Datacredito sancionado por violación del régimen de habeas data en Colombia

datacredito

Por Ivan Dario Marrugo Jimenez

Resultó llamativa entre el circulo de profesionales “encariñados” con la protección de datos personales en Colombia, la noticia anunciada por la Superintendencia de industria y comercio el pasado 25 de Octubre, en la que a través de la web de la entidad se advierte sobre la imposición de una sanción a la empresa Experian Computec S.A. – administrador de la central de riesgo Datacredito – suma que asciende a $412.650.000 equivalentes a 700 salarios mínimos.

Analizada la Resolución 62016 del 25 de Octubre de 2013, emanada de la dirección de investigaciones de protección de datos personales de la SIC, encontramos aspectos claves de aplicación de los principios en materia de protección de datos en Colombia. Basta advertir que dicho procedimiento sancionatorio por tratarse de información financiera y crediticia y de un operador de información financiera, sigue los derroteros de la Ley 1266 de 2008 y de hecho en ningún aparte de la resolución se menciona específicamente la Ley 1581 de 2012; no obstante, resulta oportuno mencionar que comienza a vislumbrarse un horizonte impregnado por la generalidad – y no la sectorización – de nuestro marco de protección de datos.

También ha venido a llamar la atención la motivación para la imposición de la sanción al operador Datacredito con relación al régimen de protección de datos personales, ya que la columna vertebral para la imposición de la multa consiste en la violación de los principios de circulación restringida, seguridad y el de confidencialidad. Lo anterior contrasta con las tradicionales sanciones impuestas a otras empresas del sector por errores “tradicionales” en la recolección del dato (fallas en la finalidad del tratamiento y/o falta de consentimiento) o en relacionados con la calidad del dato (Completitud del dato, actualización o rectificación); migrando por tanto a un escenario donde se discute, ahora sí, la naturaleza de las funciones que realizan los operadores de información y su observancia plena a un régimen que contempla una serie obligaciones no solo de medio sino de resultados, imponiendo por tanto un mayor deber de cuidado a quienes administran y operan bancos de datos.

Sin ahondar en los detalles facticos conviene establecer que a juicio de la SIC, Datacredito no observó los deberes contemplados en el Art. 7 de la Ley 1266, específicamente los contenidos en los numerales 3, 6 y 10 que están íntimamente ligados a los principios de Circulación restringida, seguridad y el de confidencialidad. Tales deberes se contraen básicamente a permitir únicamente el acceso a información personal a las personas que la ley permite, conservar con seguridad los registros almacenados para impedir su uso no autorizado y el deber de circular la información dentro de los parámetros de la ley.

Así las cosas quedó evidenciada la falta de observancia a los deberes en la actuación de Datacredito, al permitirse el acceso a información real de historias crediticias en las labores comerciales (El personal apoyaba sus ventas con el uso de demostraciones de cómo funcionan sus servicios) sin que se hubieran tomado medidas como la anonimización de los datos, lo que a juicio de la SIC representa un grave riesgo en materia de protección de datos personales.

Esto resulta de vital importancia, toda vez que mucho ha venido discutiéndose sobre el alcance en materia de imposición de sanciones a la luz de los principios de la Ley 1581 de 2012 y hace eco la decisión adoptada por la SIC en el presente caso, a las constantes advertencias que venimos lanzando, junto con otros profesionales del sector, sobre la necesidad de una verdadera implantación de una cultura de prevención en las organizaciones.

De momento se tiene un serio antecedente en materia de sanciones, sin embargo, falta un largo camino por recorrer en el proceso de maduración de nuestro sistema. El sector está a la espera de la expedición del decreto sobre Registro Nacional de las Bases de datos junto con el cual (no será en el mismo cuerpo normativo) deberán señalarse las medidas de seguridad esperadas de quienes tratan datos personales, lo que poco a poco ira cerrando el círculo sobre los empresarios y sujetos obligados como garantes de nuestra privacidad en un mundo cada vez más turbulento en esta materia.

Información crediticia y habeas data financiero en Honduras

cnbs_hondurasPor Daniel A. López Carballo

La Ley de Justicia Constitucional de Honduras, bajo el Capítulo II “De la acción de exhibición personal y de habeas data”, en su artículo 13 reconoce que “El Estado reconoce la garantía de habeas corpus o exhibición personal, y de habeas data. En consecuencia en el Hábeas Corpus o Exhibición Personal, toda persona agraviada o cualquier otra en nombre de ésta tiene derecho a promoverla; y en el habeas data únicamente puede promoverla la persona cuyos datos personales o familiares consten en los archivos, registros públicos o privados de la siguiente manera: (…) 2.) El Hábeas Data. Toda persona tiene el derecho a acceder a la información sobre si misma o sus bienes en forma expedita y no onerosa, ya esté contenida en bases de datos, registros públicos o privados y, en el caso de que fuere necesario, actualizarla, rectificarla y/o enmendarla. Únicamente conocerá de la garantía de habeas data la Sala de lo Constitucional de la Corte Suprema de Justicia.”

En este sentido y para garantizar un correcto tratamiento de la información, para garantizar el derecho a la privacidad, intimidad y el honor de las personas, así como mantener los datos personales actualizados, las personas que se aparecen en el listado de morosidad de la Central de Información Crediticia hondureña, sin que medie justificación, pueden invocar el llamado “habeas data financiero, mediante el cual se reconoce el derecho personal de modificación o rectificación de información incorrecta o falsa.

Cabe recordar que la garantía del habeas data facilita el acceso a la información; impedir su transmisión o divulgación; rectificar datos inexactos o erróneos; actualizar información, exigir confidencialidad y la eliminación de información falsa; respecto de cualquier archivo o registro, privado o público, que conste en medios convencionales, electrónicos o informáticos, que produzcan daño al honor, a la intimidad personal, familiar y a la propia imagen.

Esta garantía implica además, concoer quien está reportando los datos a la Central de Información Crediticia y el derecho a recibir el finiquito de pago de su obligación en un plazo máximo de 10 días hábiles.

Para José Luis Moncada, Presidente de la Comisión Nacional de Bancos y Seguros las modificaciones citadas deben ser ejecutadas por las instituciones del sistema financiero, instituciones de seguros, oficinas de representación de instituciones financieras del exterior, organizaciones privadas de desarrollo que se dedican a actividades financieras, así como emisoras de tarjetas de crédito, fondos públicos y privados de pensiones, instituciones de crédito de segundo piso, bolsas de valores sobre los financiamientos que obtengan en bolsa las entidades emisoras de títulos, entre otros, según informaba en 2009 el diario hondureño El Heraldo, momento en que entro en funcionamiento esta garantía financiera de los ciudadanos. El Presidente de la Comisión Nacional afirmaba en relación a la cancelación de los datos que “Si el deudor no cancela la obligación se mantendrá por cinco años, pero si la cancela solo se mantendrá por tres años”.

La acción del habeas data conlleva, conforme a su definición legal, el derecho de acceso, es decir conocer sobre el contenido de la información que a él se refiere, cuando ésta se encuentra registrada en un banco de datos, sea manual, electrónico o informatizado; el derecho de rectificación o actualización de los datos, buscando una mayor veracidad y precisión de la información; el derecho de supresión, eliminado los datos erróneos, falsos o discriminatorios que afecten la verdad; así como el derecho que tienen las personas a que se guarde la debida confidencialidad sobre la información especialmente protegida, que sobre el se tenga.

Se debe hacer referencia, por último, al principio de finalidad en el tratamiento de los datos de los usuarios, la propia Comisión Nacional, a través de su página web reconoce el derecho de las personas a que “la información proporcionada a las instituciones supervisadas sea utilizada y administrada exclusivamente en relación a los fines para los cuales se suministró. Salvo cuando dicha información deba proporcionarse en atención a un mandato judicial o en cumplimiento a una disposición contenida en el marco legal aplicable”.

