualidades. Este mismo diccionario define privado como aquello que «Se aplica a lo que se refiere a una persona como tal persona o como miembro de una familia y no como ciudadano o por su profesión». Así vemos como marca una diferencia entre lo privado como puesto del lado de lo familiar como característica contrapuesta a lo profesional o público.

Este último caso es un buen ejemplo de la distinción entre «lo privado» como concepto opuesto a «lo público». Este binomio hace referencia a un concepto jurídico, la «cosa pública», la res publica, origen del término «república», y que se relaciona con todo aquello en lo cual el Estado tiene interés e injerencia, o sea, que no es privado o privativo de la esfera de la intimidad de las personas.

Lo íntimo es un adjetivo que proviene del latín «intimus» y que alude a lo interior, a lo interno, a lo recóndito, que está en el fondo de algo. Lo «íntimo» hace referencia a aquello que queremos ocultar de los demás, que queremos preservar sin que se vea, que únicamente destinamos a nosotros mismos y a quienes elegimos.El propio Diccionario de la Real Academia Española define «íntimo» como «lo más interior o interno», y el término «intimidad» como «zona espiritual íntima y reservada de una persona o de un grupo, especialmente de una familia».

No parece que los términos «privado» e «íntimo» sean sinónimos. Lo privado se refiere a aquellas cuestiones particulares y personales que se encuentran fuera del alcance y la intromisión del Estado o de cualquier otra persona, en tanto que «íntimo» se aplica a las cuestiones mucho más profundas y relacionadas con relaciones personales íntimas y estrechas, a la confesión de sentimientos profundos.

Siguiendo a Díaz Rojo, vemos cómo privacidad e intimidad no son términos equivalentes. La intimidad, según este autor, es el conjunto de sentimientos, pensamientos e inclinaciones más guardados en el interior -la ideología, la religión o las creencias-, las tendencias personales que afectan a la vida sexual, determinados problemas de salud que deseamos mantener en total secreto u otras inclinaciones que forman parte del ámbito más reservado de una persona. Nuestra intimidad puede ser desconocida para las personas que más cercanas son a nuestra vida cotidiana, pero, en cambio, nuestra vida privada es compartida con ellos. Cada persona es la única con la potestad necesaria para fijar el límite hasta dónde llega la intimidad. A partir de ese límite, cada persona es la única con potestad para decidir quién ingresa y quién no ingre sa dentro de su ámbito íntimo.

No es lo mismo hablar de privacidad e intimidad hoy que hace quinientos años… ni siquiera hace veinte años. Lo que podía trascender de nuestras vidas antes del surgimiento de los medios masivos de comunicación era prácticamente nulo. Pensemos en un escritor y su libro antes de la invención de la imprenta: ¿cuántos ejemplares podía «distribuir»? Lo cierto es que los libros se leían (por alguien que supiera leer) en forma pública para que algunos privilegiados tuvieran acceso a los textos.La vida privada de los habitantes de los pueblos o ciudades podía ser objeto de difusión en una medida territorial exigua, y en todo caso la difusión iba a alcanzar, para el ciudadano que no destacara por ninguna circunstancia particular, un número muy reducido de personas, a través del «boca a boca».

Con el surgimiento de la prensa, y luego con el resto de los medios de comunicación, como la radio y la televisión, la información en general empezó a circular por el mundo de otra forma. Pero no podemos escapar a la observación de que en los últimos veinte años, con el surgimiento de Internet y la posibilidad de acceder a esta red, las cosas han cambiado sustancialmente. La información se difunde en el mismo momento que los hechos están ocurriendo. Y muchas veces la información que se difunde tiene que ver con lo privado y con lo íntimo. Ya no se trata solamente de los medios de comunicación: ahora la difusión de la información está en manos de los ciudadanos. Con la proliferación de los teléfonos celulares «inteligentes», provistos de cámara de foto, filmadora y conexión a Internet, lo que se ve se fotografía o se filma, se digitaliza y sube a la red. Una vez en la red, no hay forma de volver atrás los pasos.

De la misma forma que el acceso a Internet se ha reconocido como un derecho humano, no podemos negar que el uso de la red digital sin los recaudos pertinentes puede generar daños en la privacidad e intimidad de las personas que son de muy difícil reparación.Por esta razón los países han ido tomando conciencia en los últimos años sobre la necesidad de legislar en la materia, con el objetivo de proteger el derecho de las personas a cuidar sus datos personales, su información privada y su información íntima.

