El Salvador adopta disposiciones básicas sobre Datos Personales

elspd

Por Mauricio París

Mediante Decreto No. 133 de fecha 1 de octubre de 2015, la Asamblea Legislativa de la República de El Salvador aprobó la Ley de Firma Electrónica –en lo sucesivo me referiré a ella sólo como la Ley- que entrará en vigor en 6 meses, llenando así un vacío normativo importante, ya que era el único país de Centroamérica y uno de los pocos en Latinoamérica que no contaba con regulación específica sobre la materia.

La existencia de regulación sobre firmas electrónicas es uno de los tres elementos básicos en la materia, siendo los otros elementos la existencia de regulaciones sobre específicas sobre comercio electrónico y sobre protección de datos personales, materias en las que El Salvador aún no cuenta con regulaciones específicas.

La Ley se inspira en la Ley Modelo sobre Firmas Electrónicas de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI) aprobada en el año 2001 – en lo sucesivo me referiré a ella sólo como Ley Modelo-, pero contiene múltiples modificaciones y adiciones introducidas por el legislador salvadoreño. No obstante, los principios básicos de la Ley Modelo se encuentran contenidos en la norma en cuestión.

Pese a no ser un instrumento específico en materia de protección de datos personales, el legislador salvadoreño incorporó disposiciones relativas a éstos que vienen a complementar las normas sobre datos personales contenidas en la Ley de Acceso a la Información, Decreto No. 534 de 2 de diciembre de 2010.

El artículo 3 de la Ley, dedicado a definiciones. Se establece que dato personal es: “Cualquier información numérica, alfabética, gráfica o fotográfica o de cualquier otro tipo, concerniente a personas naturales identificadas o identificables.” Esta definición nos parece incorrecta. Técnicamente, un dato personal es cualquier dato numérico, alfabético, gráfico, fotográfico, etc. que identifique o haga identificable a una persona. El elemento que implica la protección del dato personal es precisamente el que identifique o  permita identificar a una persona, no simplemente el que le pertenezca. Así por ejemplo, de acuerdo a la legislación salvadoreña, el año de nacimiento o el nombre de pila de una persona son datos personales, aunque estos por sí solos, no identifican ni hacen identificable a una persona. El hecho de que un dato esté contenido en un registro público no lo debería convertir, por sí mismo, en un dato de alcance público, ya que por ejemplo se contienen en este tipo de registros datos relacionados con la salud, como el expediente clínico, o con la condición económica, como en los registros tributarios.

La definición de dato personal contenida en la Ley de Acceso a la Información, pareciera ser un poco más limitada, ya que define dato personal como: “la información privada concerniente a una persona, identificada o identificable, relativa a su nacionalidad, domicilio, patrimonio, dirección electrónica, número telefónico u otra análoga.”

Volviendo a la Ley de Firma Electrónica, el artículo 3 define dato personal de alcance público como: “Datos que no afectan la intimidad del titular de la misma, como los datos relativos al estado familiar de la persona entre otros, y que pueden estar contenidos en registros públicos.” En la mayoría de las legislaciones los datos relativos al estado familiar o estado civil son considerados como datos íntimos y de acceso restringido, ya que no existe un interés público en que estos sean de acceso irrestricto a la colectividad y pueden prestarse para algún tipo de discriminación relacionada con la filiación o estado civil de las personas. De hecho, la propia Ley de Acceso a la Información antes mencionada define como datos personales sensibles “los que corresponden a una persona en lo referente al credo, religión, origen étnico, filiación o ideologías políticas, afiliación sindical, preferencias sexuales, salud física y mental, situación moral y familiar y otras informaciones íntimas de similar naturaleza o que pudieran afectar el derecho al honor, a la intimidad personal y familiar y a la propia imagen.” La contradicción de conceptos entre ambas normas salta a la vista, siendo más adecuada la última norma citada.

Por otra parte, el artículo 5 de la Ley regula el uso de los datos personales por parte de prestadores de servicios de certificación de firmas electrónicas y de almacenamiento de documentos electrónicos. Estos prestadores deben contar con una autorización conferida por la Unidad de Firma Electrónica, ente adscrito al Ministerio de Economía. Dispone el artículo antes dicho en primer término que, para la expedición de certificados electrónicos al público y para el almacenamiento de documentos electrónicos, dichos prestadores únicamente podrán recabar datos personales directamente los firmantes, prohibiendo la cesión de los datos personales de los usuarios. Entendemos entonces que un prestador de servicios de almacenamiento de documentos electrónicos certificado, no podrá almacenar datos personales cuando no los haya recabado directamente de sus firmantes, si se trata de documentos firmados electrónicamente. Pero en caso de documentos electrónicos no firmados, tampoco podría almacenarlos si contiene datos que no haya recabado directamente en virtud de la prohibición de cesión de los datos personales de los usuarios. La Ley no hace ninguna excepción a dicha prohibición, por lo cual aun cuando la cesión sea consentida por el titular de tales datos, en principio no sería permitida. No queda claro qué entiende la norma por “usuarios”, ya que aunque interpretamos que se refiere en realidad a los titulares de los datos, otra interpretación posible es que el legislador se estuviera refiriendo a los usuarios de los del sistema de expedición de certificados electrónicos, asumiendo que debieran compartir sus datos personales para efectos de la solicitud de expedición de los certificados electrónicos. Sin duda, la forma en la que se desarrolle esta disposición en el reglamento incidirá en el desarrollo de la práctica de estos servicios.

El mismo artículo 5 incorpora los derechos del titular a la rectificación y cancelación de sus datos personales cuando estos resulten inexactos o incompletos, así como el deber de confidencialidad y custodia de los datos a cargo del responsable del registro de los datos y de su tratamiento. Por último, se incluye la relevación no consentida de información personal de clientes a terceros como una falta muy grave a cargo de los prestadores de servicios de certificación o almacenamiento de documentos electrónicos, con una sanción de entre 51 a 100 salarios mínimos.

Como vemos, la legislación salvadoreña, aunque de manera tímida, incorpora conceptos propios de la materia de protección de datos personales. Se trata de un importante paso para El Salvador en materia de gobierno digital, comercio electrónico y protección de datos personales. Si bien la legislación contiene algunas contradicciones y vacíos normativos, muchas de ellas pueden ser subsanadas por medio del reglamento que deberá dictarse. Esperamos que en los próximos años el hermano país complete la triada regulatoria en la materia mediante la aprobación de una ley de protección de datos personales y otra de comercio electrónico, pero sobre todo que el Estado salvadoreño impulse políticas que fomenten y divulguen el uso de tales herramientas.

De la idea de Rousseau sobre un Pacto Social, a su refundación en la era Digital

russeau

Por Romina Florencia Cabrera

Siempre me ha gustado investigar y defender en sentido social de la vida. Tal vez…esto se lo debo a mi mamá, Estela Gulizzi, psicóloga, amplia defensora de la humanística , en su juventud.

Ella me enseñó, además de mi papá Hector Cabrera ( debe ser por el origen griego paterno), abogado, el amor por el conocimiento y  los Derechos Humanos .  El valioso significado de la Libertad, de la Justicia; del respeto de los Derechos de los sectores menos favorecidos y del desarrollo sustentable.  Y sobre todo, el sentido del “Bien común”: cooperar entre todos ,para lograr con un granito de arena, una sociedad  más positiva para todos , donde los habitantes de este planeta puedan ser más felices ( algún iluminado, con todo respeto, me discutirá el concepto de “Felicidad”, pero no tengo la sabiduría suficiente para responder, y no es mi intención filosofar sobre ello ahora).

 Así como en el  cuerpo humano, la interrelación de todos los órganos es fundamental para el funcionamiento del mismo;  para que una persona  se desarrolle y tenga una conducta adecuada en la sociedad, es importante el equilibrio entre lo biológico, lo psicológico y lo social (el medio). Por ello,  la homeostasis es necesaria que todo sistema se integre correctamente, de  una manera eficiente y eficaz.

Las doctrinas del contrato social han tenido una importante influencia en las ideas políticas e, incluso, en la vida política actual. Dentro de ellas, la doctrina planteada por Jean-Jacques Rousseau aún tiene especial repercusión sobre diversos temas en materia política, jurídica e, incluso, en instituciones recientes.

Su obra “El contrato social“ constituye una lectura muy consultada, estudiada e interpretada en la reflexión sobre diversos temas, como los fundamentos de la sociedad; la legitimidad de las decisiones; la voluntad general; la soberanía, entre otros. Sin embargo, muchas veces esa lectura es realizada de forma aislada del resto de sus obras, circunstancia que ciertamente impide una comprensión más amplia de las ideas políticas vertidas en el contrato.

Obras como el “Discurso sobre las ciencias y las artes”; el “Discurso sobre el origen y los fundamentos de la desigualdad entre los hombres“; el “Emilio o de la educación”; las “Consideraciones sobre el gobierno de Polonia”; el “Proyecto de constitución para Córcega” o los “Fragmentos políticos”, a pesar de tener un contenido esencial para entender su propuesta política son desplazadas en ese estudio. Sobre todo, una obra poco conocida pero de especial importancia para comprender la complejidad del contrato la encontramos en la primer versión del contrato social también conocida como “Manuscrito de Ginebra“.

Este manuscrito no es una obra publicada, constituye el borrador de lo que será la versión final del contrato social. En diversos pasajes de obras y cartas se revela la existencia de este borrador, especialmente en las “Las confesiones”, en donde Rousseau describe cómo la falta de tiempo le obligo a renunciar a un proyecto más amplio sobre política. Su justificación fue que estos temas necesitan mucha reflexión, espacio y tranquilidad, circunstancias con las que no contaba.

Asimismo, consideraba que las ideas expuestas ahí eran muy atrevidas para el tiempo y el país en que vivía, además de encontrar indicios de los problemas que vendrían a partir de la sorpresa que causó el borrador a sus amigos. Incluso, consciente de los ataques que realiza al iusnaturalismo, no quiso comunicar el contenido.

Por estas razones Rousseau recortó diversas partes del manuscrito para no ser publicadas en la versión final del contrato, incluso puede notarse la supresión de un capitulo completo. Los fragmentos recortados se refieren a la interpretación del contrato social, las ideas sobre el estado de naturaleza y la naturaleza del hombre.

El manuscrito, publicado en revistas filosóficas de otros países, puede encontrarse en la web. Resulta interesante acercarse a esa lectura porque sirve para complementar ideas que parecen vagas en el contrato.[1]

La Comisión Mundial sobre Gobernanza de Internet (GCIG; por sus siglas en inglés) fue establecida en enero de 2014 para articular y promover una visión estratégica para el futuro de la gobernanza de Internet.

