La Infanta y su derecho (o no) al olvido

Por Laura Vivet Tañà

La sentencia del caso Nóos ha avivado recientemente el debate sobre el derecho al olvido ya que, la Infanta Cristina se habría planteado recurrir al Tribunal Supremo la decisión de la Audiencia de Palma de haberla juzgado, pues finalmente ha sido absuelta de los dos delitos fiscales. Una de las principales consecuencias del recurso habría sido la posibilidad de poder ejercitar el derecho al olvido ante las publicaciones online donde aparecía sentada en el banquillo de los acusados y de este modo, tratar de limpiar su reputación.

Si bien, parece que la infanta ha cambiado de opinión por motivos personales lo cierto es que, desde un punto de vista legal y efectivo, el resultado de dicha acción muy probablemente hubiera sido infructuoso y contraproducente, pues la infanta y su marido son personajes que desempeñan un papel en la vida pública, y esta información por su actualidad y repercusión, sin duda es de interés público.

El Tribunal de Justicia de la Unión Europea (TJUE) en su icónica sentencia de 13 Mayo 2014 protagonizada por Mario Costeja y el gigante de Internet Google concluyó que, en virtud de la Directiva 95/46/CE (arts. 12 b y 14 a) y la Carta de Derechos Fundamentales de la Unión Europea (arts. 7 y 8) los usuarios tienen derecho a solicitar a los motores de búsqueda, la eliminación de enlaces a páginas web que aparecen en una lista de resultados, cuando éstos se han obtenido tras una búsqueda a partir de su nombre.

Este derecho es especialmente relevante cuando se pretenden eliminar enlaces a publicaciones lícitas de esta lista de resultados, cuyo contenido no se puede suprimir del sitio principal debido a que por ejemplo, se trata de publicaciones que obedecen a una ley, como el Boletín Oficial del Estado, o cuando se amparan en el derecho a la libertad de expresión e información, como es el caso de los rotativos.

De este modo, aunque el contenido no se haya eliminado por parte del editor de la página web de origen, ésta ya no aparecerá en la lista de resultados vinculados al nombre de una persona, cuando tecleemos su nombre en el buscador.

No obstante, el TJUE estableció expresamente ciertos límites en su interpretación del derecho al olvido, de conformidad con las excepciones que ya establece la propia Directiva. No se trata de un derecho absoluto, su ejercicio se ha de fundamentar en que se trate de información inexacta, inadecuada, no pertinente o excesiva en relación con los fines del tratamiento, o de que se conserven durante un periodo superior al necesario. Y establece que, incluso un tratamiento inicialmente lícito de datos exactos puede devenir, con el tiempo, incompatible con la Directiva, cuando estos datos ya no sean necesarios en relación con los fines para los que se recogieron o trataron, tal como ocurrió en el caso de Costeja. En este procedimiento, el Tribunal entendió que los vínculos a las dos páginas de internet del rotativo que aparecían al teclear su nombre en el buscador, relativos a un embargo por deudas a la Seguridad Social, eran de carácter sensible y debido a que su publicación inicial se remontaba 16 años atrás, no existían en la actualidad razones concretas que justificaran el interés preponderante del público en tener acceso a esta información.

Por tanto, según indica el TJUE, en cada situación será necesario buscar el justo equilibrio entre el interés público en acceder a la información y la protección de la vida privada de las personas, y este equilibrio dependerá de la naturaleza de la información, de su carácter sensible para la vida privada y del interés del público en disponer de esta información, que podrá variar justamente en función del papel que esta persona desempeñe en la vida pública.

Consecuentemente, el derecho al olvido no se aplica de la misma forma a las personas que ejercen un papel en la vida pública. Esta diferenciación también la encontramos en Ley Orgánica 1/1982, de 5 Mayo sobre el derecho al honor, a la intimidad personal y familiar y a la propia imagen, dirigida especialmente a proteger la imagen y buen nombre de una persona. Esta ley establece que el derecho a la propia imagen no impedirá su captación, reproducción o publicación por cualquier medio, cuando se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública, y la imagen se capte durante un acto público o en lugares abiertos al público, ni tampoco cuando predomine un interés histórico, científico o cultural relevante.