Los datos personales y la discriminación electoral por cuestiones de género

derecho_identidad_2

Por Analía Aspis

En Argentina, el derecho a la identidad, juntamente con la protección y actualización de los datos personales de los ciudadanos ha sido protagonista en los últimos días de un nuevo reclamo por parte de organizaciones de la sociedad civil. En esta ocasión, fue en el marco de la publicación de los padrones electores de las próximas elecciones que se llevarán a cabo a mediados de agosto para la elección de nuevos miembros del parlamento nacional, que se ha identificado la existencia de errores relacionados con la identidad sexual de los votantes. Así, tal como la Presidenta de la Asociación de Travestis, Transexuales y Transgéneros de Argentina (ATTTA) aquellos ciudadanos transexuales que realizaron cambios de nombre, todavía figuran en las listas con la identidad correspondiente a su antiguo sexo.

Dicha constancia motivó la presentación de un recurso de hábeas data por parte de la ATTA, conjuntamente con diputada porteña del FpV María Rachid y el presidente de la Federación Argentina LGBT, el cual tiene como fin exigirle a la Cámara Electoral la actualización de sus datos, con el fin de garantizar el derecho al sufragio sin ningún tipo de  discriminación, tal como lo establece  la Ley de Identidad de Género de 2012.

Asimismo, los recurrentes consideran que la inexactitud obrante en los listados electorales configura una grave discriminación así también como un impedimento de ejercicio de su derecho a voto, puesto que  es probable que las personas que no encuentren sus datos de género actualizado no puedan ejercer derecho, ya que sus documentos con lo que dicen los padrones publicados.

De prosperar el recurso, en las próximos días se procederá a la modificación y actualización de los datos de las personas trans, a fin de que las mismas puedan gozar del pleno reconocimiento de sus derechos civiles.

Inundaron mi correo con mensajes de habeas data

mail_colombia

Por Ivan Dario Marrugo Jimenez

En total conté más de 23 correos con información de empresas que ni sabía tienen mis datos personales; y la cuenta sigue en aumento. Creo que más de una empresa no quiso quedarse atrás con la proliferación de mensajes a fin de cumplir con las normas sobre Protección de datos en Colombia. Sin embargo, revise cada uno de los mensajes y haciendo un análisis detallado, muchas de estas empresas aun no entienden de que se trata esto del habeas data, y lo que es peor, muchas pagaron cuantiosos recursos en sacar mensajes en los diarios como El tiempo o El espectador de forma innecesaria. Es bastante frustrante ver como empresarios toman decisiones por moda o porque simplemente alguien más lo está haciendo. Y en ese aspecto el remedio resulta peor que la enfermedad. El cumplimiento de la Ley 1581 de 2012 y su reglamento el Decreto 1377 de 2013 requieren muchas más acciones que las de simples anuncios en los diarios.

No me malinterpreten, hago parte de un reducido grupo de Abogados especialistas en Seguridad (Una rara cosecha aun), sin embargo el llamado es a la sensatez en las empresas al momento de tomar decisiones. Si, tal vez fallamos en explicar a las empresas que el plazo que venció el pasado 27 de julio aplicaba solo para un caso especial: El de implementación de medios alternos para comunicarse con el titular de los datos para continuar con el tratamiento. Y esa falla monumental permitió la avalancha de correos saturando los servidores solicitando permiso para continuar enviando Spam.

Pero bien, a pesar de la molestia de muchos y de nuestra frustración, creo que para algo sirvió el asunto. Cuantos artículos vio escritos en poderosos medios de comunicación, desde el pasado sábado 26 de Julio a la fecha? Cuantas declaraciones han dado las autoridades encargadas de la vigilancia? El efecto colateral del malentendido se concretan en dos aspectos fundamentales y necesarios para el avance de nuestro sistema de protección de datos: 1. Puso en boca de todos algo que venía siendo manejado solo por curiosos y expertos (Y la consecuencia natural de ello es que la ciudadanía despierte al ejercicio de sus derechos [Recuerden cuando estrenamos la Tutela como medio de defensa]) 2. Obliga a la Superintendencia de Industria y Comercio a fortalecer su capacidad interna en materia de vigilancia (Aumentaran paulatinamente las reclamaciones de los ciudadanos).

Por ello, a pesar que el ejercicio conto con ciertos desaciertos el balance que puede establecerse es medianamente positivo. No obstante lo anterior, resulta más preocupante que las empresas hagan mal el trabajo y descansen en la premisa que cumplieron con su deber; creer que el pagar un anuncio en un medio masivo o enviar un correo electrónico (y que en 30 días nadie solicite la supresión de sus datos) nos permite continuar una serie de malas prácticas es bastante peligroso!. La norma indica que deben tomarse medidas no solo tecnológicas al interior de las empresas además de adoptar mecanismos para asegurar el tratamiento. Por tanto, el trabajo apenas comienza y lejos de ser un asunto chequeado la protección de datos se convertirá a medida que avanzamos en un tema relevante para todo tipo de entidades en Colombia.

Debemos ser acuciosos en conocer con detalle las obligaciones que la norma me impone. Desconocer que existen mecanismos como el Aviso de privacidad (Muy diferente al anuncio que todos vimos hace un par de días) que debe acompañar una verdadera Política de tratamiento de la información que permitirán demostrar a la SIC en caso de una investigación o solicitud de información que se han tomado medidas y que estas están acordes con las reglas de los artículos 26 y 27 del Decreto 1377, no solo resultará en el mediano plazo peligroso sino bastante perjudicial para las empresas.

Sin dudas este nuevo horizonte debe acompañarse con una asesoría por parte de especialistas con experiencia demostrada en la materia. Jugar a copiar lo que otros están haciendo puede suponer a las empresas un precio demasiado alto por pagar.

La protección de Datos Personales en las Provincias Argentinas

argentina_6

Por Marcelo Temperini

Introducción.

El desarrollo natural de la sociedad a través del tiempo, exige que el Derecho, como una ciencia estrechamente relacionada con las circunstancias propias de cada contexto histórico, social y cultural, se adapte para poder dar respuesta a las nuevas situaciones y conflictos.

En la actualidad, la incesante y dinámica evolución de la tecnología, ha llevado que los sistemas informáticos puedan procesar elevadas cantidades de información en cuestión de segundos.

Tecnologías que como todas ellas, son herramientas neutrales. Herramientas que son nuevas formas de hacer, más rápidas, más eficaces y en la mayoría de los casos, más económicas para el hombre, que siempre es y será el responsable detrás de las consecuencias del uso de las tecnologías.

Es el hombre el que utiliza las nuevas Tecnologías de la Información y la Comunicación (en adelante TICs) para obtener resultados beneficiosos o perjudiciales para la sociedad. Las facilidades y ventajas en el tratamiento de datos personales para una gran cantidad de usos beneficiosos para la sociedad (por ejemplo en el área médica, académica, científica, etc.) son contrapuestas por otros usos perjudiciales para la misma, siendo los principales bienes jurídicos afectados, la privacidad y el honor de las personas.

La protección de datos personales en Argentina

Bajo este contexto, es el Derecho el que interviene tomando su rol activo dentro de la sociedad como director de conductas, intentando equilibrar el desbalance normal de toda evolución social. Así nace el derecho a la protección de los datos personales, considerado desde hace ya varios años por las Constituciones Europeas como un derecho humano fundamental del nuevo siglo.

Argentina ha reconocido al derecho de Habeas Data en la Reforma del año 1994, dentro del art. 43 3er párrafo, bajo una redacción que simultáneamente reconoce el derecho a los datos personales y dispone una garantía (considerado como un amparo especial para gran parte de la doctrina) para llevar a cabo su ejercicio.