 En recientes reuniones, la Comisión discutió sobre la potencial y perjudicial erosión de la

confianza en Internet en la ausencia de un amplio acuerdo social sobre las normas de seguridad y privacidad digital. La Comisión considera que, para que Internet siga siendo un motor global de progreso social y económico que refleje la diversidad cultural del mundo, debe restablecerse la confianza en Internet. Internet debe ser abierta y estar libremente disponible para todos en un entorno de seguridad. Así, la Comisión plantea la necesidad de que todos los Stakeholders deben colaborar y trabajar conjuntamente para adoptar normas de comportamiento responsable en Internet. Con motivo de la Conferencia Mundial sobre el Ciberespacio en La Haya, en abril del 2015, la Comisión llama a la comunidad global a construir un nuevo pacto social entre los ciudadanos y sus representantes electos,

el poder judicial, las agencias para el cumplimiento de la ley y de inteligencia, las empresas, la sociedad civil y la comunidad técnica de Internet con el objetivo de restaurar la confianza y mejorar la confiabilidad en Internet.[2]

En este momento es primordial que los gobiernos, en colaboración con todos los demás Stakeholders, adopten medidas para generar la confianza básica en que se respetará el derecho a la privacidad de las personas en Internet. Al mismo tiempo, es esencial asegurar la primacía de la Ley . Ambos objetivos no son excluyentes, de hecho, se refuerzan mutuamente. Las personas y las empresas deben estar protegidas tanto de la mala utilización de Internet por grupos criminales informáticos y terroristas como de la extralimitación de los gobiernos y las empresas que recopilan y utilizan los datos privados.

El pacto social que se propone debe basarse en un compromiso compartido de todos los Stakeholders, tanto en los países desarrollados como en los menos desarrollados, para tomar medidas concretas en sus propias jurisdicciones con miras a generar confianza y confiabilidad en Internet. El compromiso con el concepto de seguridad colaborativa y con la privacidad debe reemplazar las prolongadas y sobrepolitizadas negociaciones y conferencias.

Los siguientes son los principios esenciales que la Comisión promueve para la elaboración del nuevo pacto social:[3]

  • Los Derechos Humanos fundamentales, que incluyen la protección de la privacidad y de los datos personales, deben estar protegidos en línea. Las amenazas a estos derechos deben ser atendidas por los gobiernos y otros Stakeholders actuando dentro de su propia jurisdicción y en cooperación.
  • La interceptación de las comunicaciones, la recopilación, el análisis y el uso de datos en Internet por parte de agencias para el cumplimiento de la Ley y de inteligencia debe hacerse con propósitos pública y previamente especificados, autorizados por la ley (incluida la Ley Internacional de Derechos Humanos) y en consonancia con los principios de necesidad y de

proporcionalidad. Propósitos como obtención de ventaja política o ejercicio de represión no son legítimos.

  • En especial, las leyes deben ser públicamente accesibles, claras, precisas, comprensivas y no discriminatorias, generadas abiertamente y transparentes para las personas y las empresas. Mecanismos sólidos e independientes deben existir con el fin de que se garantice la rendición de cuentas y el respeto de los derechos. Los abusos deberían ser susceptibles de una reparación apropiada, con acceso a un mecanismo efectivo para remediar el daño causado a las personas cuyo derecho a la privacidad haya sido violado por alguna actuación de vigilancia ilegal o arbitraria.
  • Las empresas u otras organizaciones que transmiten y almacenan datos usando Internet deben asumir una mayor responsabilidad para proteger dichos datos de intrusiones ilegales, de daños o de su destrucción. Los usuarios de los servicios pagados o de los llamados “servicios gratuitos” ofrecidos en Internet deben conocer y tener alguna alternativa de elección sobre todos los usos comerciales para los cuales se pudieran explotar sus datos, sin ser excluidos por ello del uso de software o de los servicios habituales que les permitan participar activamente en la sociedad de la información. Este tipo de empresas también deben demostrar capacidad de rendición de cuentas y proporcionar reparaciones en el caso de una falla de seguridad.
  • Es necesario revertir el proceso de pérdida de confianza en Internet producto de la operación de un mercado no transparente que recopila, centraliza, integra y analiza enormes cantidades de información privada de personas y empresas — una especie de vigilancia privada en el servicio de “big data”, que por lo general opera bajo el pretexto de ofrecer un servicio gratuito.
  • En concordancia con la Declaración Universal de Derechos Humanos de las Naciones Unidas, las comunicaciones deben ser consideradas inherentemente como privadas entre las partes involucradas independientemente de la tecnología de comunicación que utilicen. El rol del gobierno debe ser el de fortalecer la tecnología de la cual depende Internet y su uso, no el de debilitarla.
  • Los gobiernos no deben crear ni requerir a terceros que establezcan “puertas traseras” para acceder a datos que debilitarían la seguridad de Internet. Se deben alentar y realizar esfuerzos para que la comunidad técnica de Internet incorpore soluciones que mejoren la privacidad bajo los estándares y protocolos de Internet, incluyendo el cifrado end-to-end de datos en tránsito y en reposo.
  • Los gobiernos, trabajando en colaboración con los técnicos, las empresas y la sociedad civil, deben ayudar a educar al público con respecto a las buenas prácticas de seguridad informática. También deben colaborar para mejorar la capacitación y el desarrollo de taskforces de software a nivel mundial para incentivar la creación de redes más estables y seguras en todo el mundo.
  • La naturaleza transfronteriza de muchas formas de intrusión informática restringe la capacidad del estado agredido de interceptar, investigar y enjuiciar a las personas u organizaciones responsables de esa intrusión. Los estados deberían coordinar sus respuestas y ayudarse mutuamente con el fin de reducir las amenazas, limitar los daños e impedir futuros ataques.Esta declaración ofrece la visión de la Comisión de los temas en cuestión y describe detalladamente los elementos esenciales para lograr un pacto social para la seguridad y la privacidad digital.

El pacto social para una sociedad digital requerirá un nivel muy elevado de acuerdo entre gobiernos,corporaciones privadas, personas y la comunidad técnica. Los gobiernos pueden proveer liderazgo, sin embargo ellos solos no pueden definir el contenido del pacto social. Para lograr un acuerdo y aceptación amplia de todos los Stakeholders se necesitará la participación de todos los actores del ecosistema de Internet. En principio parece poco probable que un pacto social de estas características pueda ser de naturaleza universal, adecuado a las distintas realidades económicas o culturales, y ello no debería ser la meta inmediata a la que abocarnos. Internet es utilizada y valorada en todas las culturas y todas las fronteras. A veces, los cambios importantes de actitud suceden más rápidamente y de una manera más flexible de lo que podría ser posible a través de los tratados negociados o los instrumentos jurídicos internacionales. Con el tiempo, los enfoques nacionales pueden obtener reconocimiento como buenas prácticas internacionales y eventualmente adquirir el estado de derecho internacional consuetudinario. Pero eso está todavía a algunos años de distancia y la velocidad del cambio tecnológico necesita flexibilidad y soluciones innovadoras. El área de inteligencia asociada a la seguridad nacional es especialmente difícil de regular ya que hay pocas leyes internacionales que la rigen, pero ni siquiera ese dominio, en gran parte secreto, debería estar libre de consideraciones éticas y legales.

El pacto social contribuirá a generar un nuevo tipo de “seguridad y privacidad colaborativa.” El término resalta una verdad fundamental de Internet: cada parte del ecosistema digital afecta a las otras. Por ende, el nuevo pacto social no puede tratar de encontrar el equilibrio entre los derechos humanos y la privacidad y los intereses del estado o los derechos comerciales. Se trata de asegurar que exista un marco dentro del cual cada Stakeholder tenga la responsabilidad de actuar no sólo por su propio interés, sino también en el interés del ecosistema de Internet como un todo. Por definición, el proceso debería generar resultados tipo ganar-ganar en lugar de generar ganadores y perdedores. La seguridad efectiva, los modelos de negocios exitosos y los derechos humanos se refuerzan mutuamente en el largo plazo. Todos los actores deben reconocer y ejercer su cuota de responsabilidad en la seguridad y privacidad en Internet en colaboración con todos los demás, o nadie tendrá éxito.[5]

Al final, a todos los actores les interesa que Internet siga siendo confiable como un recurso global común: abierto, asequible, sin restricciones y disponible para todos como un medio seguro para generar más innovación. El gobierno, las empresas y la sociedad civil deben trabajar juntos hacia ese objetivo.[6]

El nuevo pacto social para la Sociedad Digital, implica el modelo de colaboración entre los diversos sectores del esquema de Gobernanza de Internet ( Empresa, Estado, Sector Académico, Técnico, Sociedad Civil); fortaleciendo los lazos de Cooperación Internacional, y confianza entre los Estados Miembro de la Comunidad Global. En esta época, donde tantas amenazas endógenas y exógenas, ponen en riesgo muchos proyectos, pactos y hasta factores como la credibilidad, seguridad y estabilidad del esquema donde se desarrolla Internet, habría más que nunca que poner énfasis en los principios que nos llevan a creer y a promover los Derechos Humanos, concebidos en el seno de Naciones Unidas y otros organismos Internacionales ( como fue la etapa Pos Segunda Guerra Mundial), y defendiendo más que nunca los Estados democráticos, que garantizan nuestros Derechos y Libertades.

El  Terrorismo, sobre todo  el ciberterrorismo, no reconoce fronteras, es difícil su encuadramiento, ya que no respeta reglas como en cualquier declaración de Guerra; es imprevisible, mucho más intensificado y su objetivo es cambiar el orden mundial hacia una nueva manera de vivir ( según sus creencias).

No me voy a detener en este tema. Lo único que quería rescatar, es que no se puede perder la confianza ni la fé en la evolución del esquema de Internet; creo que el respeto de los Derechos, Garantías y Deberes, deben defenderse de igual manera en línea como en la Vida no Virtual, ya que todos los habitantes de este planeta estamos inmersos en este fenómeno tecnológico, y lo que mejor se puede hacer, es avanzar hacia un futuro más estable, confiable, solidario y más ameno no solo para nosotros, sino para los futuros habitantes de este planeta. No tengo hijos, pero si los tuviera, me gustaría que gocen de las mismas libertades que yo disfruté, o más aún, que crezcan en un mundo sin tantos prejuicios, donde se desarrolle el verdadero concepto de libertad, respeto y tolerancia.

[1] Grado Cero Prensa; un espacio para la  difusión de las Ciencias Sociales y la Filosofía. “El manuscrito de Ginebra de Jean- Jacques Rousseau”. 15 de mayo de 2015. Sitio Web: https://gradoceroprensa.wordpress.com/2015/05/15/el-manuscrito-de-ginebra-de-jean-jeacques-rousseau/

Fecha de consulta del sitio: 15/5/2015.

[2] Global Commission on Internet Governance. “Hacia un pacto social para la Seguridad y Privacidad Digital”. 2015. Traducción realizada por AHCIET, Asociación Iberoamericana de Centros de Investigación y Empresas de Telecomunicaciones. Sitio Web::  http://ahciet.net/index.php/ahciet-al-dia. Fecha de Consulta del Sitio: 15/2/2015.

[3] Global Commission on Internet Governance. “Hacia un pacto social para la Seguridad y Privacidad Digital”. 2015. Traducción realizada por AHCIET, Asociación Iberoamericana de Centros de Investigación y Empresas de Telecomunicaciones. Sitio Web::  http://ahciet.net/index.php/ahciet-al-dia. Fecha de Consulta del Sitio: 15/2/2015.