En el caso de la infanta, la gravedad y actualidad de los hechos no puede ser más trascendente para la opinión pública teniendo en cuenta que, a pesar de quedar absuelta de los delitos fiscales, se le atribuye una participación a título lucrativo por la que ha tenido que abonar una importante suma, siendo su marido finalmente condenado a seis años y tres meses de prisión.

Incluso con el paso del tiempo, hay fuertes argumentos para no reconocer el derecho al olvido de la infanta en relación al caso Nóos y su paso por los juzgados, pues es un dato que incluso podría tener connotaciones históricas, se trata de un personaje público relevante y las imágenes fueron captadas con su conocimiento y en lugares públicos.

En este contexto, el inicio de una acción judicial en defensa del derecho al olvido, más bien podría tener un efecto Streisand, que es lo que ocurre cuando un intento de ocultamiento de cierta información no solo fracasa, sino que es incluso perjudicial, ya que acaba recibiendo mayor publicidad de la que habría tenido de no hacer nada.

Artículo publicado en La Vanguardia el Martes 28 de Marzo del 2017.

Reforma a la ley de protección de datos en Chile: un buen proyecto con un mal presagio

Por Carlos Reusser Monsálvez

Probablemente esta columna será más larga de lo habitual, pero es que el asunto a tratar no es baladí: de hecho podría constituirse en uno de los más significativos avances en derechos fundamentales de nuestra actual democracia.

El pasado 13 de marzo de 2017 la Presidente Bachelet, en un acto público realizado en el salón Montt–Varas del Palacio de la Moneda, firmó el proyecto de ley (Boletín 11.144) que reforma en su totalidad la Ley N° 19.628, llamada de protección de la vida privada (no crea que le protege de algo), generando un cúmulo de expectativas y alcances que hay que explicar.

Esta es una reforma largamente esperada, pues actualmente el Estado mantiene a su población desprotegida contra los abusos del tratamiento de datos personales, lo que repercute diariamente, entre otras cosas, en limitaciones al acceso al mercado del trabajo, al crédito, a la salud, a la educación y, en general, a todos los derechos fundamentales.

¿Por qué?. Porque gracias al tratamiento indiscriminado y abusivo de los datos “alguien”, cree saber algo de ti, y toma decisiones que te afectan en tu vida diaria. Nunca conocerás qué es lo que cree saber ni sabrás en base a qué información toma su decisión, pero tu vida se verá inexorablemente perjudicada y hoy no tienes a quien recurrir, o a veces ni siquiera contra quién recurrir.

Lo anterior, en parte muy significativa del planeta está prohibido y existen estándares internacionales mínimos para proteger a la gente, de forma que la información que circule en la sociedad sea de calidad y que existan garantías de que ella solo se difunde en las condiciones establecidas por la ley o las permitidas por la propia persona.

Ahora, el proyecto de ley en comento es, de hecho, muy bueno. ¿Y por qué lo es?. Porque recoge en parte importante el diálogo que se suscitó a comienzos del Gobierno de la Presidente Bachelet entre la banca, las compañías de seguros, las Universidades, el retail financiero, las organizaciones de la sociedad civil y los organismos de Gobierno y que concluyeron en una propuesta de proyecto de ley que aunaba los criterios a aplicar de forma tal que fuera compatible con los estándares de la Unión Europea (que estamos obligados a cumplir por el Acuerdo de Asociación Chile – Unión Europea de 2002) y con las exigencias de la OCDE (selecto club al que creemos pertenecer).

Entonces el proyecto firmado por la Presidente es un buen proyecto porque el que se hizo hace dos años y medio atrás, también lo era: ahora el Ministerio de Hacienda le ha cambiado el envase, un par de cosas y lo ha presentado a la firma de la Presidente.

Pero como en Chile la República se refunda cada vez que hay elección presidencial, lo más probable es que si no ha concluido su tramitación antes de marzo de 2018, el nuevo Gobierno que asuma lo retire o le formule indicaciones hasta hacerlo irreconocible. Como dije, es un buen proyecto, pero como lo presenta un Gobierno que se muere y tampoco le asigna ninguna urgencia, en los hechos compromete seriamente su éxito.