Luego de seis años, más precisamente en el año 2000 a través de la Ley Nacional Nº 25.326 se desarrolla de manera moderna los diferentes aspectos de este nuevo derecho, expresando además los lineamientos pretendidos para la construcción de un sistema de protección de datos personales en todo el territorio argentino. El microsistema jurídico es luego completado con el reglamento del Decreto 1558/2001, sumado a las diferentes Disposiciones emitidas por la Autoridad de Aplicación de la Ley: la Dirección Nacional de Protección de Datos Personales (en adelante DNPDP).

El tiempo ha pasado, y en este año donde el sistema argentino para la protección de datos personales cumple 10 años desde su gestación y nacimiento, parece el momento adecuado para detenerse un momento y observar el camino recorrido.

A través de este trabajo, pretendemos brindar esa mirada, desde una perspectiva que comprenda el análisis y la reflexión sobre la eficacia y efectividad de las decisiones legislativas tomadas, para que en consecuencia, puedan extraerse y deducirse sus resultados, tanto positivos como negativos, tanto nacionales como provinciales.

La parte positiva servirá para poder comprender lo que se ha realizado de manera correcta, siendo un elemento de importancia para trazar los nuevos lineamientos de cara al futuro.

La parte negativa posibilitará aprender de los errores, comprendiendo sus causas para poder explicar sus consecuencias, permitiendo que en la toma de decisiones del futuro, se tengan en cuenta dicha experiencia.

En particular, intentaremos desarrollar la experiencia en materia de datos personales de las cuatro jurisdicciones que más han avanzado en relación a las demás provincias argentinas, apreciando sus estrategias normativas, características legislativas y sobre todo, los resultados obtenidos.

A modo de aporte y construcción, y con estrecha relación a la investigación mencionada, procuraremos dar respuesta a la siguiente pregunta:

¿Qué necesita hacer una Provincia que desee proteger los datos personales de sus habitantes? O lo que es lo mismo ¿Qué debe hacer una Provincia para adecuarse al sistema de protección de datos personales de Argentina?

Bajo este tópico, desarrollaremos una guía de pasos a seguir y tener en cuenta por aquellas Provincias que desean avanzar en esta materia. A su vez, proponemos una clasificación en las consecuencias positivas de esta adecuación: restringido y amplio.

Restringido porque a través del trabajo proponemos ofrecer una guía para aquellos legisladores interesados en que su Provincia brinde a sus ciudadanos una efectiva protección a sus derechos a los datos personales bien tratados. Pero como es fácil de advertir, la problemática jurídica planteada en el mal tratamiento de los datos personales no reconoce límites jurisdiccionales (así como sucede en la mayoría de los temas del Derecho Informático, en especial, de los Delitos Informáticos). Es por ello que consideramos también necesario e importante destacar el aspecto amplio de poseer una buena adecuación al sistema de datos personales.

Amplio en el sentido que aquellas jurisdicciones que realmente posean su estructura local adecuada y en funcionamiento, tendrán como consecuencia mediata la de cooperar y ser parte de la estructura argentina establecida con el mismo propósito, pero con una visión más amplia e integral: una Argentina con un real nivel de protección de datos personales. En una Argentina con corazón federalista y con un cuerpo cada vez más centralista y egoísta, es necesario recordar la solidaridad que radica en formar parte de un sistema federal, donde los Estados miembros no sólo deberían para su territorio, sino también teniendo en cuenta a las demás Provincias hermanas.

Cuadro de situación de la República Argentina.

Para hacer un repaso del panorama completo, explicaremos a modo de síntesis y a través de puntos claves según nuestra perspectiva, como es la situación actual (año 2010) sobre la protección de datos en Argentina.

El Derecho de Hábeas Data está protegido constitucionalmente a partir de la Reforma del año 1994, en el art. 43 3er párrafo. En el año 2000, se sanciona la Ley de Protección de Datos Personales Nro. 25.326, normativa que ha sido formulada tomando como base el modelo europeo. La misma fue luego reglamentada a través del Decreto 1558/2001. En el art. 44 de la Ley 25.326, al determinar el ámbito de aplicación de la misma, se aclara que los Capítulos I, II, III, IV, junto al art. 32 son de aplicación en todo el territorio nacional. Ergo, los Capítulos V, VI y VII no lo son, y por lo tanto las Provincias están invitadas a adherir.

A nuestra interpretación, dicha solución es correcta, dado que los contenidos de los Capítulos V, VI y VII son de procedimiento, control y sanción, facultades expresamente reservadas por las Provincias en el sistema federal argentino.

Queda también definido en el propio art. 44 que será competencia federal cuando sea respecto de los registros, archivos, bases o bancos de datos interconectados en redes de alcance interjurisdiccional, nacional o internacional.

Planteado el modelo para lograr la protección a nivel nacional, la Dirección Nacional de Protección de Datos Personales, ha fomentado desde sus comienzos la conformación de la Red Argentina de Protección de Datos Personales, la cuál forma parte de su discurso oficial en el sitio web de dicho organismo.

De esta manera, el sistema está diseñado para que cada Provincia Argentina, cree su propia estructura administrativa de protección de datos personales, que tendría cierto grado de interconexión con la Dirección Nacional, a los fines de poder colaborar para determinados casos interjurisdiccionales. A través de dicha autoridad provincial, cada jurisdicción tendría un organismo en el cuál registrar las bases de datos locales, donde se puedan realizar denuncias y ejercer la facultad de control y sanción que les corresponde.

Es pertinente citar un reciente estudio[1] realizado sobre la situación jurídica de las diferentes provincias de Argentina en relación a la materia de protección de datos personales.

De dicho trabajo, se extraen las siguientes afirmaciones y estadísticas:

  • El 38% (9/24) de los Estados miembros de Argentina, han desarrollado de alguna manera el derecho de Hábeas Data dentro de sus constituciones.
  • Sólo el 4% (1/24) de los Estados miembros de Argentina, ha dictado su ley de adhesión a la Ley Nacional de Datos Personales (Nro. 25.326).
  • Sólo el 17% (4/24) de los Estados miembros de Argentina han creado su Órgano de Control Provincial (y dentro de ellos, con limitaciones como ya veremos).
  • Sólo un 25% (6/24) de los Estados miembros de Argentina han regulado un procedimiento especial para la acción de datos personales.
  • Sólo un 13% (3/24) de los Estados miembros de Argentina han creado su Registro Provincial de Datos Personales (también con limitaciones).

Lamentablemente el paso de los años ha demostrado que la desidia y desinterés por parte de las Provincias en materia de protección de datos personales ha sido demasiada, siendo la situación actual bastante decepcionante.

Particularmente en este trabajo, haremos foco sobre cuál es la situación jurídica y real de aquellas 4 jurisdicciones que han desarrollado en mayor o menor medida sus autoridades de control locales: Mendoza, Neuquén, Misiones y la Ciudad Autónoma de Buenos Aires.

Argentina y la Unión Europea: una relación de confianza.

La Unión Europea, que siempre se ha caracterizado por su seriedad y responsabilidad a la hora de tratar el tema de los datos personales, y dentro de la cuál se pueden citar varios Estados miembros que realmente hacen un trabajo muy interesante en cuanto al control y consecuente eficacia de la normativa vigente.

Argentina, en el año 2002, a sólo 2 años de la sanción de la Ley 25.326, solicitó a la Unión Europea que se le realizara la auditoria pertinente para poder establecer si cumplía con los requisitos necesarios para ser considerado (de acuerdo a la Directiva 95/46/CE) como un país tercero “confiable” en materia de datos personales.