[5] Global Commission on Internet Governance. “Hacia un pacto social para la Seguridad y Privacidad Digital”. 2015. Traducción realizada por AHCIET, Asociación Iberoamericana de Centros de Investigación y Empresas de Telecomunicaciones. Sitio Web::  http://ahciet.net/index.php/ahciet-al-dia. Fecha de Consulta del Sitio: 15/2/2015.

[6] Global Commission on Internet Governance. “Hacia un pacto social para la Seguridad y Privacidad Digital”. 2015. Traducción realizada por AHCIET, Asociación Iberoamericana de Centros de Investigación y Empresas de Telecomunicaciones. Sitio Web::  http://ahciet.net/index.php/ahciet-al-dia. Fecha de Consulta del Sitio: 15/2/2015.

Safe Harbor: invalidado el acuerdo que permitía transferir datos personales entre Europa y EE.UU

Por Alonso Hurtado Bueno y Daniel A. López Carballo

En el día de ayer se hizo pública la Sentencia del Tribunal de Justicia de la Unión Europea relativa al asunto C-362/14 (conocido como el “Caso Schrems vs Facebook”), mediante la cual se reconoce la habilitación a las Agencias Nacionales de Protección de Datos para bloquear las transferencias internacionales de datos de ciudadanos europeos a Estados Unidos en el marco del denominado “Safe Harbor”.

El artículo 25 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece como requisito para realizar una Transferencia Internacional de Datos que el país destinatario de los datos garantice un nivel adecuado de protección. En este sentido, según recoge la Directiva, “el carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países”.

En relación con este nivel adecuado de protección de datos, debe recordarse que, Estados Unidos carece de una norma específica en materia de protección de datos que garantice los principios consagrados en la citada Directiva Europea, tal y como si ocurre en otros países no miembros del Espacio Económico Europeo como Suiza, Canadá, Suiza, Argentina, Andorra, Israel, Uruguay o Nueva Zelanda, entre otros.

En este punto, hasta hoy se consideraba que las entidades norte americanas adheridas a los principios del Safe Harbor, de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000, ofrecían garantías adecuadas en materia de protección de datos. Para adherirse al Safe Harbor, las empresas debían certificar ante el Departamento de Comercio de Estados Unidos que cumplían con los estándares de protección de datos exigidos por la Unión Europea, debiendo renovar este certificado anualmente.

Así las cosas, el Tribunal de Justicia de la Unión Europea entiende que el sistema “únicamente es aplicable a las entidades estadounidenses que se han adherido a él, de modo que las autoridades públicas estadounidenses no están sometidas a dicho régimen”. Adicionalmente, se considera que las exigencias de seguridad nacional, interés público y de observancia de la normativa propia de Estados Unidos (entre otras la Patriot Act) prevalecen sobre el propio Safe Harbor, viéndose las empresas adheridas “obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas por este régimen cuando entren en conflicto con las citadas exigencias”.

En este sentido, el Tribunal de Justicia entiende que las autoridades públicas estadounidenses podrían acceder a los datos personales trasferidos desde los Estados miembros de la Unión Europea, pudiendo tratarlos para de manera incompatible con las finalidades del tratamiento originario, careciendo las personas afectadas de instrumentos jurídicos que les posibilitaran ejercitar sus derechos de acceso, rectificación y cancelación, entre otros aspectos.

Este hecho provoca una lesión evidente, a juicio del Tribunal, del contenido del derecho fundamental respecto de la vida privada de las personas, y por tanto de la protección de sus datos personales, vulnerándose, igualmente, el derecho fundamental a la tutela judicial efectiva, en tanto no se prevén acciones jurídicas específicas para garantizar este derecho erga omnes. En este aspecto, en el Anexo IV de la Decisión 2000/520 se establece que “si la legislación estadounidense establece una obligación en contrario, las entidades deben cumplirla, dentro o fuera del ámbito de los principios de puerto seguro”.

A mayor abundamiento, el Tribunal de Justicia de la Unión Europea entiende que la citada Decisión 2000/520/CE privaba a las Autoridades Nacionales de Control de sus facultades, considerando que “la Comisión carecía de competencia para restringir de ese modo las facultades de las Autoridades Nacionales de Control”.

En este sentido, tanto nuestra Ley Orgánica 15/1999 (LOPD), como la Directiva 95/46 inciden en la prohibición de transferencias de datos que tengan como destino un país que no proporcione un nivel de protección adecuado a dichas leyes.

Tras la importante Sentencia del Tribunal de Justicia de la Unión Europea, las empresas adheridas al Safe Harbor deberán proceder a regularizar sus procesos de transferencia internacional de datos, de cara a poder seguir tratando los datos personales, garantizando un nivel adecuado de protección para las personas, observando las exigencias establecidas en la normativa europea de protección de datos.

En este sentido, nuestra normativa nacional establece que para poder llevar a cabo transferencias internacionales de datos personales a Estados sin nivel adecuado de protección, es necesario, contar con:

  • La autorización del Director de la Agencia Española de Protección de Datos, siguiendo para ello el proceso de solicitud habilitado al efecto o;
  • Poder acogerse a las excepciones expresamente previstas en el artículo 34 LOPD, entre las que cabe destacar: que el afectado haya dado su consentimiento inequívoco a la transferencia prevista, que la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado, y que la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

No obstante, debe tenerse en consideración que el consentimiento prestado por parte de los titulares de los datos debe ser debidamente informado, inequívoco, basado en el principio de plena transparencia y calidad de los datos y obtenido por un medio acreditable en Derecho, lo que bien podría introducir una complejidad adicional a la hora de lograr su adecuada acreditación ante las Autoridades competentes en materia de protección de datos.

De esta forma, es importante resaltar que la importancia de esta sentencia no radica única y exclusivamente en cómo afecta a las entidades establecidas en Estados Unidos que prestan servicios o realizan intercambios y tratamientos de datos provenientes de la Unión Europea, sino que también afecta tanto a aquellas entidades nacionales que mantienen en la actualidad contratos con proveedores cuyos servicios impliquen el acceso, tratamiento o almacenamiento de datos personales (ej.: servicios de Hosting, aplicaciones en Cloud, etc), como a los propios flujos internacionales de datos que se realicen entre empresas del mismo grupo (ej.: entidades cuya matriz, o alguno de sus servicios corporativos, se encuentren ubicados en Estados Unidos).

Este aspecto pone de manifiesto la necesidad de que las empresas deben seguir avanzando en la implantación de sistemas de cumplimiento innovadores que posibiliten conciliar su actividad empresarial de la forma más eficaz posible, con la adopción de mecanismos y procedimientos que aseguren la confidencialidad, integridad y seguridad de los datos, respetando el derecho de las personas sobre su información personal y garantizando el cumplimiento normativo.

Retos legales del marketing digital

marketing_mx

Por Joel Gómez Treviño

Varias veces al año salen al mercado nuevos y mejores dispositivos electrónicos, desde los tradicionales teléfonos inteligentes y tabletas, hasta drones, pantallas holográficas y dispositivos de vestir. Cada avance tecnológico representa una nueva oportunidad de hacer marketing de una manera novedosa, pero sobre todo, muchas veces abre una posibilidad de llegar a más gente en menor tiempo. De ahí la esmerada atención que se le ha puesto a los fenómenos informáticos del “big data” y el “internet de las cosas”, tanto por sus beneficios como por sus riesgos.

Debo reconocer que el derecho siempre irá varios pasos atrás de la tecnología. Los procesos legislativos son lentos por naturaleza, y usualmente los diputados y senadores están más preocupados por otro tipo de temas; legislar sobre temas tecnológicos no es una de sus prioridades.

En algunos países se dice que las mejores oportunidades para hacer negocios (particularmente los “disruptivos”) se dan cuando no están regulados. Tal vez sea cierto, la gente puede hacer mucho dinero con negocios innovadores o disruptivos que no están regulados, pero… ¿a costa de qué? En muchas ocasiones estos negocios se aprovechan de vacíos legales -o incluso de la ausencia total de regulación- para crecer desmesuradamente, a veces pisando a muchos en el camino.

Ante este panorama legal incierto o de lenta implementación, ¿podrían los marketeros tener un código de ética en la adopción de nuevas tecnologías como medio o estrategia para hacer publicidad? ¿Qué elementos podría tener ese código de ética? ¿Cuáles serían los retos legales a superar? A continuación comparto algunas ideas, traducidas en “derechos del consumidor en la era digital”:

El consumidor debe:

  • Conocer qué información tratas de él (datos personales).
  • Saber cómo obtienes dicha información, a través de qué medios o procesos.
  • Comprender de manera detallada para qué usas esa información, así como poder negarse a determinado tratamiento.
  • Entender si compartes o transfieres dicha información con terceros.
  • Autorizar (otorgar su consentimiento) de manera inequívoca el que trates sus datos personales para determinados fines, así como la transferencia de los mismos.
  • Poder revocar de manera inmediata su consentimiento para evitar que sigas tratando sus datos personales.
  • Ejercer sin dilación sus derechos de acceso, rectificación, cancelación y oposición en el tratamiento de sus datos personales.
  • Tener garantías de que adoptarás todas las medidas de seguridad necesarias –tanto físicas como técnicas y administrativas– para proteger sus datos personales contra robo, pérdida, alteración, uso, acceso o tratamiento no autorizado.
  • Tener garantías de que usarás siempre sus datos de manera confidencial y que respetarás la ley aplicable, así como cualquier otro acuerdo al que hayas llegado con él, a través de tu aviso de privacidad.
  • Poder acudir ante cualquier autoridad competente en caso de que sus derechos sean vulnerados.

¿Estás listo para enfrentar estos retos?

Todo lo que debe saber sobre el Registro Nacional de Bases de Datos

colombia_tic

Por Heidy Balanta

Hasta abril de 2015 no ha entrado en funcionamiento el Registro Nacional de Bases de Datos, sin embargo, esta no es razón para que las empresas estén tranquilas, toda vez que el proyecto de Circular que establece su funcionamiento está ad portas de empezar a regir.

Para que la entrada en rigor no coja desprevenida a su empresa, presentamos el panorama de todo lo que debe saber sobre este nuevo requisito que deben cumplir todas las empresas colombianas, sin importar su tamaño, capital o sector económico al que pertenezcan.

Marco Legal

El marco legal está dado por la ley 1581 de 2012 y el Decreto 886 de 2014, que a continuación se detallan:

  • Ley 1581 de 2012 – Dicta disposiciones generales para la protección de datos personales
    Establece en su artículo 25 que el Registro Nacional de Bases de Datos es el directorio público de las bases de datos que operan en el país. Este registro será de libre consulta para los ciudadanos.
    Para realizar dicho registro, las empresas deberán aportar a la Superintendencia de Industria y Comercio las políticas de tratamiento de la información cuyo incumplimiento acarrea las sanciones establecidas en la ley.
    Por último, en el parágrafo de este artículo, establece que el Gobierno reglamentará la información que debe contener el Registro, así como los términos y condiciones bajo los cuales se deben inscribir los responsables del tratamiento.
  • Decreto 886 de 2014- Se reglamenta el Registro Nacional de Bases de Datos
    Este decreto establece que las personas naturales y jurídicas, ya sean del sector público o sector privado, deberán realizar la inscripción de las bases de datos que tengan en posesión. El registro de estas bases de datos se debe hacer de manera independiente, es decir, si tiene una base de datos de clientes y otra de empleados, deberá registrarlas individualmente y hacer un procedimiento de registro por cada una.