Ya en el año 1998 algunos autores hemos reconocido la existencia de un derecho a la intimidad y a la privacidad, entendido como el poder o la potestad de tener un domicilio particular, papeles privados, ejercer actividades, tener contactos personales y pensamientos que no trasciendan a terceros, en virtud del interés personal de mantenerlos en reserva y la discreción de quien se entera de no hacerlos públicos cuando se trata de hechos privados o datos sensibles de las personas. Se trata no ya de un derecho de tercera o de cuarta generación, sino un derecho tan antiguo como el hombre mismo, que lo acompaña y es inherente a su existencia misma como ser humano que vive en sociedad, pero que debe ser replanteado y reformulado a la luz del avance tecnológico y del uso de la informática como un medio que posibilita la interconectividad a nivel mundial y en forma ilimitada. El derecho a la intimidad podemos resumirlo en lo que se conoce como el derecho a estar solo, es decir, el derecho a que el resto de las personas no conozcan, sepan, vean, escuchen lo referente a nuestra vida, pudiendo incluso agregarse también «y que nosotros no queramos que trascienda». Es pensar en reafirmar que cada uno es dueño de su esfera más íntima, de ese ámbito nuclear perteneciente a los propios pensamientos y sentimientos.

A este derecho humano, individual y personalísimo a proteger la intimidad, se contrapone, y como una amenaza, el poder que otorga la acumulación y circulación de la información y la facilidad con que puede llevarse a cabo gracias a los medios informáticos actuales.En el año 2000 ya se sostenía que esta forma de producir información podía extralimitar los derechos de privacidad que los internautas poseen y por tanto infringir una lesión al derecho a la intimidad.

En el año 2002 la capacidad de almacenamiento de información en forma digital ya había superado a la analógica. Cinco años después, en el año 2007, se transmitieron 1,9 zettabytes de información por medio de tecnología de difusión como televisores y GPSs. Un zettabyte equivale a 1024 exabytes. Es como si cada persona del planeta leyera 174 periódicos por día. En agosto de 2011, el director ejecutivo de Google, Eric Schmidt, afirmó que la humanidad había creado hasta 2003 una cantidad de información equivalente a 5 exabytes, y que a esa fecha, agosto de 2011, esa cifra de 5 exabytes era lo que se generaba cada… dos días.

Los datos, sin embargo, no son unánimes, ya que en la misma fecha otras fuentes, como la consultora RJMetrics, sostenían que toda la cantidad de información que se generaba en ese momento en Internet en una semana, ya sea por medios en línea, redes sociales, vía streaming, en los blogs, etc., equivalía a la acumulada durante el año 2002.

El gran crecimiento de Internet en los últimos años ha posibilitado el desarrollo de nuevas herramientas de comunicación y nuevos equipos con una portabilidad que facilita llevar los equipos con nosotros en todas las tareas cotidianas. Ya no se trata solamente del uso de computadoras de escritorio; las computadoras portátiles, las tabletas y los teléfonos inteligentes permiten el uso de herramientas de comunicación que antes solo estaban reservadas para los ordenadores de escritorio. A eso le sumamos que el costo económico de los equipos ha descendido con el paso del tiempo.Hoy, un teléfono portátil, de los llamados teléfonos inteligentes, permite que enviemos correo electrónico, que naveguemos por páginas, que mantengamos sesiones de chat, que recibamos y emitamos mensajes a través de programas gratuitos, que actualicemos nuestros blogs, que realicemos operaciones de comercio electrónico, que juguemos, que miremos videos, entre otras cosas. Y además podemos hablar por teléfono y mandar mensajes de texto. O sea, que podemos dar un uso similar a un ordenador de escritorio, hablar por teléfono, y pagando por dicho equipo un precio muy inferior a una computadora de escritorio.

La información se comparte a nivel global. Los límites territoriales y las barreras físicas se desdibujan a través de la utilización de una tecnología que nos permite prescindir, a los usuarios finales, incluso del cableado. Las personas pasamos mucho tiempo intercambiando información con otras personas, a través de las denominadas «redes sociales». Nuestra información no solo se almacena en nuestras computadoras, tabletas o teléfonos, sino que también se suben a la «nube», «nube» de la cual, en la mayoría de los casos, desconocemos su ubicación real y la legislación vigente en materia de protección de datos personales del lugar donde se encuentran los centros de datos que la almacenan.

El tráfico de información ha permitido muchos beneficios a las personas en forma individual, pero también supone garantizar enormes beneficios económicos para grandes compañías. Son nuestros datos personales, nuestros gustos, nuestras actividades las que le dan contenido y valor económico a las redes sociales. Nadie puede desconocer hoy en día que la misma tecnología que nos permite conectarnos (preferimos reservar el término «comunicarnos» a otro concepto) es la que también genera nuevos riesgos para la seguridad de la información personal y para la protección de nuestra intimidad.Es por eso que cada vez con más fuerza se habla del uso responsable y seguro de las tecnologías de la información y la comunicación.