Así fue como a través del Dictamen 4/2002, el Grupo de Trabajo de la UE evaluó la situación de nuestro país, llegando a las siguientes conclusiones[2], de las cuáles destacamos las frases más importantes a nuestro entender:

  • El Grupo de Trabajo insiste en que, para llevar a cabo la presente evaluación de la legislación argentina, el Gobierno de dicho país ha facilitado información sobre la manera en que debe interpretarse lo dispuesto en la Constitución, la Ley y el Reglamento, y ha garantizado que las normas en materia de protección de datos se aplican conforme a dicha interpretación.
  • La redacción del presente dictamen se ha basado en dichos supuestos y explicaciones, y no en una experiencia sólida en la aplicación práctica de la legislación, ni a nivel federal ni provincial. Esto es cierto también en lo relativo a que las autoridades argentinas tomen efectivamente en consideración, en un plazo razonable, las reservas expresadas anteriormente y las invitaciones a mejorar o modificar los textos legales vigentes.
  • El Grupo de Trabajo asume que Argentina garantiza un nivel de protección adecuado con arreglo a lo dispuesto en el apartado 6 del artículo 25 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995.
  • Sin embargo, el Grupo de Trabajo invita también a las autoridades argentinas a tomar las medidas necesarias para solucionar los puntos débiles de los actuales instrumentos legales identificados en el presente dictamen y solicita a la Comisión Europea continuar el diálogo con el Gobierno argentino con el citado objetivo.
  • En particular, el Grupo de Trabajo insta a las autoridades argentinas a garantizar la aplicación efectiva de la legislación a nivel provincial mediante la creación de los necesarios órganos de control independientes en los casos en los que éstos no existan y, mientras tanto, a buscar soluciones temporales apropiadas que sean conformes con el orden constitucional argentino.

Como podemos observar, la calidad y nivel de trabajo del Grupo de Trabajo de la UE ya en el 2002, a sólo 2 años de la sanción de la normativa argentina, había podido prever los puntos débiles que han erosionado la real efectividad de la Ley (que a nuestro entender, es de buen nivel).

Es en la Decisión C(2003) 1731 de 30/06/2003 donde luego es confirmado en su art. 1 que la “considera que Argentina garantiza un nivel adecuado de protección por lo que respecta a los datos personales transferidos desde la Comunidad”[3].

Si bien en las conclusiones del dictamen se menciona que el Estado Nacional Argentino debe tomar las medidas necesarias para solucionar las falencias del instrumento, consideramos que su responsabilidad es limitada. Ello es así dado que por la propia naturaleza federal de la República Argentina, la Ley no podría haber hecho más de lo que hizo, ya que las potestades de procedimiento, sanción y control son materias expresamente reservadas por las Provincias, y de haber la Nación tomado las riendas de tales facultades, habría caído en la inconstitucionalidad de las mismas.

De manera que son las Provincias y la Ciudad Autónoma de Buenos Aires quienes deben trabajar en pos de la protección de los datos personales de sus ciudadanos, generando sus estructuras locales y ejerciendo las facultades que les corresponden.

Sin embargo, afirmamos que la responsabilidad del Estado Nacional es limitada, porque consideramos que de todas maneras existen medidas políticas que podrían haberse tomado para recordar y consensuar con los Estados Provinciales sobre el funcionamiento de la norma nacional y el camino a seguir para lograr su adecuación en las instancias locales. Además, cabe mencionar que también por las facultades delegadas en la Constitución Nacional, el Estado Nacional es el único (en principio) que tiene a cargo las relaciones internacionales, quedando allí incluída este pedido de solicitud por parte del propio Estado Argentino. De manera que de cara al exterior, es el Estado Nacional quien tiene la responsabilidad de cumplir con las obligaciones contraídas.

Como tercer elemento, cabe mencionar que a nivel Nación, la Dirección Nacional de Protección de Datos Personales ejerce su jurisdicción dentro de la Capital Federal y demás casos donde se defina la jurisdicción federal. En este rango de acción (que no es menor), en donde dicha autoridad de control posee todas las facultades de manera irrestricta (control y sanción), y que al cabo de todo el tiempo transcurrido y según nuestro punto de vista, no se podría concluir que ha sido una gestión satisfactoria, toda vez que la cantidad de controles efectuados no han sido suficientes, y que las sanciones aplicadas no llegan siquiera al promedio de una por año de gestión.

Finalmente, es necesario recordar los efectos y la importancia de que la Argentina sea o no considerada confiable, para poder comprender los efectos en caso de que dicho título sea quitado en el futuro.

Según las diferentes legislaciones de datos personales de los Estados miembros de la UE, queda en principio prohibida la cesión de datos a países terceros, salvo que sean considerados “confiables” (citamos como ejemplo el artículo de la norma española)[4].

Esto significa que para la gran cantidad de empresas europeas que a diario poseen vínculos y conexiones comerciales donde se vean involucrados datos personales con Argentina, en caso de que nuestro país deje de ser “confiable”, dichas cesiones serán ilegales salvo autorización expresa y para el caso concreto otorgado por la autoridad de aplicación de dicho Estado miembro.

Sin dudas queda que dicho título de “país confiable”, otorga a las organizaciones un punto clave a favor de inclinarse por Argentina como país para comerciar y establecer vínculos estables.

Por todo ello, el hecho que Argentina siga manteniendo esa calidad de confiable, es un logro que beneficia a todas y cada una de las Provincias Argentinas (además de al propio Estado Nacional), por lo que de realizarse una nueva auditoria por parte de la Unión Europea y quitarse dicho título (por considerar no cumplidos los objetivos en un plazo razonable), los efectos negativos también serían para todas ellas.

El caso modelo: Neuquén.

En Neuquén, el proceso de adecuación fue el siguiente: el 30 de Diciembre de 1999 fue promulgada la Ley Nº 2307 que regula la acción de habeas data, con un contenido netamente procesal (nótese la dedicación de que en tal fecha, aún no había sido sancionada la Ley Nº 25.326 y aún así Neuquén ya daba un primer paso al frente). Dos años mas tarde, más precisamente el 15 Agosto de 2002, se sanciona la Ley Nº 2399 de Adhesión a la Ley Nacional Nº 25.326, cuyo contenido son sólo 2 artículos[5], cuyo breve texto se los puede ver en la cita.

Sólo 6 meses después, el 28 de Febrero de 2003, el Gobernador de Neuquén cumple con lo prometido en el art. 2 de la Ley Nº 2399, a través del Decreto 313/03, cuyo texto es de lectura recomendada para aquellas Provincias que deseen avanzar en materia de datos personales. A grades rasgos, se contenido se basa en la creación del REPRODAP (Registro Provincial de Datos Personales), junto con el otorgamiento de las facultades y recursos para su funcionamiento.

Como se puede observar en lo desarrollado, la estrategia de Neuquén es caracterizada por su sencillez y rapidez de adaptación al sistema. En un primer momento supo generar una herramienta procesal para facilitar el acceso a este derecho de sus ciudadanos. A continuación, se adhiere a la Ley Nº 25.326, haciendo aplicable a dicha jurisdicción todos aquellos capítulos que en principio no lo eran. Finalmente, y sólo 6 meses después, logra completar el sistema, a través del Decreto 313/03, cumpliendo el objetivo fundamental de todo el sistema: la creación del Órgano Provincial de Control, que en el caso de Neuquén ha sido bautizado como REPRODAP.

En referencia a este modelo de adaptación tomado de la Provincia de Neuquén, vale destacar que desde nuestra perspectiva, el elemento que puede ser tomado o dejado en cuanto a la secuencia temporal, es la parte procesal. Explicamos esto dado que para la adhesión no es necesario contar con la parte procesal. Aún más, a partir de la adhesión a la Ley Nacional, entra también el vigor el Capítulo VII, en el cuál se establece un procedimiento para la acción de habeas data, denotando que su regulación anterior no es condición sine qua non.