¿Qué información se solicita en el Registro a los responsables y encargados de la información?

Los datos e información que deben tener disponibles las empresas al momento del registro son los siguientes:

  • Datos de contacto, ubicación e identificación del responsable y del encargado del tratamiento de los datos y del encargo
    En este caso se debe indicar la denominación o razón social, el número de identificación tributaria y datos de ubicación y contacto tanto del responsable, así como del encargado del tratamiento de la base de datos.
  • Canales que dispone la empresa para que los titulares ejerzan sus derechos
    Estos canales son los medios de atención y recepción de los que dispone la empresa para las peticiones, consultas y reclamos que hagan los titulares de la información de sus derechos, conocidas como ARCO (Acceso, Rectificación, Cancelación y Oposición), sobre los datos que se encuentren en esas bases. Uno de los requisitos de estos canales es que deben prever la posibilidad de que el titular ejerza sus derechos a través del mismo medio por el cual fue recogida su información.
  • Nombre y finalidad de la base de datos
    Las empresas deben identificar las bases de datos que inscriban y consignar la finalidad por la cual fueron creadas.
  • Forma de tratamiento de la base de datos (manual y automatizada)
    Las bases de datos manuales son los archivos que se encuentran organizados y almacenados de manera física, y las bases de datos automatizadas son aquellas que se encuentran almacenadas y gestionadas a través de herramientas informáticas.
  • Política de tratamiento de la información
    La empresa debe suministrar a la SIC, a través de este registro, la política de tratamiento de la información.
  • Otra información que debe estar disponible
    Estos son los aspectos que consagra el decreto, no obstante, la Superintendencia en el proyecto de modificación de la Circular Única, incorpora información adicional que debe entregar la empresa al momento del registro, que incluye la información almacenada en la base de datos, las medidas de seguridad de la información, la procedencia de los datos personales, transferencia y transmisión internacional de datos personales, cesión de base de datos, reclamos e incidentes de seguridad.

¿Cuál es el plazo para inscribir las bases de datos en el Registro?

El Decreto estableció que las bases de datos se deben inscribir dentro del año siguiente a la fecha en que se habilite el Registro y las bases que se creen posteriormente, se deben inscribir dentro de los dos meses siguientes contados a partir de su creación. No obstante, en la actualidad el registro no se encuentra habilitado, pero tampoco falta mucho tiempo para esto, puede ser cuestión de semanas, incluso de días para que se dé la habilitación, esto se deduce del proyecto de modificación de Circular que se encuentra en la página de la SIC.
Sanciones

Por lo anterior, es importante que las empresas se preparen para enfrentar estas nuevas disposiciones, conociendo sus obligaciones y así evitar las sanciones que establece la ley, en la cual se refiere a que el incumplimiento del Registro “acarreará las sanciones correspondientes”.

Estas sanciones van desde multas de carácter personal e institucional hasta por el equivalente de 2.000 salarios mínimos mensuales legales vigentes, aproximadamente mil doscientos ochenta y ocho millones de pesos ($1.288.700.000).Otras de las sanciones son la suspensión, cierre temporal y cierre inmediato y definitivo de las actividades relacionadas con el tratamiento de datos, entre ellos datos sensibles.

Nuevos paradigmas en el derecho constitucional

constituciones_latam

Por Romina Florencia Cabrera

INTRODUCCIÓN

En su célebre “Teoría de la Constitución” de Karl Loewenstein, un libro de gran difusión en el Derecho Constitucional de la década de los ‘70, el autor desarrollaba una muy exhaustiva clasificación de las constituciones a partir de distintos modelos que tomaban en cuenta, ya sea el sistema de reforma constitucional, los textos unificados o dispersos, etcétera diferenciándose de ese modo del texto Constitucional Comparado predominante en la década anterior que era el “Derecho Constitucional Comparado” de Manuel García Pelayo, autor que clasificaba las constituciones por “tipologías”, tomando así para el Derecho Constitucional los concepto de “tipos ideales” desarrollado por Max Weber desde la Sociología y de los “tipos reales” elaborado por Jellinek en la Filosofía Política.

Pero  para no extendernos en tan interesante pero teórica cuestión, vale la pena detenerse en una de las clasificaciones de Loewenstein como es la de clasificar a las constituciones según su ideología en constituciones “ideológicas” y en constituciones “pragmáticas” (o ideológicamente neutras). Esta última categoría respondería, según el autor a la pretensión racionalista extrema de un modelo universal y “standard” de Constitución, aplicable a todos los modelos de Estado, como pretensión de ser una “constitución pura” cuyo paradigma sería el proyecto de Constitución para Austria elaborado por Hans Kelsen en 1920.

Pero aún esa Constitución que pretendía neutralidad ideológica tampoco la ostentaba en lo hechos. En efecto, al proponer un Poder Judicial independiente que garantizaba la aplicación de los derechos fundamentales, se estaba afirmando, en la práctica, la vigencia de un modelo republicano de limitación del poder.[1]

El Derecho Constitucional, es la rama del derecho encargada de analizar y controlar las leyes fundamentales que rigen al Estado se conoce como derecho constitucional. Su objeto de estudio es la forma de gobierno y la regulación de los poderes públicos, tanto en su relación con los ciudadanos como entre sus distintos órganos.[2]

FUNDAMENTACIÓN

IMPORTANCIA DEL DERECHO CONSTITUCIONAL

El Derecho Constitucional es la base de todo el Ordenamiento Jurídico-Político, motivo por el que se cree  que esta asignatura puede ser considerada como la más importante de todas las Ciencias Jurídicas.

Kelsen decía con razón que el Derecho Constitucional es el fundamento de todo el Derecho.

La Constitución es la ley suprema de un Estado que establece su organización, su funcionamiento, su estructura política y los derechos y garantías de los habitantes de ese estado. Se llama precisamente Constitución pues “constituye” la nación políticamente organizada, le da sus principios, y la distingue de otros estados. Está precedida generalmente de un preámbulo que establece sus antecedentes y sus fines. El vocablo surgió de la unión de dos palabras latinas “cum” que significa “con” y “statuere” que quiere decir “establecer”[3]

HACIA NUEVOS HORIZONTES, PRESENTE Y FUTURO

La sociedades evolucionan, y de este modo, la civilización va fortaleciendo lazos con su medio, y por esa razón, se adapta a los cambios que van trasformando a la época en que a cada ser humano le toca vivir ( Como decía Heráclito, “no nos bañamos dos veces en el mismo río”); un tiempo y un espacio determinado. Somos una luz en la eternidad dirían los sabios…

Al concebir nuevas maneras de coexistir ( con resultados positivos en muchos casos y negativos en otros) las demandas sociales se van modificando, y el Derecho también, por ende. Se deberá, tal vez, adaptar la técnica legislativa a las nuevas exigencias y realidades de la Sociedad Actual y Futura, y brindarles respuestas cada vez más inmediatas , eficaces y eficientes, en un mundo en constante avance, a una velocidad antes impensada, ya sea por la incorporación Tecnológica, el cambio climático, o simplemente, por el Destino mismo de la Historia…se repetirán los ciclos constantemente?; aprenderemos de nuestros errores para enmendarlos hacia una sociedad más justa, equitativa, con igualdad estructural ( real). Con más libertad, tolerancia social…o todo seguirá su curso por la inercia… y la Humanidad finalizará cuando deba estar escrito…con los mismos errores de siempre….

DERECHOS HUMANOS

Los Derechos Humanos se basan en el valor y dignidad de la Persona Humana. Así lo establece la Convención de Viena. Nuestro País, recepciona la jerarquía de Dichos Derechos plasmados en los Tratados Internacionales del Art. 75 inciso 22 de la Carta Magna.

 El respeto a los Derechos Humanos, concebidos en  el valor y la dignidad de la persona; la Constitución Nacional adoptada y respetada realmente como la Ley Fundamental,  y la concepción de una sociedad democrática, deliberativa, con una justicia independiente, donde todos los ciudadanos por igual tengan acceso a la misma, con  el debido proceso y todas las garantías vigentes, conforman un verdadero Estado de Derecho.

El fenómeno de la Internet ha irrumpido en nuestra sociedad de manera tan vertiginosa, de tal modo que si queremos aprovechar todas las ventajas que proporciona, no debemos dejar de lado la protección y promoción de los DDHH en línea.

La protección de Datos Personales( como Derecho autónomo e independiente, según la Agencia Española de Protección de Datos), libertad de expresión, honor, intimidad, privacidad, asociación, difusión de imagen, propiedad intelectual, son derechos que necesitan protección ante las vulneraciones que puedan sufrir por parte de otros actores sociales o fenómenos; más aún en el ámbito de la Red, donde los efectos positivos o negativos se multiplican velozmente por su mecanismo tecnológico, aún más con la acción de las Redes Sociales.

INTRODUCCIÓN DE LAS NUEVAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN, EN LA LLAMADA SOCIEDAD DIGITAL

PROTECCIÓN DE DATOS

Cuando pensamos en educación la mayoría de las personas generamos una o varias imágenes mentales de niños y de escuelas. Pero la educación trasciende esta imagen, ya que es un concepto mayor. Los seres humanos no dejamos nunca de educarnos a lo largo de toda nuestra vida, en un mundo que gira vertiginosamente y que ¿evoluciona? día a día. Así mismo, cabe recordar que la escuela siempre se hace eco de las inquietudes de la sociedad. Hoy en día una gran parte de estas inquietudes vienen dadas por conceptos como “redes sociales”, “videoconferencias”, “ciberespacio”… y la comunidad educativa se esfuerza por adaptarse a las nuevas tendencias tratando de dar respuesta a los nuevos problemas que han surgido.

Las Tecnologías de la Información y la Comunicación (TIC) han venido a demostrarnos que existe una tendencia mundial a la incorporación del avance de las herramientas digitales en la vida de los habitantes de este planeta, en cada minuto y lugar de su existencia. Esto nos genera nuevas oportunidades, pero también nuevos riesgos.

Las TIC son la puerta de entrada que posibilita el acceso al conocimiento acumulado de toda la historia; nos ponen al alcance de la mano una infinita cantidad de información; achican distancias; y nos permiten conectarnos a nivel global como ninguna otra tecnología había logrado.

Sin embargo, también la actual sociedad del conocimiento revela, igualmente, la existencia de diversos riesgos asociados, a saber: la generación de nuevas diferencias sociales entre quienes tienen y no tienen acceso a las tecnologías; situaciones de exclusión digital; la existencia de una brecha digital entre los menores y sus padres y educadores; así como la posible vulneración de los derechos humanos como es el derecho a la protección de los datos personales.