En el medio de toda esta evolución lo que queda navegando en el océano de la información son los datos personales, que atañen a la privacidad y a la intimidad. Hoy, en el 2013, los desafíos deben enfocarse en dos aspectos principales: a) la prevención, y concientización, ineludible si queremos que cada persona se haga responsable de la información que de sí misma y en forma voluntaria difunde y aprenda a clasificar y cuidar sus propios datos; b) la existencia de mecanismos eficientes a la hora de defender a los ciudadanos de cualquier intrusión y difusión de datos íntimos y/o privados.

II. CONCLUSIONES

Frente a un crecimiento abrumador de la tecnología y a estados avasalladores de las libertades personales y de la privacidad y de la intimidad de sus propios ciudadanos y más aún, de los ciudadanos de todo el mundo, el mundo jurídico se ve interpelado a extremar las medidas de defensa de los derechos de cada persona.

Privacidad e intimidad no son conceptos idénticos ni sinónimos. Cada uno tiene un campo de acción específico y está garantizado por todo un plexo normativo internacional que los sustenta.

El estado actual de desequilibrio entre los países denominados «potencias» y las megaempresas que realizan tratamiento de datos personales, por un lado, y el resto de los países del mundo y los derechos vulnerados, por el otro, hace necesario también pensar que el derecho a la protección de los datos personales exigirá soluciones originales y esfuerzos mancomunados de los países que integramos una misma región. Este es el caso concreto de Latinoamérica y el Caribe, la Comunidad Europea o los países africanos, por ejemplo. Los esfuerzos aislados pueden dar resultados concretos, como en el caso de Alemania, pero no resultados integrales.

Voy a cerrar la presente ponencia citando nuevamente al Lic.Peduto, ya que no solamente declamando arribaremos a contar con herramientas que nos permitan defender los derechos de todos, sino proponiendo y gestionando, labor que en especial nos concierne a todos aquellos que desde la función pública tenemos una obligación de cuidar y defender personas: «Quizás haya llegado el momento -y en ese sentido encontramos auspiciosa y plausible la declaración conjunta suscripta por el Relator Especial de las Naciones Unidas (ONU) para la Protección y Promoción del Derecho a la Libertad de Op inión y de Expresión y por la Relatora Especial para la Libertad de Expresión de la Comisión Interamericana de Derechos Humanos de la OEA orientada a alertar sobre las graves consecuencias de la existencia de programas de vigilancia como el PRISM- de que las Naciones Unidas, a través del Consejo de Derechos Humanos convoque a reuniones preparatorias que permitan elaborar un Anteproyecto de Convención Internacional sobre el uso de las TIC’s (tecnologías de información y comunicación), el papel de los Estados y los derechos ciudadanos de manera de asegurar su adecuación a los principios internacionales en materia de derechos humanos y derecho internacional, con especial énfasis en la libertad de opinión así como en materia de privacidad e intimidad».

Ponencia presentada por la autora en el III Encuentro de Derecho Informático, Trelew, Argentina, junio 2013. Publicado en Microjuris.

6 recomendaciones para cuidar la información de tu empresa

infodf

Por Joel Gómez Treviño

En otras columnas he abordado la “seguridad de la información”, tema que mucha gente sigue pensando que es opcional o un asunto de “mejores prácticas”, pero no obligatorio. Esta creencia no podría estar más apartada de la realidad.

Un gran número de leyes en México nos obligan a mantener la confidencialidad y/o seguridad de la información, para muestra los siguientes casos:

  • Si eres profesionista, la Ley General de Profesiones te obliga a guardar estrictamente el secreto de los asuntos que tus clientes te confíen;
  • Si eres empleado, la Ley Federal del Trabajo te obliga a guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurras directa o indirectamente, o de los cuales tengas conocimiento por razón del trabajo que desempeñas, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa;
  • A toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, laLey de la Propiedad Industrial lo obliga a abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.
  • Si eres una persona física o moral y contratas a un trabajador que esté laborando o haya laborado, o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, la Ley de la Propiedad Industrial establece que serás responsable del pago de daños y perjuicios que le ocasione a dicha persona (física o moral).