Ahora, sería injusto no reconocer alguno de sus méritos: como el proyecto se ha retrasado tanto (injustificadamente), han tenido tiempo de insertar algunas novedades que aparecieron en la discusión del nuevo reglamento de protección de datos de la Unión Europea que entrará a regir el 2018, lo que es bueno, pero también podrían haberlo hecho mientras se tramitaba en el Congreso.

Entonces, sin más dilación y haciendo una simplificación grosera que espero el lector sepa excusar en aras del no aburrimiento, podemos sintetizar contando…

LO BUENO

  1. Se crea una Autoridad de naturaleza administrativa, la Agencia de Protección de Datos, encargada de velar por el respeto a la protección de los datos de las personas naturales tanto en el ámbito público como en el privado, de forma tal que la gente vulnerada en sus derechos pueda acudir directamente a ella solicitando protección.
  2. Se establecen sanciones económicas fuertes e incluso una especie de prohibición de funcionar (todo graduable según la gravedad del caso, asi como la reincidencia en las malas prácticas) para quienes vulneren los principios y normas del derecho a la protección de datos personales.
  3. Se establece la obligación de informar, por parte de quien realiza el tratamiento de datos a los titulares de los mismos (o sea, a nosotros), en ciertos casos en que el primero sea víctima de actos que hayan comprometido la seguridad de los datos (data breach notification). En el fondo es algo así como “Señor X, nuestra seguridad ha sido vulnerada y han extraído los datos personales que le conciernen. Tome las providencias necesarias pues existe un alto riesgo de…”.
  4. Se fortalece enormemente lo que es la protección de los datos de los niños y adolescentes bastante en línea con el reglamento europeo.
  5. En general se ajustan todos los conceptos, principios, directrices y derechos específicos a la forma en que se entienden en la Europa de hoy, quienes son los innegables líderes en la materia, de forma tal que ya tendríamos un lenguaje común y existen grandes posibilidades de que se reconozca a Chile como un país con un nivel adecuado de protección de datos y, por ende, que los datos de ciudadanos otros países puedan ser enviados al nuestro por considerársele “seguro”.
  6. A partir de la aprobación de la ley estaremos en condiciones de generar todo un mercado de servicios relacionados con datos, como son las empresas de certificación de datos personales, auditoras y aseguradoras de datos, así como también el reforzamiento de las empresas y entidades que se ocupan de la seguridad de la información y de quienes prestan servicios de custodia de datos para terceros países, como los servicios de Cloud Computing.

LO MALO

  1. Se insiste en conservar una idea que ya era anticuada cuando se estableció la ley, esto es, que ella tiene el “propósito de asegurar el respeto y protección de los derechos y libertades de quienes son titulares de estos datos, en particular, el derecho a la vida privada”.
    Eso es falso pues, en realidad, lo que se protege es la autodeterminación informativa (el derecho de cada uno a determinar que se hace con los propios datos) o, si se quiere, el derecho a la protección de datos personales, independientemente de si afectan la vida privada o no.

Lo explico: si se difunde que en un trabajo anterior estabas afiliado al sindicato de la empresa, ¿te van a emplear en un trabajo nuevo?. Existe la probabilidad de que no, por el riesgo de que a ojos del empleador seas “conflictivo”. La afiliación a un sindicato, ¿es parte de tu vida privada?. No, la pertenencia a organizaciones de trabajadores o incluso a partidos políticos no es privada ni debe serlo, y en este caso se vulnera el derecho al trabajo, pero no el derecho a la vida privada.

¿Y si demandaste a quién te alquilaba una vivienda por la mala calidad de ésta y figura ese hecho en una base de datos disponible para los arrendadores?. Un nuevo arrendador, ¿querrá contratar contigo?. Complejo. Ahora, el hecho de demandar a alguien, ¿es un dato de la vida privada?. Para nada: desde el inicio del procedimiento hasta la sentencia es mantenida en registros abiertos al público. Y si nadie te arrienda un lugar donde vivir por lo que creen saber de tí, lo vulnerado es el derecho a la vivienda, no el derecho a la vida privada.