Por lo tanto, cuando pensamos en unificación de criterios educativos, no tenemos que olvidar algunos conceptos:

  • Que educar es hacerlo para todos: niños, adolescentes y adultos.
  • Que educar posibilita que todos los ciudadanos puedan acceder y hacer uso de la información y el conocimiento accedido, lo que resulta clave para el propio ejercicio de sus derechos fundamentales.
  • Que el simple acceso al conocimiento no significa educar.
  • Que todos los países deben ser soberanos para poder acceder a las fuentes del conocimiento.
  • Que el concepto de educación es un concepto dinámico, que evoluciona constantemente. Por eso, todos debemos adaptarnos a los cambios y contribuir en las etapas de transición.
  • Que la educación permite que se haga un uso correcto de las tecnologías de la información respetando los derechos de los demás.
  • Que el acto pedagógico es un proceso inclusivo que potencia el desarrollo de las naciones y de cada uno de sus ciudadanos.
  • Que existen brechas educativas que la tecnología está capacitada para disminuir, teniendo especial consideración en no crear nuevas distancias educativas digitales.
  • Que la educación requiere un proceso permanente de evaluación y aseguramiento de la calidad y de su impacto en la sociedad.[4]

Por ello , es fundamental la inclusión de esta temática en la futura enseñanza del Derecho Constitucional, ya que las Seguridades Jurídicas incluidas en la Constitución Nacional ( la Ley Fundamental), especialmente en sus Declaraciones, Derechos y Garantías, deben contemplar estas situaciones jurídicas; y los tanto los futuros profesores como alumnos, deben poseer las herramientas para desenvolverse en una Sociedad de la Información que avanza día a día; y de este modo, fortalecer el concepto de Ciudadanía.

NUEVOS PARADIGMAS ANTES IMPENSADOS

La realidad nos expone nuevas tendencias que en un mundo más tradicional (con todo respeto a la palabra), serían improbables de legislar y de recibir la garantía de seguridad jurídica que nos brinda la Constitución Nacional, la Ley Fundamental, como el Matrimonio Igualitario, Fertilidad Cruzada, Adopción de parejas del mismo sexo, Democracia Directa a través de Redes Sociales, Ciudadanía 3.0, Eutanasia, y un tema de Bioética que me llamó particularmente la atención, cuando mi papá Héctor Cabrera, también abogado y Profesor (y de origen griego de familia, para tal vez fundamentar nuestro interés por la Ciencia) , me mostró con mucha curiosidad una noticia sobre el primer implante de cabeza, a realizarse en el  2017.  El programador ruso de 30 años Valeri Spriridónov, que sufre de atrofia muscular espinal, se ha convertido en el primer candidato para someterse a un trasplante de la cabeza. Mientras el anuncio ha causado polémica y desconfianza en la comunidad médica, el cirujano italiano Sergio Canavero, que se prepara para llevar a cabo esta operación sin precedentes, asegura que la operación es viable. El primer paciente potencial que se someterá a un trasplante de cabeza se comunica por Skype con el cirujano italiano Sergio Canavero, que llevará a cabo la operación. Según él, quienes sufren atrofia muscular espinal tienen prioridad en la selección de pacientes para este tipo de operación.

Spiridónov se puso en contacto con el profesor hace dos años, tras conocer su investigación por Internet. La familia del programador apoya su decisión, aunque son conscientes del alto riesgo de muerte después de la cirugía. “¿Que si tengo miedo? Sí. Pero también interés”, expresa el programador de la ciudad rusa de Vladímir. “Este experimento es un gran avance [científico]. Es equivalente al vuelo de Gagarin. Objetivamente, no tengo los recursos materiales para pagarlo, pero estoy dispuesto a entregarme a la ciencia”, señala Spiridónov.[5]

Esto llevará a los debates éticos, religiosos, y filosóficos, no solo científicos: también abre la puerta a la controversia de la Criogenia.[6]

No digo  que estas cuestiones son buenas o malas, de ninguna manera estoy  otorgándole un calificativo moral;  no soy quién para juzgar a nadie… solo humildemente pretendo buscar soluciones y respuestas jurídicas a los problemas que pronto nos estarán invadiendo..o no…tal vez algunos queden en la fantasía….

La legitimidad que[7], en su sentido pleno, implica una difundida conformidad con un sistema[8], se encuentra íntimamente conectada con la justificación del poder porque ambas responden al interrogante de quien manda , porqué manda y de quien obedece , porqué lo hace . Guglielmo Ferrero [9]lo señala con agudeza  cuando dice:… “los principios de legitimidad son justificaciones de poder, es decir, del derecho de mandar. Entre todas las desiguladades humanas, ninguna es tan importante por sus consecuencias ni tiene tanta necesidad de justificarse ante la razón, como la establecida por el poder.

La legitimidad del poder en un estado democrático es garantizada por la elección popular de sus representantes, a través de un sistema electoral. En el mundo virtual, estos fenómenos de relaciones de poder  se observan muy cercanos a la ciudadanía, ya que los seres humanos vivimos prácticamente nuestra vida con la conexión on line.

El mundo virtual de Internet y las Redes Sociales posibilita un sinfín de interconexiones y comunicaciones ilimitadas y heterogéneas que logran efectos de conectividad e interacción social antes impensados, pero que también logran traspasar límites físicos, psicológicos, emocionales, económicos, culturales, políticos, laborales, educativos y sociales, perdiendo el protagonista del mismo, el Hombre, el control sobre sus acciones en la Red.

Su Identidad como Persona se ve trasformada en lo que se denomina  “Identidad Digital”, un espacio virtual donde la subjetividad de los individuos da lugar al surgimiento de una identidad en entornos virtuales anónimos, en donde los individuos suelen jugar roles diferentes a los de su vida real: liberarse ; vencer, lo que Norbert Elías denomina a  “Umbrales de vergüenza”. Así es que la relación entre las redes sociales y la vergüenza está dada porque las primeras pueden ser utilizadas como una “máscara” debajo del cual el sujeto puede sentirse libre y resguardar sus aspectos más íntimos ( depende cuales y si realmente los resguarda, o ventila información sensible creyendo estar resguardado o protegido por este marco). La vergüenza, aparece como una emoción netamente social, que se experimenta en contacto cara a cara y desaparece en el contacto virtual. La mirada de los otros se ve disminuía da en el mundo virtual, y da sensación de libertad. [10]

La educación debe implementarse respetando las bases democráticas y  principios constitucionales y republicanos establecidos, y principalmente con conceptos de Derechos Humanos, cuyo fundamento es la dignidad y valor de la persona humana.  Los principio de igualdad, no discriminación, educación en género  y de derechos humanos de las mujeres deben estar presentes, como también cada tratamiento específico de los mismos en las áreas en las que se trabaje. [11]

CONCLUSIONES

La educación es la base del ejercicio de la libertad en una sociedad, con la autodisciplina de sus miembros, como seres racionales, en pensamiento de John Stuart Mill.

El cambio de paradigma del Derecho Constitucional, debe darse  de manera gradual, moderada, y respetando a todas las opiniones (inclusive a las más tradicionales; porque allí está la verdadera trasformación hacia el futuro: combinar la tradición, y reacomodarla a los nuevos conceptos y modelos).

La protección de Datos, y más en línea, debe ser considerado una materia de enseñanza en este ámbito, dentro de los Derechos Fundamentales y Libertades consagradas por la Ley Fundamental, y más , reforzando los conceptos democráticos; y como se ha dicho en recientes conferencias sobre Relaciones Internacionales y Diplomacia Digital, el” Estado de Derecho en línea”. [12]

Los profesores de Derecho Constitucional tendrán las herramientas para desarrollar nuevas capacidades en los procesos de aprendizaje educador-educando, y fomentar el pasamiento crítico, fundamentalmente en cuestiones de compromiso social y libertades civiles, sobre todo en la Era de la Comunicación Digital.

BIBLIOGRAFÍA

Ferrero, Guglielmo. “El poder”. Ed. Interamericana 1943.

Galeano, Eduardo,” Úselo y tírelo”, Editorial Booket, 1994

García Pelayo, Manuel. “Las Trasformaciones del Estado Contemporáneo”. Alianza Universidad 1980.

Loñ, Félix R.  “Constitución y Democracia”. Lerner Editores Asociados. Buenos Aires.

Lic. Ortiz, Karina. Lic. Tato, Fernanda. Lic. Monti vero, Soledad .Lic. García, Laura. Argentina. “Las nuevas tecnologías en la configuración de identidades”. Argentina, Universidad de Lomas de Zamora. Elías, Norbert, “Proceso de la civilización en la sociología”.

Salvioli, Fabián Omar. “La universidad y la educación  en el siglo XXI. Los Derechos Humanos como pilares de la nueva reforma universitaria”. Instituto Interamericano de Derechos Humanos. 2009.

[1]  Dalla Vía, Alberto Ricardo. Sitio Web: http://www.buenastareas.com/ensayos/Filosofia-y-Teoria-Constitucional-Dalla-Via/59204154.html. Fecha de la consulta del sitio: 27/4/2015

[2] Sitio Web: http://definicion.de/derecho-constitucional/. Fecha de consulta del sitio 27/4/2015

[3] Sitio Web: http://deconceptos.com/ciencias-juridicas/constitucion. Fecha de consulta del sitio 27/4/2015.

[4] “Declaración de Buenos Aires, hacia la unificación de criterios educativos para la protección de la privacidad en Iberoamérica”.  Sitio Web: http://oiprodat.com/declaracion-de-buenos-aires/. Fecha de la consulta del sitio: 6/5/2015. Declaración de Buenos Aires, hacia la unificación de criterios educativos para la protección de la privacidad en Iberoamérica, elaborada desde la iniciativa del Observatorio Iberoamericano de Protección de Datos, fue presentada en la Ciudad Autónoma de Buenos Aires (Argentina), el 11 de julio de 2013, por el Director del Centro de Protección de Datos, D. Eduardo Peduto, en la Defensoría del Pueblo de Buenos Aires.

[5] Sitio Web: http://actualidad.rt.com/ciencias/171528-primer-trasplante-cabeza-historia-revolucion . Fecha de la Consulta: 29/4/2015.

[6] Sitio Web: http://www.altonivel.com.mx/15979-criogenia-realidad-o-ciencia-ficcion.html. Fecha de Consulta: 29/4/2015.

[7] Loñ, Félix R.  “Constitución y Democracia”. Lerner Editores Asociados. Buenos Aires. Página 189.

[8] García Pelayo, Manuel. “Las Trasformaciones del Estado Contemporáneo”. Alianza Universidad 1980, página 29.

[9] Ferrero, Guglielmo. “El poder”. Ed. Interamericana 1943. Página 35.

[10] “Las nuevas tecnologías en la configuración de identidades”. Autoras: Lic. Karina Ortiz; Lic. Fernanda Tato; Lic. Soledad Monti vero; Lic. Laura García, Argentina, Universidad de Lomas de Zamora. Elías, Norbert, Proceso de la civilización en la sociología. Galeano, Eduardo, Úselo y tírelo, Editorial Booket, 1994

[11]  Salvioli, Fabián Omar. “La universidad y la educación  en el siglo XXI. Los Derechos Humanos como pilares de la nueva reforma universitaria”. Instituto Interamericano de DDHH. 2009.

[12] Diplo. Towards more inclusive and effective diplomacy. “ Internet governance developments in April”. 29 de Abril de 2015. Sitio Web: http://www.diplomacy.edu/blog/internet-governance-developments-april#comment-44496 . Fecha de consulta del Sitio: 15/5/2015.