Si tienes una página web (incluyendo sitios móviles) en donde se realizan transacciones comerciales electrónicas, la Ley Federal de Protección al Consumidor te obliga a:

  • Utilizar la información proporcionada por el consumidor en forma confidencial, por lo que no podrás difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente;

  • Utilizar alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informarás a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos.
  • Si eres persona física o moral y tienes una base de datos o das tratamiento a  datos personales, tanto en el plano físico como electrónico, la Ley Federal de Protección de Datos Personales en Posesión de los Particulareste obliga a establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

La misma ley establece que:

  • Si eres responsable o tercero que interviene en cualquier fase del tratamiento de datos personales, deberás guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.

  • Si los datos personales son vulnerados (si se te pierden, si hay un acceso no autorizado, si te hackean), deberás informar de forma inmediata a los titulares de los datos, a fin de que ellos puedan tomar las medidas correspondientes a la defensa de sus derechos.

¿Cómo puede fugarse, compartirse o copiarse indebidamente información de la empresa? Las posibilidades son casi tan ilimitadas como nuestra imaginación:

  • Salvo los dispositivos móviles de la manzana, casi todos los smartphones y muchas tabletas cuentan con ranura para insertar tarjetas microSD de hasta 64 gigas de memoria.
  • Las memorias USB (pen drives) tienen capacidades tan amplias como 128 gigabytes de memoria.
  • Los servicios de almacenamiento en la nube (discos duros virtuales) pueden ofrecer de manera gratuita entre 5 y 50 gigabytes de espacio.
  • Los correos electrónicos gratuitos permiten el envío y recepción de archivos de gran tamaño, y la capacidad del inbox puede ser en algunos casos ilimitada (gmail).
  • Existen discos duros miniatura (más pequeños que una cartera) que tienen hasta 500 gigas de capacidad de almacenamiento.
  • Por más controles de acceso y “seguridad informática” que tengamos en nuestra empresa, siempre existirá la posibilidad de que un empleado tome fotos a la pantalla de su computadora con su teléfono celular.

Entonces, ante un panorama informático con tantas posibilidades ¿cómo podemos cuidar la información de la empresa no solo para cuidar nuestros secretos o información valiosa, sino para poder cumplir cabalmente con las leyes que nos obligan a hacerlo? Pese a que no existe una fórmula mágica para detener toda filtración o fuga de información, podemos tomar las siguientes medidas para mitigar estos riesgos a gran escala:

  • Implementa campañas de concientización al interior de tu organización. Realiza una campaña de concientización entre todos tus empleados, desde los guardias de seguridad hasta los directores, que tenga por objeto que tu fuerza laboral: (a) entienda qué es información confidencial, secreta, sensible o clasificada, y por qué dicha información guarda tal clasificación, (b) conozca las consecuencias legales que pueden surgir si comparte, copia o divulga dicha información, las cuales pueden ir desde una simple amonestación (acta administrativa), hasta el despido o inclusive penas económicas (daños y perjuicios) o corporales (prisión).

  • Revisa o elabora contratos con cláusulas de protección. Todo empleado, sea directo o indirecto (outsourcing), debe tener en su contrato individual de trabajo dos cláusulas: la de confidencialidad de la información y la de protección de datos personales. Igualmente importante es tener estas cláusulas en los contratos con tus proveedores de servicios y socios de negocios. No olvides tener tus Avisos de Privacidad (integral, simplificado y corto).
  • Desarrolla políticas laborales en torno a estos temas. Elabora políticas en tu empresa que regulen el uso de recursos informáticos, redes sociales, información confidencial y privacidad. Estas políticas deben estar ligadas al Reglamento Interior de Trabajo o idealmente al contrato individual de trabajo de cada empleado. Ellos deben manifestar conocer dichas políticas y obligarse a su cumplimiento.
  • Adopta medidas de seguridad. Toda empresa (incluyendo particulares) está obligada por ley a tener medidas de seguridad técnicas, físicas y administrativas para proteger sus datos contra robo, destrucción, alteración, uso o acceso no autorizado.
  • Elabora un plan de reacción en caso de incidentes. Si existe una vulneración a tu información o bases de datos, debes tener formulado un plan de reacción que incluya al menos: (a) la detección de la información vulnerada, (b) medidas correctivas y preventivas, (c) dar aviso a los titulares cuyos datos personales pudieran haber sido comprometidos, y (d) aplicación de sanciones laborales en caso de que exista responsabilidad, dolo o negligencia por parte de empleados.
  • Si se cometió un delito, presenta la denuncia o querella correspondiente ante el Ministerio Público. La gente suele pensar que “no pasa nada” si violenta sus deberes de confidencialidad o seguridad de la información. Mientras no promovamos una cultura de la legalidad, este tipo de acciones seguirán quedando impunes.