Otra experiencia: Caso de Misiones.

En el caso de la Provincia de Misiones, la secuencia tiene sus diferencias con respecto a lo viste en Neuquén. Aquí se utilizó una sola norma, sancionada el 25 de Octubre de 2001 – Ley Nº 3794, en cuyo Capítulo I se regula la acción de habeas data, en el Capítulo II se designa como Autoridad de Control al Ministerio de Gobierno, atribuyéndole las funciones delimitadas en el art. 29 de la Ley Nº 25.326. Consideramos que dicha designación es poco feliz, ya que opinamos que para la correcta y efectiva realización de las funciones y tareas del Órgano de Control Provincial, debe generarse una estructura nueva, aunque siga siendo dependiente del Ministerio que la Provincia considere mejor capacitado. Además, para llevar a cabo dichas tareas, es menester contar con un personal capacitado técnica y legalmente. Siguiendo con la norma tratada, en el Capítulo III, termina por afirmar que el Poder Ejecutivo deberá reglamentar dicha ley dentro de los 120 días, cuestión que según lo investigado, 9 años después aún no ha sucedido, y en consecuencia, dicho Órgano de Control nunca ha entrado en funcionamiento. Es importante destacar que en dicha Norma, la Provincia de Misiones no adhiere a la Norma Nacional 25.326.

Mendoza: un caso particular.

La Provincia de Mendoza, se destaca porque a través de la Ley 7261 del 31 de Agosto de 2004, en cuyo título se lee: Ley de Hábeas Data. El núcleo radica que en su contenido, solamente regula la parte “comercial” de los datos personales, dejando fuera todo la protección de todo lo demás. Comienza creando su REPID (Registro de Empresas Privadas de Información de Deudores), en cuyo bautismo termina por indicar cuál es la orientación de esta norma.

Así como hemos denotado lo positivo del actuar de otras Provincias, así también es útil hacer notar algunas acciones negativas, aprovechando de la experiencia de aquellos que quizás por desconocimiento, regularon de manera inadecuada según nuestro punto de vista. Lo negativo pasa porque la normativa citada, a partir del art. 2 regula cuestiones que ya estaban normadas en la primera parte de la Nº 25.326, y como ya lo hemos desarrollado anteriormente, es de orden público y por lo tanto, vigente en todo el territorio nacional. Insistimos en lo negativo, porque a contrario de reglamentar para ahondar en detalles que hagan en el bien del desarrollo del sistema (como lo hizo Neuquén o la Ciudad Autónoma de Buenos Aires), Mendoza reguló sobre cuestiones ya definidas, y en determinados puntos, contrarias.

Para muestra basta un ejemplo. En el art. 2 de dicha norma, al igual que lo hace la Ley Nº 25.326 realiza una serie de definiciones de conceptos básicos para el sistema. En la norma mendocina, en el Inc. C se define que “Será información sensible: información que contenga antecedentes comerciales, financieros y/o bancarios de cualquier persona física o jurídica que tenga domicilio o sucursal en la Provincia de Mendoza, haya sido ésta entregada a algún usuario de datos  o no.” . Es clara la contradicción, recordando que en el propio art. 2[6] de la norma nacional existe un concepto radicalmente diferente al expresado en Mendoza. La descoordinación del sistema por el choque entre la norma nacional (que en esta parte general está plenamente vigente) y la sobre regulación de la Ley 7261, conlleva a consecuencias negativas para el sistema ya que por ejemplo en el art. 4, se afirma que “El  único uso permitido de  la   información  sensible es  el  análisis  de   riesgo  comercial   y/o crediticio…”, quedando desde nuestro punto de vista, en conflicto con la norma de mayor jerarquía y por lo tanto, atacable de inconstitucionalidad.

Como hemos visto, Mendoza optó solamente por la regulación y protección de un sector de los datos personales, pero con la característica que además de regular la parte “especial” reservada a las Provincias, avanzó sobre regulando sobre la parte general, cuestión que ya había sido delineada por la Ley Nº 25.326, causando algunos problemas como los señalados en el ejemplo.

Queda a modo de experiencia para las demás Provincias, tener en cuenta este aspecto y legislar en plena coherencia con la norma nacional.

Ciudad Autónoma de Buenos Aires: protección pública

El caso de la CABA tiene su origen en 1998, dos años antes de la sanción de la Ley Nacional de Datos Personales. En ese año, sancionaron la Ley Nº 104, con destino en la regulación sobre el acceso a la información pública, regulando incluso sus propios principios y procedimiento para hacerlo efectivo. En el 2005, ya en la etapa posterior a la Ley 25.326, volvió a insistir en este aspecto, sancionando la Ley Nº 1845, en la cuál refuerza el ámbito de protección de datos personales en el sector de bases o registros del sector público (excluyendo al privado). Están comprendidos en el cumplimiento de la ley todos los poderes (Ejecutivo, Legislativo, Judicial, Comunas, Órganos de Control), entes, sociedades u organismos pertenecientes al Gobierno de la Ciudad o integrados por éste. Dicha norma, si bien recae en el mismo defecto que el comentado en Mendoza (regular sobre la parte general), lo ha realizado en coordinación con la norma nacional. Además, en la misma se designo como Órgano de Control a la Defensoría del Pueblo de la Ciudad de Buenos Aires. Dicho organismo, a través de la Disposición 119/2007, creó el Centro de Protección de Datos Personales, otorgándole las facultades esenciales para velar por la protección de datos personales del sector público.

A modo de resumen, diremos que lo positivo para señalar del caso particular de la CABA, es su inteligencia en la regulación coordinada, destacando la intermediación de la Defensoría del Pueblo como un instituto que puede participar del sistema, otorgando mayores garantías. Lo negativo: solamente se avanzó sobre la regulación, protección y control sobre las bases de datos del sector público, dejando excluido y sin facultades a dicho Órgano de Control para actuar sobre el campo privado de los datos personales.

¿Qué debe hacer una Provincia que desee adecuarse al sistema de protección de Datos Personales?

A modo de aporte del trabajo, consideramos importante desarrollar de manera adecuada este punto, que termina por ser desde nuestra perspectiva, el aspecto crítico y causal del hasta ahora bajo nivel de adecuación al debido tratamiento en materia de datos personales en nuestra Argentina. Para dicho desarrollo tomaremos como referencia lo realizado por una de las pocas Provincias Argentinas que puede ser tomada como ejemplo a seguir en materia de datos personales, como lo es la Provincia de Neuquén.

Como se ha explicado anteriormente, el sistema Argentino fue diseñado con la idea de que cada Estado Miembro cuente con su propia estructura de protección de datos personales, la cuál debería estar en permanente contacto con la Dirección Nacional de Datos Personales, estableciendo lazos bidireccionales de información que permitan realmente coordinar una protección integral.

Estas estructuras administrativas (Órganos de Control Provinciales), deben ser creadas en dependencia de cada Estado Provincial, funcionando siempre como nodos independientes, pero en relación de colaboración con la estructura nacional.