¿Qué hacer con los datos de pacientes cuándo traspaso o adquiero una farmacia o consulta médica?

farmacia_lopd_consultas

Por Javier Villegas Flores

Dentro de la protección de datos personales en el entorno sanitario, nos encontramos en muchas ocasiones con los casos de consultas, clínicas y oficinas de farmacia que son traspasadas y en las que ni los antiguos ni los nuevos titulares saben muy bien qué hacer con la base de datos de pacientes que se cede con las mismas, y que contiene datos personales de salud, con nivel alto de seguridad y por tanto un especial régimen especial de protección en la normativa de protección de datos.

Cuando nos encontramos en esta situación, la alternativa que se plantea es la siguiente:

A) ¿Se trata de una comunicación de datos de salud, y por tanto sujeta a los principios de consentimientolibre, inequívoco, informado y expreso de los afectados?

Hay que tener en cuenta que el artículo 7.3 de la LOPD (Ley 15/99, de Protección de Datos de carácter personal) señala respecto a los datos de salud que:

“… sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente”.

B) ¿O se puede amparar en el artículo 19 del RLOPD (RD 1720/2007, de 21 de diciembre, Reglamento de desarrollo de la LOPD), como “modificación del responsable del fichero (…) por (…) transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, en la que no se considera que hay cesión de datos , sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999”, y por tanto no existe la obligación de consentimiento antes apuntada?

FARMACIAS: respuesta correcta sería B.

Como regla general, el artículo 19 sí sería aplicable en el caso de traspaso de una oficina de farmacia. Es decir, no sería necesario el consentimiento previo de los pacientes de la Farmacia para poder ceder la base de datos al nuevo farmacéutico titular, en tanto que se entiende que hay una continuidad en la actividad y en el tratamiento de los datos, aunque se haya modificado el Responsable del Fichero.

La obligación que sí persiste para el nuevo titular, al margen de todas las que le corresponden como Responsable de fichero de datos personales de nivel alto (alta en la AEPD, elaboración y mantenimiento del Documento de Seguridad, implantación de medidas de Seguridad de nivel alto, auditorías bianuales, etc.), es la de informar a los pacientes de lo establecido en el artículo 5 de la LOPD:

Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Un ejemplo sería la colocación de un aviso informativo en un lugar visible de la oficina de Farmacia, con este texto:

En cumplimiento de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal, le informamos que los datos que nos proporciona pasarán a formar parte de un fichero titularidad de NUEVO TITULAR, cuyas finalidades exclusivas son las derivadas de la actividad sanitaria, así como la gestión de tipo administrativa necesaria para dichos servicios.

Asimismo le informamos que, con motivo del cambio de titularidad de la oficina de farmacia, los datos personales han dejado de ser responsabilidad del anterior: ANTIGUO TITULAR, pasando a ser responsabilidad de NUEVO TITULAR.

El interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición, expresamente reconocidos en la citada Ley Orgánica 15/1999,  mediante escrito, acompañado de fotocopia de dni, dirigido a DIRECCIÓN NUEVO TITULAR , o bien a través de los formularios que se encuentran a su disposición en la dirección anteriormente citada.

* Nota: se trata de un ejemplo orientativo y no exhaustivo. Consulte con un especialista para personalizar el aviso informativo atendiendo a las particularidades de cada caso.

CLÍNICAS Y CONSULTAS MÉDICAS: respuesta sería A o B

En el caso de las clínicas y consultas médicas, es preciso diferenciar en función de la forma jurídica de la consulta o clínica y la vinculación de los pacientes con un determinado médico.

No habría cesión de datos y, por tanto, no requeriríamos el consentimiento de los pacientes, si estamos ante el traspaso de uncentro médico o clínica en la que los pacientes no son de un médico en particular de la misma, sino de la entidad u organización que conforma la propia clínica, con independencia de que los médicos, como personal del centro, tengan acceso y traten información de los pacientes que tengan que atender.

En este caso, como en el de las Farmacias, subsiste la obligación de información del artículo 5, así como el resto de deberes aplicables al nuevo titular como Responsable del Fichero.

Distintas son las consultas particulares en las que el facultativo deja de ejercer la profesión y quiere “traspasar” sus pacientes a otro médico. En este caso, y según criterio reciente de la Agencia, no sería de aplicación el artículo 19 y habría cesión de datos de salud, por lo que debería recabarse el consentimiento de los pacientes para que acceda a su historia clínica el médico al que se traspasa la consulta.

Conciliación de la Ley de Transparencia con la Ley Orgánica de Protección de Datos

trans_lopd

Por Francisco R. González-Calero Manzanares

Hace poco más de un año me preguntaba si ¿ningunea la Ley de transparencia a la Ley Orgánica de protección de datos? al establecer la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno en el artículo 12 un derecho de acceso de los ciudadanos a la información pública.

Como comentábamos en el artículo mencionado y al que nos remitimos, el ciudadano no tiene que justificar el motivo que origina su solicitud, y la propia Ley 19/2013 establece una serie de materias en las que puede denegarse total o parcialmente ese derecho, y fija una serie de reglas para el acceso a documentos cuando en los mismos consten datos de carácter personal de terceros. Dejando al margen los criterios establecidos para los documentos con datos especialmente protegidos por la Ley Orgánica 15/1999 de protección de datos de carácter personal (artículos 7.2 y 7.3) más los de imposición de infracciones penales o administrativas que no conlleven la amonestación pública del infractor, cuyas reglas quedan claras, retomamos los criterios de ponderación establecidos en la Ley 19/2013 y las habilitaciones legales para restringir o facilitar el acceso a la información pública,  puesto que nos darán la idea de cómo hay que aplicar y cómo se está aplicando la conciliación a través de la ponderación de derechos protegidos en las dos leyes en cuestión. No hay que olvidarse que lo que está en juego es una posible vulneración del artículo 11 de la LOPD que, a grosso modo, obliga a contar con el consentimiento expreso del afectado para poder comunicar sus datos a terceros, salvo que esa comunicación esté prevista en una Ley.

Comenzando con la ponderación entre leyes y derechos, disponemos ya de una primera Resolución conjunta en base a la disposición adicional quinta de la Ley 19/2013que dispone que “el Consejo de Transparencia y Buen Gobierno y la Agencia Española de Protección de Datos adoptarán conjuntamente los criterios de aplicación, en su ámbito de actuación, de las reglas contenidas en el artículo 15 de esta Ley”. En este caso se plantean varias cuestiones en relación a la posibilidad de facilitar las retribuciones del personal que trabaja para la administración  (funcionario, laboral o eventual) vinculando el dato retributivo a la persona, productividad percibida por cada empleado público y RPT de los órganos administrativos e identidad de la persona que ocupa un determinado puesto de trabajo.

De la mencionada resolución cabría destacar que a los efectos de ponderar entre ambas leyes, se toma como criterio el de la relevancia del cargo y su nivel de confianza, entendiendo que sí procede dar publicidad a los cargos directivos(Titulares de las Subdirecciones Generales, las Subdelegaciones del Gobierno en las provincias y de los órganos directivos de las Agencias Estatales, Entes y otros organismos públicos que tengan atribuida la condición de directivos) en el supuesto planteado,personal eventual “cuya designación se basa en criterios de confianza y discrecionalidad“ y personal funcionario de libre designación siempre atendiendo al nivel del puesto desempeñado, cuando más alto esté en la jerarquía, más justificación existirá para su publicidad ya que en la ponderación pesará con mayor fuerza el interés público. En relación con la productividad entiende que debe regir el mismo criterio “acerca de los niveles de responsabilidad, confianza y  participación en el proceso de toma de decisiones“.

Finalmente se incluyen unas consideraciones adicionales entre las que destacan que loscriterios de ponderación lo son a efectos de la resolución del derecho de acceso y no son extrapolables a la publicidad activa de la información (por ejemplo publicación en portal de la transparencia), ya que los criterios podrían diferir, y que a la hora de conceder el acceso hay que informar expresamente al interesado de acuerdo con el artículo 15.5, de la Ley 19/2013 que dispone que la normativa vigente de protección de datos personales será en todo caso de aplicación al tratamiento posterior de los obtenidos a través del ejercicio del derecho de acceso.

Tenemos por ello un primer límite al derecho de acceso a la información pública basado en el grado de confianza, responsabilidad y discrecionalidad en la designación del empleado público. Cuanto más alto esté en el escalafón jerárquico, más discrecionalidad en el nombramiento exista y más poder de decisión posea, menos derecho a la protección de datos tendrá, al menos en lo que a su retribución se refiere.

En cuanto al segundo bloque que queríamos analizar, a saber la habilitación legal que faculta la comunicación de datos personales a terceros, de acuerdo con lo previsto en el artículo 11 de la LOPD contamos con la reciente Sentencia del Tribunal Supremo 957/2015 de 9 de marzo  de 2015 que anula y casa la Sentencia de la Audiencia Nacional 2898/2012 de 15 de junio de 2012 desestimando por ello el recurso planteado contra la resolución de la Agencia Española de Protección de Datos, de 20 de abril de 2009 (procedimiento AP/00063/2008).

El supuesto analizado parte de la denuncia de una persona contra la Consellería de Presidencia, Administraciones Públicas e Xustiza de la Xunta de Galicia, al comprobarque esta había publicado en Internet una relación de admitidos para ayudas de discapacitados del Fondo de Acción Social de la Xunta de Galicia, donde figuraban los nombre y apellidos, entre ellos los del denunciante y a esta información se podía acceder desde cualquier buscador de Internet. En concreto se había publicado una “lista de admitidos a la mencionada subvención, que contenía un total de 658 registros o datos de personas, en la que se indicaba el concepto de la ayuda “discapacitados” (finalidad de la subvención), e incluía dos columnas de nombres y apellidos, una columna con los nombres y apellidos de los solicitantes de la subvención (los beneficiarios) y la otra columna con los nombres y apellidos de los causantes de la subvención (las personas discapacitadas)“. La AEPD estimó que se había producido una infracción del artículo 10 de la LOPD del deber de secreto, siendo posteriormente anulada por la Audiencia Nacional.

El Tribunal Supremo no comparte el criterio de la Audiencia Nacional puesto que “… en relación con el artículo 18 de la Ley 38/2003 General de Subvenciones, pues la sentencia de instancia considera que este último precepto contiene una excepción al deber de guardar secreto del artículo 10 LOPD , lo que supone un error, pues la legislación sobre subvenciones no permite la publicación de los datos del causante de la subvención, el discapacitado, que están especialmente protegidos por el artículo 7 de la LOPD, ni exige que se publiquen otros datos personales más allá de los datos del beneficiario“. Y todo ello en base a lo establecido en el artículo 18.1 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones, en la redacción vigente en la fecha de los hechos que causan este recurso, establecía que “Los órganos administrativos concedentes publicarán en el diario oficial correspondiente, y en los términos que se fijen reglamentariamente, las subvenciones concedidas con expresión de la convocatoria, el programa y crédito presupuestario al que se imputen, beneficiario, cantidad concedida y finalidad o finalidades de la subvención“, lo que lleva al Tribunal Supremo a entender que “Los términos del precepto son claros, al indicar los datos de las subvenciones que han de ser objeto de publicación en los diarios oficiales, la convocatoria, el programa y crédito presupuestario, beneficiario, cantidad concedida y finalidad de la subvención. Entre dichos datos no existe referencia alguna a la publicación del nombre y apellidos de la persona causante de la subvención, en este caso, de la persona discapacitada, que es persona distinta del beneficiario de la subvención“. Una cosa es el beneficiario de la subvención (personal de la Xunta de Galicia detallado en las bases de la resolución que regula estas subvenciones) y otra los discapacitados en dependencia directa y con grado de parentesco estipulado en la resolución que causan el derecho a la subvención.