En conclusión, no tiene sentido insistir con lo de la vida privada si la ley no tiene una relación necesaria con ella.

  1. A la cabeza de la Agencia de Protección de Datos se ha puesto la figura de un Director, pero este en el proyecto de ley carece de la necesaria autonomía e independencia para tomar decisiones. Si al Presidente de la República no le gustan sus criterios o decisiones (o a algún Ministro), ya sea porque afecta los intereses de una repartición pública (en desmedro de los ciudadanos) o los suyos particulares o los de sus redes de contacto (en América Latina se han vuelto populares los Presidentes empresarios), sencillamente se puede defenestrar al Director de la Agencia o no renovar su nombramiento.

En ese contexto, ¿qué independencia puede tener un Director sujeto a la sensibilidad de la epidermis de la autoridad política de turno o que ve amenazada la renovación de su cargo por lo que está haciendo por los ciudadanos?. Sus opciones se reducen a hacer lo menos posible o derechamente postrarse de rodillas ante el poder político.
La inamovilidad del cargo por un periodo fijo de tiempo es un requisito fundamental para la independencia de la Agencia en la defensa de los derechos de las personas sobre sus propios datos y es un factor crítico de éxito.

  1. El proyecto contiene una asimetría grave e insoportable entre el sector público y el privado en perjuicio de la efectividad de los derechos de las personas. Ello se traduce en que si un privado vulnera tus derechos en materia de protección de datos, puedes recurrir a la Agencia para pedir que se haga cargo del asunto y restablezca tus derechos. Pero si quien vulnera los derechos de las personas es un organismo público, entonces tienes que tener el dinero suficiente para pagar a un abogado y someter el asunto a las ritualidades propias de un juicio, deduciendo un reclamo de ilegalidad ante las Cortes de Apelaciones del país, que ya tienen una carga de trabajo generosa en el día a día.

¿Razones para ello?. La verdad es que nada justifica esta asimetría y, en la práctica, es poner a los ciudadanos de clase media y a los más pobres una barrera de acceso a la protección efectiva de sus derechos: la generalidad de la gente tiene dinero para vivir, pero no el suficiente como para sobrellevar los costos de un juicio, por lo que tienden a aceptar lo que no deberían.

  1. Este proyecto versa sobre protección de derechos fundamentales; en consecuencia es una iniciativa que debería estar a cargo del Ministerio de Justicia o del Ministerio Secretaría General de Gobierno, pero no del Ministerio de Hacienda, que tiene otros roles y fines.
    Tal vez este hecho es un ejemplo de lo mal entendido que está todo este asunto, y que incide, entre otras cosas, en la reiterada obstaculización al avance del mismo basada en una visión economicista y sesgada de lo que significa el derecho fundamental a la protección de datos, lo que se traduce en ciertos errores conceptuales e incluso en materia de principios que deben corregirse.

Finalmente cabe mencionar que el proyecto fue ingresado a la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado de la República, presidida por el senador Felipe Harboe, y dicha comisión aprobó refundir el proyecto del Gobierno con una moción parlamentaria presentada por el propio Harboe y otros senadores (Boletín 11.092-07), lo que no ayuda en nada al buen y pronto desenlace de esta iniciativa legislativa, sino que lo hace más inmanejable.

Por lo pronto solo cabe reiterar que el proyecto del Gobierno es un buen proyecto y que todos los interesados deberíamos apoyar su avance en el Congreso Nacional, promoviendo las correcciones necesarias y estando muy atentos a sus avances y detenciones pues, como ya les dije en el título, los tiempos para aprobar la ley son la principal debilidad del proyecto, particularmente cuando no se le ha asignado urgencia alguna, lo que abre las puertas al fracaso.