Se desarrollan a continuación lo que consideramos deben ser las cuatro funciones esenciales que deben desarrollar estas estructuras en su jurisdicción:

  • Organiza su Registro Provincial de Datos Personales: a partir del cuál permite que todos los Responsables de tratamiento de datos que deseen inscribir sus bases de datos, puedan realizarlo dentro de su propia jurisdicción. En esta tarea en particular, y sobre todo para aquellas Provincias que aún no tienen sus respectivos órganos generados, debe existir plena colaboración con la DNPDP, dado que a la actualidad, es posible que varias bases de datos de esas jurisdicciones estén inscriptas en el Registro Nacional.
  • Atender denuncias y reclamos: Función esencial para que a través del contacto más directo y permanente con los ciudadanos, se pueda fomentar el debido tratamiento de datos personales, y que ante su infracción, existe un órgano del Estado dispuesto a atender las denuncias y actuar en consecuencia.
  • Procede al control y sanción: Cuenta con los mecanismos adecuados para realizar los debidos controles, elemento esencial para fomentar y conseguir un nivel de cumplimiento de la normativa positivo. Ya sea a pedido de parte o de oficio, cuenta con la facultad de realizar las inspecciones pertinentes (siguiendo los lineamientos ya dados por la DNPDP), y ante el caso de efectivas infracciones, sancionar en consecuencia.
  • Centro de Información y fomento: A través del Órgano de Control Provincial, es posible canalizar un punto de información y fomento sobre las buenas prácticas en materia de datos personales que se encuentre en contacto más directo con la sociedad, como lo sería la realización de encuentros locales, participación en diferente tipo de eventos, campañas de difusión, capacitación en instituciones educativas como Universidades, Colegios, etc.

A modo de resumen, y volviendo a la pregunta realizada en este título, indicamos que las consideraciones y etapas a tener en cuenta por una Provincia que aún no ha realizado ningún avance, agrupándolo en esenciales y optativas:

Es esencial que la Provincia realice acciones para:

Adherir a la norma nacional Nº 25.326 de Protección de Datos Personales.

Crear un Órgano de Control Provincial de Datos Personales o designar sus funciones a un órgano ya existente (se recomienda la generación de una estructura nueva y en la medida de lo posible: independiente).

Dotar al Órgano de Control Provincial de Datos Personales de las facultades y recursos suficientes y necesarios para llevar a cabo sus funciones esenciales (desarrolladas anteriormente).

Es opcional que la Provincia realice acciones para:

           Incorporar el derecho a la protección de los datos personales en su Carta Magna, mejorando la redacción original de la Constitución Nacional.

           Regular un procedimiento especial para la acción de datos personales.

Conclusión

Que, la inclusión del derecho a los datos personales plasmada en la Constitución Nacional reformada en 1994, ha significado un adelante en la protección del honor y la intimidad en el nuevo siglo.

Que, la Ley Nº 25.326, regula de manera adecuada y completa la protección de datos personales, proponiendo por su diseño la gestación de una estructura federal interrelacionada para velar por el efectivo cumplimiento del sistema.

Que, consideramos que desde el Estado Federal se han realizado todas las acciones posibles tendientes a la eficacia de la protección, y que su accionar se limitado por los límites propios de la delegación y reserva de materias del sistema federal argentino.

Que son las Provincias las que poseen la obligación de adecuar sus legislaciones locales al sistema de protección de datos personales adoptado.

Que son también las Provincias quienes se ven favorecidas por el hecho de que la Argentina haya sido considerada como país tercero confiable por la Unión Europea.

Que el 86,4% de la Argentina, aún no ha realizado ningún trabajo para la generación de su Órgano de Control Provincial, y que de las cuatro jurisdicciones que se analizaron, sólo una lo ha realizado de manera completa.

Que, a la fecha han transcurrido 10 años desde la sanción de la Ley Nacional de Protección de Datos Personales, y que para la real protección de los datos personales, es necesario que cada Estado Miembro realice las acciones necesarias para concretar el camino iniciado por la Dirección Nacional de Protección de Datos Personales.


[1] Spina, María Laura; Temperini, Marcelo. “El círculo virtuoso para la Protección de Datos Personales: Legislación, control y responsabilidad social empresaria”. Jornadas Argentinas de Informática 2010. Simposio de Informática y Derecho.
[2] Dictamen 2002/4, sobre el nivel de protección de datos personales en Argentina. Adoptado el 3 de octubre de 2002. (MARKT 11081/02/ES/final WP 63)
[3] Comisión de las Comunidades Europeas. Decisión C(2003) 1731 de 30/06/2003 sobre la adecuación de la protección de los datos personales en Argentina.
[4] No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
[5] Artículo 1º.-   Adhiérase   a   la   Ley   nacional   25.326   -sobre   protección   de   los   datos personales-, conforme al artículo 44 de la citada norma.Artículo 2º.-  El  Poder  Ejecutivo  provincial  designará   al   organismo  que  actuará   como autoridad de aplicación de la presente Ley.
[6] Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

Presentación de la Declaración de Barranquilla

Por Daniel A. López Carballo

El pasado sábado 1 de junio de 2013, fue presentada por el Juez Alexander Díaz García, en la ciudad de Barranquilla (Colombia), en el transcurso del Congreso en Seguridad Informática y Telecomunicaciones, la segunda Declaración emanada en el seno del Observatorio Iberoamericano de Protección de Datos. El Congreso, organizado por el Politécnico Costa Atlántica, contó con las intervenciones del propio Alexander Díaz García, de Rafael Camerano, George Proeller y C. Ricardo Palacio.

La Declaración de Barranquilla, hacia la unificación de criterios e instrumentos jurídicos para la protección de la privacidad en Iberoamérica, contó en su elaboración con la participación de expertos de España, Argentina, Colombia, Ecuador y México, entre los que cabe reseñar el propio Juez Alexander García Díaz, Francisco R. González-Calero Manzanares (co-autores del documento inicial de trabajo), Marta Sánchez Valdeón, Andrés Blázquez García, Javier Villegas Flores, Romina Florencia Cabrera, Óscar Costa Román, Camilo Alfonso Escobar Mora, Carlos Vera Quintana, Ivan Dario Marrugo Jiménez, Analía Aspis, Ines Tornabene y Edgar Tomas Quiñonez Rios, coordinados por Daniel A. López Carballo.

La Declaración nace como reflexión y exposición de la situación de la situación actual en materia de protección de datos en Iberoamérica y las líneas programáticas por los que se debería apostar en pro de una mayor protección del derecho a la intimidad, la propia imagen y el honor de las personas, su protección jurídica y los avances que deberían producirse a nivel institucional y legislativo, tanto en el ámbito penal como procesal, para la persecución de las conductas delictivas, tanto informáticas como electrónicas, en aras una mayor protección de la intimidad, honor y privacidad de las personas.

Sanciones por violación del Habeas Data en Colombia

sic_habeas_data

Por Daniel A. López Carballo

Según se hacia eco la Radio Nacional de Colombia, un total de 350 sanciones, por más de mil millones de pesos,  ha impuesto la Superintendencia de Industria y Comercio por violar la nueva ley de Habeas Data.

El dato lo suministró el organismo de vigilancia que señaló que “se han abierto unas 1.000 investigaciones, de las cuales 350 terminaron con la imposición de multas por más de 5.000 millones de pesos”.

La propia Superintendencia de Industria y Comercio, a través de su página web facilita a los ciudadanos los Trámites de protección de datos. Entre los que cabe recordar la denuncia por presunta violación a las normas que regulan el derecho constitucional que tienen las personas a conocer, actualizar y rectificar la información que se hayan recogido sobre ellas en bancos de datos y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales, particularmente en relación con la información financiera y crediticia, comercial, de servicios y la proveniente de terceros países; para los casos en que la queja o reclamo, presentada ante el operador de la información, o ante la fuente de la información no sea atendida dentro del término de quince días hábiles o que sea atendida de manera desfavorable, puede presentar denuncia ante la Superintendencia de Industria y Comercio. En los casos en que la fuente, usuario u operador de la información sean vigiladas por la Superintendencia Financiera, ésta entidad ejercerá la vigilancia e impondrá las respectivas sanciones.