Como podemos comprobar el derecho de acceso a la información pública no es absoluto. En este caso opera como habilitador el artículo 18.1 de la Ley General de Subvenciones para poder conocer los beneficiarios de las mismas, sin que quede habilitado conocer el dato del causante de la subvención (discapacitado).  Por ello a la hora de facilitar una información o publicarla, se deberá actuar con suma cautela analizando si existe una habilitación legal para ello, salvo que se cuente con el consentimiento expreso del afectado, o que la concesión del derecho de acceso se pueda justificar en base a alguno de los criterios o reglas de ponderación establecidos en la Ley 19/2013 cuando no se trate de datos especialmente protegidos que tienen sus propias reglas.

Herramientas legales no nos faltan, así por poner dos ejemplos, el artículo 61 de la Ley 30/1992 de régimen jurídico de las administraciones públicas y del procedimiento administrativo común, permite al órgano competente a publicar en el Diario o Boletín Oficial que corresponda, una somera indicación del contenido del acto, del plazo y del lugar donde los interesados pueden comparecer para conocer el contenido íntegro del mismo, cuando aprecie que la publicación o la notificación por medio de anuncios puede vulnerar derechos o intereses y el artículo 70 de la Ley 7/1985, de 2 de abril, reguladora de las Bases de Régimen Local al disponer, que las sesiones del Pleno son públicas, pudiendo acordarse por mayoría absoluta el debate y votación secreta de los puntos, que puedan afectar al derecho constitucional de la intimidad personal (art. 18.1). De producirse este hecho, queda claro que a la hora de redactar el Acta del Pleno se debería extractar el contenido de este punto. Poco a poco se irá produciendo la conciliación entre las dos leyes y tendremos más resoluciones y sentencias que irán construyendo doctrina y jurisprudencia, pero mientras eso va ocurriendo, las máximas a aplicar en estos casos son el interés legítimo, el interés público y el sentido común.

Publicado originariamente por el autor en Legaltoday

Leyes digitales para potenciar tu negocio

leyes_digitales

Por Joel Gómez Treviño

En ciertos círculos -lamentablemente- existe la creencia de que en México las actividades que se realizan por Internet (o a través de medios electrónicos) no están reguladas, o en el mejor de los casos, si hubiere regulación, la misma es deficiente o insuficiente. Dichos mitos están muy alejados de la realidad.

Desde 1999 México empezó a reformar una gran cantidad de leyes, códigos y normas con el objeto de alcanzar el avance tecnológico, para darle certidumbre tanto a la ciudadanía como al gobierno en torno a las consecuencias legales derivadas del uso de la tecnología.

Algunos de las actividades o áreas que están perfectamente reguladas son las siguientes:

  • Comercio electrónico – Los códigos civiles y el de comercio fueron modificados para que particulares y comerciantes pudieran expresar su consentimiento (realizar transacciones) a través de medios electrónicos, así como para dotar de plena validez jurídica a los mensajes de datos, poniéndolos en un plano de igualdad con los documentos físicos.
  • Firma electrónica – Su uso está plenamente legitimado en diversos contextos, tales como transacciones civiles, mercantiles y financieras, así como en materia laboral, administrativa e incluso para pagar impuestos. Por seguridad y confidencialidad es muy recomendable utilizarla, y desde la perspectiva legal su uso produce efectos jurídicos y es equiparable al la firma autógrafa.
  • Protección al consumidor – Existen diversos requisitos que los proveedores de bienes o servicios que hagan negocios a través de medios electrónicos deben cumplir para darle certidumbre a los consumidores. Entre ellos podemos citar a la obligación de dotar a la transacción de seguridad y confidencialidad, así como proporcionar domicilio, teléfono y otros datos de contacto para que los consumidores puedan presentar aclaraciones y quejas.
  • Prueba digital – Es válido presentar en juicio civil, mercantil o laboral pruebas electrónicas, como mensajes de datos o firmas electrónicas. Dichas pruebas son equivalentes a sus contrapartes físicos, autógrafos o en papel. El juez no les restará fuerza o validez probatoria por la sola razón de que se encuentren en, o hayan sido generados a través de medios electrónicos.
  • Datos personales – Pese a su corta existencia, existe ya un amplio marco regulatorio que protege los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. Las multas en esta materia pueden llegar a exceder los $41 millones de pesos, e inclusive existen penas corporales (prisión de hasta 10 años).
    Delitos informáticos – Existe una amplia gama de actividades consideradas como “delitos informáticos” reguladas y sancionadas tanto por el Código Penal Federal como por los códigos penales estatales.
    Licitaciones públicas vía Internet – Es válido que los ciudadanos (como empresas o personas físicas) participen en licitaciones que realiza el gobierno a través de Internet.
  • Comprobante fiscal digital por internet y factura electrónica – Un numeroso grupo de normas han sido publicadas y reformadas para que los contribuyentes hagamos uso legal de estas herramientas para el pago de impuestos, presentación de declaraciones y desde luego para facturar la venta de productos y servicios.
  • Nombres de dominio – Aunque no existe una ley mexicana que regule esta área, existen procedimientos rápidos, eficientes e internacionalmente reconocidos, que permiten iniciar una disputa para recuperar la titularidad de (o cancelar) un nombre de dominio, cuando éste se encuentra en conflicto con una marca registrada u otro derecho de propiedad intelectual.

Por si todo lo anterior no fuera suficiente, muchas leyes “off-line” (que no fueron creadas o reformadas para regular temas informáticos) pueden ser aplicables a actividades que realizamos cotidianamente a través de Internet o medios electrónicos. Prácticamente todas las reglas tradicionales para hacer negocios (compra-venta, arrendamiento, servicios) son aplicables al mundo “on-line”, así como la protección de marcas y derechos de autor, entre otros muchos conceptos que no discriminan actividades por llevarse a cabo en medios físicos o electrónicos.

En suma querido lector, tenga usted la certeza de que casi cualquier cosa que haga por internet tiene consecuencias jurídicas sólidas, y a veces graves. No permita que la ignorancia, los mitos o las leyendas urbanas inhiban su capacidad de sacarle el máximo provecho al Internet y a los medios electrónicos.

Responsabilidad por deber de garante: aplicación al CCO y al DPO

co_dpo_colom

Por José Luis Colom Planas

1. Introducción a la responsabilidad por deber de garante

En la jurisdicción Penal, el deber de garante presenta una íntima relación con las conductas omisivas. Es en base a ellas que se puede atribuir responsabilidad a quién omite una acción, siempre que se den determinadas circunstancias. Entre éstas es primordial que exista alguna conexión entre la omisión y la responsabilidad, en base a una relación contractual o laboral, por ejemplo.

Éste sería el caso del Chief Compliance Officer (CCO) o responsable del órgano (individual o colegiado) de la persona jurídica, con poderes autónomos de iniciativa y de control, que velará, quizá entre otros, por el cumplimiento del modelo de prevención de delitos penales en el seno de la empresa.

Más adelante, por analogía, intentaremos extrapolar esta responsabilidad a otras figuras que prestan su desempeño en la persona jurídica, con obligación por su cargo de velar por determinado cumplimiento, como puede ser el Data Protection Officer (DPO).

2. La comisión por omisión

Podemos clasificar las conductas omisivas, al menos en omisión pura y comisión por omisión.

  • La omisión pura, en Derecho Penal, sitúa el fundamento de la punición en el terreno de la antijuridicidad formal, trasladando la responsabilidad penal del plano causal al normativo. Sería la abstención simple de hacer algo que marca la Norma.
  • La comisión por omisión, fundamentada en las teorías causales, se basa en que la omisión de determinada conducta que evitaría un resultado penal es casi idéntica a causar éste a través de una conducta activa. Sería haber dejado de hacer algo necesario. Es aquí donde confluye con el deber de garante.

3. El deber de garante

Para poder atribuir responsabilidad a quién omite una acción, se requiere en el Derecho Español:

  • Posición de garante: La existencia de una posición de garante en previsión de un evento perjudicial.
  • Conexión: La existencia de alguna conexión entre omisión y responsabilidad.
  • Resultado:La producción de un resultado dañino íntimamente ligado al evento.

La referida conexión, en la comisión de un delito por omisión, se sitúa en la exigencia de que concurra una situación en la que el ordenamiento impone una concreta y predeterminada posición jurídica a determinada persona (el omitente) ante una situación típica de riesgo dando lugar a una específica obligación de actuar que es lo que, en esencia, configura la llamada posición de garante.

Para gran parte de la doctrina y de la jurisprudencia se establece esta equivalencia en función de que se pueda deducir (y acreditar) que, por parte del omitente, existe un compromiso específico y efectivo de actuar, a modo de barrera de contención de riesgos, frente a un posible evento y frente a algún posible perjudicado: es decir, que existirá posición de garante, cuando entre omitente y perjudicado exista alguna obligación (de cualquier origen) real y efectiva que imponga al omitente una determinada actuación de prevención, de protección o de evitación [1].

Pero, aun cumpliéndose todos los requisitos enumerados anteriormente, resulta también necesario:

  • Previsibilidad:Que no se haya producido el evento por la concurrencia de otros factores externos, imprevisibles o inevitables, ajenos a los que configuran la específica posición de garante, ya que éste factor imprevisible eximirá de cualquier responsabilidad al omitente que está situado como garante, al tener su origen el resultado lesivo en factores imponderables.
  • Posibilidad de actuar: la necesidad de que el omitenteobligado estuviera en condiciones de realizar la conducta prevista. En caso de imposibilidad de actuar no surge responsabilidad por la inacción, eliminando la responsabilidad inherente a la situación de garante.

4. El deber de garante del Administrador en la PJ

No escapa a la lógica de la razón admitir que en el ámbito y en representación de la persona jurídica, el Administrador tiene los deberes propios de garante sobre la conducta de sus empleados.

Este poder lo ejerce de dos formas consecutivas:

  • Primero, desde la perspectiva in eligendo,estableciendo los controles adecuados en el proceso de selección de los trabajadores.
  • Después, in vigilando,supervisando su desempeño profesional en la medida de sus posibilidades razonables, especialmente con los puestos más especializados.

Podríamos decir que este poder de supervisión y control está orientado como: [2]

  • Garante de protección,desde una perspectiva ad intra, evitando resultados lesivos para la propia empresa.
  • Garante de control, desde una perspectivaAd extra, evitando resultados lesivos sobre terceros externos a partir de la actividad de los empleados.