Las «Buenas prácticas» en materia de protección de datos y derecho a la propia imagen, recomendables para periodistas, profesionales de la comunicación, informadores aficionados y particulares que hacen públicos datos personales, en México

Por Noé Adolfo Riande Juárez

1. Contexto

a) Colisión de Derechos

Existe una colisión de derechos fundamentales: los artículos 6° y 7° constitucionales, así como el artículo 4° de la Ley General de Transparencia y Acceso a la Información Pública, establecen condiciones que garantizan el ejercicio del derecho de toda persona a tener acceso a la información, así como a comunicar por cualquier medio sus ideas y opiniones, pero bajo la responsabilidad de proteger y respetar el ámbito de los datos personales.

Constitución Política de los Estados Unidos Mexicanos.[1]

Artículo 6o. La manifestación de las ideas no será objeto de ninguna inquisición judicial o administrativa, sino en el caso de que ataque a la moral, la vida privada o los derechos de terceros, provoque algún delito, o perturbe el orden público; el derecho de réplica será ejercido en los términos dispuestos por la ley. El derecho a la información será garantizado por el Estado.

Párrafo reformado DOF 13-11-2007, 11-06-2013

Toda persona tiene derecho al libre acceso a información plural y oportuna, así como a buscar, recibir y DIFUNDIR INFORMACIÓN e ideas de toda índole por cualquier medio de expresión.

Párrafo adicionado DOF 11-06-2013

[…]

Para efectos de lo dispuesto en el presente artículo se observará lo siguiente:

  1. Para el ejercicio del derecho de acceso a la información, la Federación y las entidades federativas, en el ámbito de sus respectivas competencias, se regirán por los siguientes principios y bases:

Párrafo reformado (para quedar como apartado A) DOF 11-06-2013. Reformado DOF 29-01-2016

  1. Toda la información en posesión de cualquier autoridad, (…) es pública y sólo podrá ser reservada temporalmente por razones de interés público y seguridad nacional, en los términos que fijen las leyes. (…).

Fracción reformada DOF 07-02-2014

  1. La información que se refiere a la VIDA PRIVADA y los DATOS PERSONALES será protegida en los términos y con las excepciones que fijen las leyes.

III.   Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito a la información pública, a sus DATOS personales o a la rectificación de éstos.

[…]

Ley General de Transparencia y Acceso a la Información.[2]

Artículo 4. El derecho humano de acceso a la información comprende solicitar, investigar, difundir, buscar y recibir información.

Toda la información generada, obtenida, adquirida, transformada o en posesión de los sujetos obligados es pública y accesible a cualquier persona en los términos y condiciones que se establezcan en la presente Ley, en los tratados internacionales de los que el Estado mexicano sea parte, la Ley Federal, las leyes de las Entidades Federativas y la normatividad aplicable en sus respectivas competencias; (…).

Pero cuando la Corte Interamericana de Derechos Humanos se pronuncia diciendo que:

“… es fundamental que los periodistas… gocen de la protección y de la independencia necesarias para realizar sus funciones, ya que son ellos quienes mantienen informada a la sociedad, requisito indispensable para que ésta goce de una plena libertad”[3]

… se actualiza una permanente tensión que conduce al debate sobre la interpretación de derechos fundamentales, y al papel que juega la ponderación en la práctica de los tribunales constitucionales.

En la Suprema Corte de Justicia de la Nación (SCJN), la ponderación de los valores sostenidos por la Libertad de expresión y el Derecho a la protección de los Datos Personales, no es desconocida. Así, cuando se interpretó la Ley de Responsabilidad Civil para la Protección del Derecho a la Vida Privada, el Honor y la Propia Imagen en el Distrito Federal, se evidenció la capacidad existente para ponderar sobre la negligencia de un periodista en el manejo de información vinculada con una persona:

“(…). En consecuencia, si un periodista que difunde información íntima de una persona –que considera de interés público– instrumentó diversas medidas de diligencia para evitar que esa información pudiera vincularse con la persona, es indudable que dicho periodista no incurrió en negligencia inexcusable en la difusión de esa información. (…)”