Según José Alejandro Bermúdez, Delegado Para la Protección de Datos Personales de la Superintendencia de Industria y Comercio “la nueva norma, distinta a la Ley 1266 del 2008, que regula el Habeas Data Financiero, amplía aun más el espectro de empresas, públicas o privadas, que deben adaptar sus procesos a los términos de la norma con el fin de hacer un manejo adecuado de sus bases donde reposa información de las personas”, para Bermúdez, “con esta nueva ley ganan los ciudadanos que desde ahora cuentan con mecanismos efectivos para proteger su derecho fundamental de Habeas Data. Aunque la ley contempla la posibilidad de imponer sanciones de hasta 2.000 smlmv para los infractores, estamos convencidos de que con este nuevo régimen también ganarán las empresas que sepan entender que una administración transparente y legal de la información genera confianza en los mercados”.

Según Portafolio.co, las estadísticas de la entidad indican que, en promedio, cada mes reciben unas 250 quejas. Pero con la Ley 1581, las empresas quedan impedidas para comercializar o emplear información que recolecten del público sin su previo consentimiento.

Según Bermúdez, las personas tienen derecho a conocer los propósitos que persigue una empresa con la toma de sus datos y autorizar su uso. La norma impide que esos datos se utilicen de manera indiscriminada.

La Superintendencia protege su derecho fundamental de Habeas Data (conocer, actualizar y rectificar sus datos). En esta sección de preguntas y respuestas frecuentes encontrará más información sobre el alcance de sus derechos como ciudadano y la forma de ejercerlos de forma efectiva, en la página web de la Superintendecia se informa, en relación al tratamiento no autorizado de los datos o con otra finalidad que cando usted autoriza el tratamiento de su información personal, éste debe realizarse con unos fines específicos que se le deben informar. Según este principio, si su información es utilizada para fines distintos a los autorizados, usted podrá acudir ante la Superintendencia sin necesidad de hacer reclamación previa ante la fuente o el operador de la información.

En igual sentido, si su información es utilizada por personas no autorizadas, también puede ejercer el derecho de Habeas Data ante la Delegatura de Protección de Datos Personales.

Recordar que las empresas que violen la norma se exponen a multas que alcanzan los 1.130 millones de dólares, y corren el riesgo de que la Superintendencia ordene el cierre temporal o definitivo del establecimiento, que puede ser más grave que la multa monetaria.

Protección de datos personales: derecho y deber del ciudadano

ciudadanos_2

Por Juan Ignacio Zamora Montes de Oca

Nuestra democracia se conforma sobre la base de derechos fundamentales y valores tales como la privacidad y protección de los datos personales, protegidos en tratados internacionales y legislaciones nacionales.

Estos derechos son tan necesarios como también lo es la libertad de expresión y el acceso a información. El día 28 de enero de celebró por sétimo año consecutivo el Día Internacional de la Protección de Datos Personales,  iniciativa que se dio a conocer en nuestro hemisferio por los Estados Unidos y Canadá en el 2008 y que fue creada en el seno del Consejo de Europa y la Comisión Europea para conmemorar la firma de la Convención 108, documento que se conoce como el primer tratado internacional en regular la privacidad y la protección de datos.

Hoy en día la gran mayoría de datos personales se almacena de forma segura, pero siempre existen riesgos y no se ha creado aún el archivo que sea 100%  impenetrable. Hoy en día nuestros datos son muy valiosos y forman parte de la maquinaria que requieren terceros ajenos para realizar actividades de orden, control y lucro. Información básica como nuestro nombre, nuestro e-mail o nuestra fecha de nacimiento, así como datos sensibles (e.g. preferencia sexual, información médica, cuentas bancarias o religión) son materia prima para realizar delitos en internet o fuera de la red.

El acelerado avance de la tecnología hace que todos los días surjan nuevas amenazas en contra de nuestra privacidad, lo que produce que el Derecho no tenga otra opción que adaptarse de forma obligada a estos cambios por medio de ramas como el Derecho de Tecnologías de la Información, Derecho Informático y otros.

Todos nosotros- desde nuestro hogar, hasta las empresas más grandes- debemos de estar al tanto de a quién le confiamos nuestra información personal, para qué se utiliza, donde se archiva, quien la accesa, si se mantiene actualizada, y mantenernos vigilantes siempre de estos asuntos y otros que se desprenden del manejo de la información personal.

Es necesario conocer la legislación vigente, actualizarnos, proponer cambios, estar al día con la tecnología y las regulaciones a nivel nacional e internacional, conocer nuestros derechos y obligaciones y ejercerlos. Debe existir una conciencia por parte de los organismos nacionales e internacionales acerca de la importancia de proteger nuestra información personal y todos los procesos que se relacionan esta actividad.

En nuestro país la ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales se encuentra vigente y a la espera de la aprobación del reglamento y de la creación de la Agencia de Protección de Datos que ayudarán a implementar  la ley y a mejorar nuestro sistema de protección de datos a nivel nacional.

Nuestra información personal y nuestra privacidad son derechos fundamentales tutelados por la mayoría de gobiernos e instituciones, pero protegerlos depende mayoritariamente de nosotros.

Cuando protegemos datos protegemos personas

derechos_personas

Por Eduardo Peduto

Más de una vez hemos sostenido que con el tema de protección de datos personales nos hallamos frente a un derecho novedoso. Y utilizamos este adjetivo en dos de sus acepciones: una de ellas, la más extendida, la que refiere a la cualidad de nuevo; la segunda, menos utilizada en el lenguaje coloquial, es el adjetivo aplicado a aquello antes no fue visto ni oído y que causa, en consecuencia, extrañeza o admiración. No creemos equivocarnos al utilizar la voz “novedoso” en esta doble vertiente.

Vamos a intentar validar su uso en el último sentido. Si bien progresivamente se va extendiendo el conocimiento del tema de la protección de datos personales que en la jerga jurídica es conocido bajo el latinazgo de “hábeas data” y, en tal carácter, su divulgación es aún más restringida socialmente, lo cierto es que como derecho no ha adquirido la suficiente entidad o, al menos, la entidad que poseen algunos otros derechos vinculados a las personas.

También debemos convenir que el conocimiento alcanzado en la comunidad sobre este derecho se haya más vinculado a cuestiones crediticias, patrimoniales o comerciales que a otros campos de los datos personales. Y bajo este genérico “otros campos” estamos englobando a los denominados datos sensibles. Y en definitiva ¿cuáles son los datos que responden a esta categoría? Todos aquellos que revelen o puedan revelar origen racial o étnico, opiniones políticas, convicciones religiosas o morales, afiliación sindical, información referente a la salud o a la vida sexual. En la Ciudad Autónoma de Buenos Aires, el legislador, de manera aguda y proyectiva, le a hecho un aditamento a esta enumeración: “o cualquier otro dato que pueda producir, por su naturaleza o su contexto, algún trato discriminatorio al titular de los datos.”

Respecto a este último tópico debemos decir que -sin llegar a configurar un campo impreciso e infinito- lo cierto es que son múltiples los terrenos o figuras que encuadran en esta definición. Que van desde aquel que, buscando trabajo, queda fuera de la oferta por vivir en un barrio carenciado o en una villa miseria hasta los padres que reciben un subsidio por la discapacidad de un hijo o los que, por su situación de necesidad extrema, integran la nómina de algún plan de reinclusión social.

En definitiva, todas aquellas personas que, por una razón o por otra, se encuentran estigmatizadas por un imaginario social construido sobre prejuicios y descalificaciones. Y en esto nos vemos obligados a efectuar mención a las herramientas utilizadas para incursionar en el terreno del daño al otro.