En consecuencia, estamos en condiciones de afirmar que el Administrador de la PJ se encuentra en una posición de garante originaria, que le obliga a impedir la comisión de delitos por parte de subordinados con repercusión en los bienes jurídicos de terceros. [5]

Por ello, los órganos de Administración deben establecer los mecanismos de organización adecuados para evitar los riesgos de comisión de ilícitos en su seno o, en todo caso, mitigarlos hasta niveles tolerables por las circunstancias de la PJ. Ello, no obstante, no exonera al órgano de gobierno de su posición de garante.

Con el establecimiento de la organización, el empresario tiene un derecho y un deber equilibrados:

  • El deberde evitar los cursos lesivos que surgen de la actividad empresarial, asumiendo el compromiso de contener aquellos riesgos que de la misma vayan surgiendo para los bienes jurídicos de los demás.
  • El derecho a ejercer la libertad que emana del establecimiento de la propia empresa.

Luego, por defecto, la comisión por omisión se dará en relación a los riesgos típicamente unidos a la actividad empresarial que tienden a descontrolarse, de no ponerse remedio, con el paso del tiempo.

5. El deber de garante del CCO en la PJ

En Derecho Penal, si analizamos el texto de la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que entrará en vigor en julio de 2015, leemos en el artículo 31 bis CP:

“(…) 2. Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:

1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;

2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica; (…)”.

En este caso, la delegación de competencias en un órgano de la persona jurídica, con poderes autónomos de iniciativa y control, para que supervise el funcionamiento y el cumplimiento del modelo de prevención, constituye un mecanismo de transferencia de la posición de garante porque, basándonos en esa delegación, el órgano de administración como delegante hace surgir una posición de garantía en el órgano de cumplimiento normativo, en calidad de delegado. Este órgano puede ser colegiado o unipersonal pero, en todo caso, dirigido o coordinado por el CCO.

No obstante cabe decir que la posición de garante del órgano de administración no desaparece del todo sino que pasa a ser secundaria o residual. Pero es cierto que la delegación correctamente efectuada modifica la posición jurídica del delegante liberándole de los deberes inherentes del ámbito competencial de que se trate, pues de lo contrario, carecería por completo de sentido que se llevara a cabo. [5]

Al órgano de administración ya no le incumbe el deber de control directo de la fuente de riesgo, que sí le corresponde al órgano de cumplimiento, pero sí le compete la correcta selección, formación e información del responsable de cumplimiento, la dotación a este órgano de los medios necesarios para el cumplimiento de sus funciones y, especialmente, el deber de vigilancia sobre éste en el sentido de adquirir conocimiento y corregir sus actuaciones defectuosas [2].

Otra manera de verlo es considerando que el delegante mantiene el poder de revocación de la delegación, lo que representa que tiene la facultad de vigilar lo que el delegado organice, estableciendo los oportunos mecanismos de vigilancia y control con respecto al correcto desarrollo de la actividad por parte del delegado. [5]Estos mecanismos podrían articularse en base a pasar auditorías internas o mediante la obligación de reportar periódicamente informes de gestión.

Simplificando mucho, el CCO suele tener tres funciones básicas:

  • En algunos casos, si no el diseño y materialización, si la aceptación del modelo de cumplimiento encargado por el órgano de Administración a un tercero.
  • La implementación del modelo, y definitiva adaptación a la realidad de la empresa, para lograr los fines preventivos para la evitación de hechos delictivos.
  • El control y seguimiento de las normas derivadas del modelo, identificando las posibles infracciones e informando de las mismas a la Administración de la empresa con el fin de prevenirlas.

En consecuencia, el responsable de cumplimiento sí puede ser responsable de los actos cometidos por el personal de la empresa, sometido a las normas del modelo, en el caso de una dejación de funciones u omisión del cumplimiento de sus deberes, porque esa “área de riesgo” es la que queda sometida a su deber de control.

Un matiz sutil, pero importante, es el que considera que para generarse responsabilidad por omisión del deber de garante del CCO, el riesgo no impedido debe pertenecer a la clase de riesgos cuyo compromiso de control ha sido asumido expresamente por el Responsable de Cumplimiento. [6] En algunos ámbitos al CCO sólo le corresponde impedir delitos relativos al fraude o la corrupción, y no delitos medioambientales o contra los derechos de los trabajadores, por ejemplo, cuya prevención está asignada a otros departamentos especializados. Sera por esta razón muy importante con que cláusulas y nivel de detalle se redacte el contrato laboral, o de prestación de servicios, que ha de vincular al CCO con la PJ.

Así las cosas, esa omisión imprudente de sus deberes de vigilancia podrá generar la propia responsabilidad al Responsable de Cumplimiento, pudiendo responder imprudentemente respecto de la infracción de sus deberes.

Cabe matizar que los deberes básicos que le incumben al CCO en primera instancia, salvo que contractualmente se acuerde otra cosa, se reducen a:

  • Vigilarel cumplimiento del modelo de prevención de delitos.
  • Formar y concienciara los trabajadores
  • Informara la Administración de la PJ del desarrollo, incidencias y eventuales riesgos detectados en su actividad de supervisión y control.

Eso no quita que tenga facultades decisorias sobre los eventuales controles a aplicar y las posibles sospechas a investigar, siendo independiente en términos organizativos, económicos y materiales, aunque careciendo de facultades ejecutivas.[5]

De lo anterior podría desprenderse que el CCO es tan solo un órgano auxiliar, ya que el cumplimiento del Derecho en la empresa recae primordialmente sobre el órgano de Administración. No obstante, tan pronto como el Responsable de Cumplimiento pase a desempeñar su función, recibe de forma derivada su posición de garante, por delegación de los deberes que competen a la Administración de la PJ.

Si una vez el CCO ha dado traslado de información relevante al órgano de Administración para impedir un delito, éste no lo impide, el responsable de cumplimiento no responderá penalmente por no haber adoptado ulteriores medidas encaminadas a que el delito no se cometiera. Evidentemente ha de estar en condiciones de acreditarlo.

6. El deber de garante del DPO en la PJ

Si bien no puede aplicarse el razonamiento analógico entre jurisdicciones diferentes, de lo referido hasta ahora puede apreciarse una aplicabilidad de los criterios entre el Corporate Compliance Officer (CCO) y el Data Protection Officer (DPO).

En ambos casos, si se produce un incidente motivado por una dejación de funciones del CCO o del DPO, la empresa mantiene su responsabilidad última entendida en un caso como posible responsabilidad penal de la persona jurídica donde opera un CCO y, en otro, asumiendo su responsabilidad como responsable del tratamiento en relación a la protección de datos personales, donde opera un DPO.

Me he referido antes a que la delegación de competencias en un órgano de la persona jurídica con poderes autónomos de iniciativa y control, para que supervise el funcionamiento y el cumplimiento del modelo de prevención, constituye un mecanismo de transferencia parcial de la posición de garante.

Al estar el DPO, según el artículo 36 del borrador del Reglamento general de Protección de Datos de la Unión Europea (RGPD/UE), en posesión de “poderes autónomos de iniciativa i control” en el ámbito de las funciones y competencias que tiene encomendadas, la analogía es total.

El citado artículo del borrador, a tenor literal en el momento de redactar este artículo, dispone:

“1. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos se implique adecuadamente y en su debido momento en todas las cuestiones relativas a la protección de datos personales.

  1. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos desempeñe sus funciones y tareas con independencia y no reciba ninguna instrucción en lo que respecta al ejercicio de sus funciones. El delegado de protección de datos informará directamente a la dirección del responsable o del encargado del tratamiento.
  2. El responsable o el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de sus tareas y facilitarán el personal, los locales, los equipamientos y cualesquiera otros recursos necesarios para el desempeño de las funciones y tareas contempladas en el artículo 37”.

Como conclusión que se deduce de lo aquí analizado, pese a que el responsable del tratamiento mantiene su responsabilidad última, igual que hemos visto antes en relación al Administrador y la figura del CCO, el DPO también tiene transferida la responsabilidad en el ámbito de sus competencias.

Incluso diría más, mientras que en relación al CCO el delegante mantiene el poder de revocación de la delegación, no ocurre lo mismo en el caso del DPO ya que éste, según dispone el artículo 35.7 del borrador del RGPD/UE, goza de unas garantías que lo hacen inmune a arbitrariedades del Administrador de la PJ:

“Art. 35.7: (…). Durante su mandato, el delegado de protección de datos solo podrá ser destituido, aparte de por motivos graves que, con arreglo al Derecho del Estado miembro afectado, justifiquen la destitución de un empleado o funcionario, si deja de cumplir las condiciones requeridas para el ejercicio de las funciones que se le atribuyen en el artículo 37.

Téngase en cuenta el alto grado de arbitrariedad en las conclusiones, cuando el estudio se basa en un borrador (RGPD/UE) y no en un instrumento jurídico vigente o, en su defecto, aprobado.

7. Epilogo

No es baladí y deben ponderarse todos los requerimientos necesarios antes de atribuir responsabilidad propia por la conducta omisiva en sus funciones a las figura del CCO y DPO.

No obstante, la mera posibilidad,  aconseja un alto nivel de profesionalización a quién pretenda desempeñar ese cometido en el seno de la persona jurídica.

Habitualmente el CCO dispone de formación jurídica mientras que el precursor del DPO, en España el Responsable de Seguridad, al limitarse a velar por el cumplimiento de las medidas de seguridad que dispone el Título VIII del RD 1720/2007 que es el Reglamento de aplicación de la LOPD, suele tener cualquier perfil.

Es evidente que el mayor nivel de competencias asignadas al DPO en el RGPD/UE, como puede verse en este mismo blog, [4] provoca que su formación jurídica se vea ampliamente potenciada. Sigue sin proceder aquello del desconocimiento como eximente, ya que lo mínimo que se exige a cualquier profesional es que conozca los derechos y deberes en relación a su desempeño en la empresa donde presta sus servicios.

Bibliografía Consultada

[1] Ramón Maciá Gómez. “LA POSICIÓN DE GARANTE EN EL DERECHO ESPAÑOL: CONCEPTO Y ESTRUCTURA”. Pórtico legal (Expansión).

[2] Jesús-María Silva Sánchez. “FUNDAMENTOS DEL DERECHO PENAL DE LA EMPRESA”. EDISOFER S.L., 2013.

[3] Jesús-María Silva Sánchez. “EL DELITO DE OMISIÓN: Concepto y sistema”. Colección Maestros del Derecho Penal nº 12. Editorial IBdeF. Segunda edición 2010.

[4] José Luis Colom Planas. “EL DELEGADO DE PROTECCIÓN DE DATOS”. Blog “Aspectos profesionales”. 13 de abril de 2012, actualizado el 18 de octubre de 2014.

[5] Ricardo Robles Planas. “CRIMINALIDAD DE EMPRESA Y COMPLIANCE: Prevención y reacciones corporativas”. Capítulo 12. Páginas 319 a 331. Compendio dirigido por Jesús-María Silva Sánchez. Editorial Atelier. Barcelona 2013.

[6] Dopico Gomez-Aller. “Presupuestos básicos de la responsabilidad penal del Compliance Officer y otros garantes en la empresa”. Actualidad Jurídica Aranzadi Nº 843, página 2. 2012.