Como lo he comentado con anterioridad: ¡la seguridad y confidencialidad de la información es obligación de todos! No importa si tienes o no firmado un contrato o cláusula de confidencialidad, la ley te obliga en la mayoría de los casos a proteger la confidencialidad, disponibilidad e integridad de la información.

Latinoamérica se ha despertado del letargo

latinoamerica_cumple

Por Dolores Dozo

Si bien la evolución del derecho a la protección de datos personales dentro de la región es dispar, habiendo países que, a la fecha, todavía no han sancionado leyes en materia de protección de datos personales, 11 países latinoamericanos cuentan ya con leyes de protección de datos personales, muchas de ellas están reglamentadas y son de cumplimiento efectivo.

Tomando bajo especial análisis los casos de Argentina, Colombia, Uruguay, México y Perú, las autoridades de aplicación de cada uno de estos países han sido creadas; disponen de las herramientas adecuadas, pasando por leyes reglamentadas y el derecho a la intimidad y protección de datos personales consagrado en sus cartas magnas; autoridades de aplicación operativas, que han aplicado algunas sanciones y efectuado inspecciones. Sin embargo, ello no basta para activar el ejercicio pleno de la protección de datos. El camino recorrido hasta ahora indica que el desafío por delante no es institucional, es cultural.

La deuda pendiente es común: crear cultura de privacidad. Debe difundirse entre los ciudadanos latinoamericanos que sus datos son valiosos, que son su activo, que ellos poseen la titularidad, el control, el poder de disposición y la autodeterminación sobre sus datos personales, y que debieran exigir el tratamiento adecuado de los mismos.

Sin duda la prioridad es difundir, concientizar y hacer extensiva la cultura de protección de datos personales a todos los involucrados. Debe combatirse la ignorancia y la tendencia a la desestimación de los riesgos asociados al tratamiento inadecuado de datos; generarse un canal efectivo de comunicación con el ciudadano, que promueva una concientización a la altura de las necesidades de los usuarios, en especial frente al uso intensivo de las nuevas tecnologías e Internet. Además, debe estrecharse la brecha entre la autoridad de control, los especialistas del sector, las asociaciones civiles en defensa de derechos, y la comunidad.

Para que la protección de datos personales sea efectiva, debe perseguirse la armonía entre la facultad de disposición del ciudadano sobre sus datos personales, y el derecho a tratar la información por el titular de las bases de datos, asegurando el equilibrio entre uso de datos y garantía de derechos.

Sin perjuicio que las instituciones de cada país, ejerciten las funciones que le son propias, no puede pretenderse que las autoridades de aplicación sean el motor absoluto y único que promueva y difunda los preceptos de protección de datos, dado que su capacidad de respuesta es, obviamente, limitada. Para que la protección de datos personales se desarrolle y expanda en Latinoamérica, se necesita del juego armónico de todos los actores (gobierno, autoridad de aplicación, asociaciones civiles, administraciones públicas, empresas y ciudadanos) para aumentar el grado de conocimiento sobre privacidad, entendiendo que se trata de una cuestión cultural de alcance nacional y regional.

La generación de cultura de privacidad debe ocupar a todos los ciudadanos, pero también, hacerse extensiva a los responsables de las bases de datos, a quienes debe transmitirse la importancia de asumir el compromiso del debido tratamiento de los datos, difundiendo el catálogo de obligaciones y beneficios que traen aparejados su cumplimiento.

El bajo nivel de compliance a la normativa en protección de datos por parte de los Responsables de Bases de Datos, se intensifica en un contexto de rudimentario conocimiento de la materia y ausencia de herramientas amigables que faciliten la comprensión de los derechos y obligaciones a los que deben hacer frente los Responsables de Bases de Datos Personales.

A este respecto, Habeasdat ha desarrollado PDPTest, una herramienta gratuita que facilita a los Responsables el conocimiento y cumplimiento de las leyes de protección de datos personales, ofreciéndoles un primer diagnóstico de situación inicial respecto a la adecuación a la protección de datos personales de su organización.

Se trata de una aplicación de software online y gratuita para evaluar el grado de compliance de los Responsables, con Ley de Protección de Datos Personales.

PDPTest aborda aspectos fundamentales y comunes de la protección de datos personales, siendo la primera herramienta de evaluación de protección de datos adaptada a la coyuntura especifica de las leyes latinoamericanas, con el objetivo principal de acercar la norma hacia los Responsables y ayudarlos a que puedan adecuarse a la normativa.

Para realizar el PDP Test, no se requiere más que ingresar a la siguiente dirección: http://encuesta.habeasdat.com