Es así que un campo en el que vemos frecuentemente la aparición de conductas que conllevan trato discriminatorio, humillante o descalificador es el del mundo cibernético. Aquello que de manera englobante se conoce como acoso cibernético o ciberacoso y que adopta bajo la forma de mensajes a móviles, correos electrónicos, foros o chats de Internet o redes sociales como Facebook el envío y difusión de cierta información agraviante para alguien, ocultándose tras el anonimato o la posibilidad de construir un perfil falso que Internet les confiere.  Es lamentablemente conocido el caso de personas que sometidas durante largo tiempo han sufrido depresiones agudas, llegado al suicidio o, en un estallido de violencia, han atacado de manera indiscriminada a quienes suponían como sus agresores dado que el anonimato le impedía acceder a la fuente de su sufrimiento.

Finalmente haremos referencia a una de las formas específicas del acoso cibernético: el conocido bajo el nombre de grooming. Consiste en un accionar preparatorio para la comisión de delitos de agresión sexual más graves aún. La utilización de las Tecnologías de Información y Comunicación (TICs) permite a un adulto, mediante la utilización de un perfil falso, acceder a un menor de edad y mediante engaños crear una conexión emocional, siempre con el objetivo de llevar adelante un abuso de tipo sexual.

Es así que llegamos al comienzo o más que a él, al título de estas líneas: cuando protegemos datos protegemos personas. Esta es la esencia de nuestra acción tanto en la divulgación, capacitación, investigación o cuando receptamos denuncia sobre la vulneración de datos personales. Hacer hincapié, nunca suficiente nunca vasto, que cuando nos abocamos a la protección de datos personales estamos protegiendo personas. Estamos protegiendo su intimidad, su privacidad, su dignidad. Su ciudadanía, entendida ésta en el sentido amplio en que hoy es reconocida por el desarrollo de las ciencias sociales. En definitiva, estamos protegiendo su mayor atributo: su condición de ser humano.

La acción del Habeas Data en el derecho ecuatoriano (I)

corte_constitucional_ec

Por Maria Auxiliadora Palacios Gonzalez

Concepto de habeas data

Se llama así a un remedio urgente, para que las personas puedan obtener:

  • El conocimiento de los datos a ellos referidos y de su finalidad que consten en registros o bancos de datos públicos o privados;
  • O en su defecto, para exigir su actualización, rectificación, eliminación o anulación; y su confidencialidad, esto es el derecho a conocer el dato de carácter personal y el derecho de rectificación en caso de que la información sea errónea.

Campo o ámbito de habeas data

Está ligado a lo siguiente:

  • Al derecho a la intimidad;
  • A la discriminación;
  • Las fuentes de información y la prensa;
  • Los registros propiamente dichos, archivos y banco de datos;
  • Los Derechos Humanos; y,
  • La informática y la telemática.

Finalidad

La finalidad del Hábeas Data es proteger a la persona de los abusos que pueda sufrir respecto del llamado poder informático y de las consecuencias que le traería a su honra y buen nombre en caso de que la información difundida no se veraz o sea errónea. Se entiende por tal, la producción, almacenamiento y transferencia de información personal que pueden realizar instituciones públicas y privadas, empresas y personas en general, en base a los avances tecnológicos que hoy existen y a la información que estos poseen o almacenan.

Tal información personal, a más de poder ser incorrecta o desactualizada, puede abarcar situaciones pasadas ya superadas, así como también ser de carácter sensible, esto es, referirse a las convicciones políticas o religiosas de la persona, a su comportamiento sexual, a su estado de salud, etc., información ésta que al ser realmente íntima no debería ser de conocimiento y manejo público, salvo que su mismo titular así lo acepte expresamente, cuestión que en nuestro país no se le da el tratamiento que merece pues lo que más ocurre a diario es precisamente agravios sufridos a consecuencia de información errónea y de situaciones ocurridas en el pasado que deberían quedar en donde ocurrieron.

El riesgo que tiene la persona ante el poder informático de las instituciones es grande, no sólo por la facilidad que tienen para almacenar u obtener información, sino por la rapidez con que ella puede ser transferida y difundida no solo dentro del país sino del mundo. Junto con lo anterior, y sin perjuicio del peligro que significa el registro de información falsa o errónea acerca de la persona, la simple manipulación de la información personal es en sí ya un grave riesgo para todos.

El poder informático es grande, y la tecnología avanza a pasos agigantados tanto en el proceso de acopio como de difusión de la información que posea; ese acopio y recolección de datos puede ser realizado de manera superficial e irresponsable, sin la debida investigación,  revisión y el cuidado suficiente que aquella merece; así mismo, esa difusión puede ser realizada de manera inadecuada, desmedida o fuera de lugar.

Por lo tanto, mediante esta garantía se tiene a más de un acceso efectivo a la información personal existente en poder de terceros,  un control efectivo a la calidad de información que reposa en tales registros, permitiendo no solo un proceso de corrección y actualización sino hasta de anulación y supresión de los datos ilegítimos, erróneos o desactualizados que puedan llegar a causar graves perjuicios a  sus titulares.

Naturaleza Jurídica

La figura del hábeas data es, de conformidad con la normativa constitucional y legal aplicable a la fecha en el Ecuador, una garantía, de rango constitucional, la misma que protege determinados derechos constitucionales, entre ellos el acceso a la información ligado al derecho a la intimidad y al buen nombre, derecho reconocidos y garantizados por nuestra Carta Magna de los que gozamos todos los ciudadanos.

Su naturaleza jurídica es la de ser una acción, la cual genera el nacimiento de un proceso constitucional, el mismo que terminará mediante una resolución, la cual, bajo determinadas condiciones, puede ser objeto de ciertos recursos, entre ellos el de apelación ante el superior jerárquico.

No es un recurso, como erróneamente se la ha calificado; es una acción, con la cualidad de ser de rango constitucional, y de ser una acción concreta pues, a diferencia de la acción de protección, el hábeas data protege limitados derechos constitucionales, es decir no abarca la generalidad de aquellos.

La Acción de Habeas Data, tal como se encuentra concebida por nuestra Constitución, tiene estrecha relación con los derechos de las personas protegidos por los números 8 y 21 del artículo 23 de la misma, a saber: El derecho a la honra y a la buena reputación y a la intimidad personal y familiar”; y, “El derecho a guardar reserva sobre sus convicciones políticas y religiosas. Nadie podrá ser obligado a declarar sobre ellas. En ningún caso se podrá utilizar información personal de terceros sobre sus creencias religiosas y filiación política, ni sobre datos referentes a salud y vida sexual, salvo para satisfacer necesidades de atención médica”. Este segundo derecho protegido por nuestra Norma Suprema, tiene también relación con el derecho a la intimidad señalado por el primero de los numerales anotados.

Diferentes enfoques

La doctrina y la legislación latinoamericanas tienen diferentes enfoques sobre la garantía que protege esta acción, pero es más generalizada la idea de que el hábeas data protege el derecho a la intimidad y el derecho a la honra y buena reputación.

Protección por parte del Estado

En la actualidad, debido al avance tecnológico en el campo informático de contar con registros de datos personales (en empresas públicas o privadas), se ve más claro el deber del Estado de proteger de alguna manera a los particulares con respecto a la utilización que se de a los datos personales que sobre cualquier persona pueden encontrarse en cualquier tipo de institución. Hoy en día es común que la generalidad de las personas tenga que depositar en algún momento, información sobre sí mismas, en instituciones públicas (por ejemplo en nuestro país el caso del Servicio de Rentas Internas en el caso de las declaraciones de impuesto a la renta o del IVA, o a la Policía Nacional que exige información personal para otorgar licencias o matrículas), o en instituciones privadas (por ejemplo las empresas en las cuales requieren contratar a personal y se pide dejen carpetas con el curriculum vitae o los bancos que contienen información personal sobre sus clientes, relacionada con sus ingresos, egresos de carácter económico).

Coninua en “La acción del Habeas Data en el derecho ecuatoriano (II)