(Libertad de expresión. Interpretación de la negligencia inexcusable de los periodistas en la Ley de responsabilidad civil para la protección del Derecho a la Vida Privada, el Honor y la Propia Imagen en el Distrito Federal. Amparo directo 3/2011. Del 30 de enero de 2013. 10a. Época; 1a. Sala; S.J.F. y su Gaceta; Libro XX, Mayo de 2013; Tomo 1; Pág. 552.) [4]

b) Hechos recientes

Sin embargo, cuando hechos recientes en la ciudad de México plantearon la facilidad con que, puede violarse la privacidad de la ciudadanía (no sólo por las autoridades sino por cualquier ciudadano que tenga acceso a tecnologías que permiten hacer públicas actividades que podrían quedar dentro de la esfera privada de sus autores):

  1. Las denuncias del Director General de Desarrollo (el “City manager”) de la Delegación Miguel Hidalgo con el concurso de la “App” (software de aplicación para Smart-phones) “Periscope”;
  2. La elaboración de un Comunicado de la Comisión de Derechos Humanos del Distrito Federal (DF), preocupada por la difusión de la imagen de personas que realizan conductas sancionables el pasado 23 de febrero de 2016;[5]
  3. La elaboración de un primer borrador por la Asamblea Legislativa del DF para regular el empleo de Periscope y de “… todas las actividades que se realizan en diversas plataformas y redes tecnológicas…”;[6]
  4. La invitación de la Delegada de Miguel Hidalgo a un Debate sobre el uso de Periscope, a toda la ciudadanía para el próximo 17 de marzo;[7] y
  5. El anuncio resultante de la sesión del pasado día 7 de marzo de la Asamblea Legislativa, informando que en un mes y medio se tendría el Protocolo que regule el uso de Periscope por parte de las 10 Delegaciones del gobierno capitalino que actualmente lo emplean para difundir sus actividades

Todo ello terminó por generar propuestas desde diversas fuentes de la ciudadanía planteándose que la posibilidad de incluir algunos otros elementos tales como solicitar el consentimiento previo; realizar las transmisiones únicamente en diferido, nunca en directo; no evidenciar datos personales del ciudadano infractor; evitar abusos de poder; que la información no fomente la discriminación de los ciudadanos infractores; que los videos sean realizados por servidores públicos plenamente identificados; que se graben únicamente actividades realizadas en espacios públicos y nunca en espacios privados; y finalmente, se propuso que no sólo se grabara a los ciudadanos cuando cometan infracciones, sino que también se les grabe –en su caso–, cuando realicen actos que enmienden sus infracciones y/o cuando paguen la sanción que les pudiera corresponder.

La reglamentación prevista nunca se dio, el Protocolo de actuación anunciado se entendió como necesario pero nunca se pronunció y el uso de Periscope por las autoridades para denunciar actividades de la ciudadanía contrarias al orden público no solo perdura sino que ha proliferado apareciendo más de una organización de la sociedad civil que denuncian y/o difunden actividades aberrantes o ejemplares con el fin de desarrollar una conciencia ciudadana; y todo a partir de comportamientos que pudiendo quedar como parte de la vida privada de sus autores, ahora son difundidas porque se considera que tal difusión es beneficio del interés público.

Evidentemente, más allá de las preocupaciones que se dieron en la Ciudad de México, en cualquier lugar del mundo, cualquier particular –desde los medios de comunicación o fuera de ellos–, está en posibilidad de lesionar la imagen y la privacidad de sus conciudadanos cuando emplea sus recursos tecnológicos para difundir hechos que él considera que deben ser conocidos por todos.

Hoy en día, las cámaras de videovigilancia (públicas o privadas), la transmisión en vivo con cualquier Tablet o Smart-phone a través de las redes sociales, el empleo de Drones con cámaras de video (con o sin conexión a internet), exigen que analicemos y nos concienticemos respecto del daño que le podemos provocar a nuestra sociedad (por no decir a nuestros semejantes) con la obtención y la difusión de la información obtenida con esos u otros recursos tecnológicos, cuando ésta comporta el tratamiento de datos personales.

En este caso, no puede regularse el empleo de las tecnologías que invaden la privacidad; a diferencia de lo que ocurre cuando se analiza la potencialidad de los diferentes tipos de Cookies, Web Beacons y Web Bugs empleados en el ámbito publicitario o para aprovechar las posibilidades del Big Data (“minería” y clasificación de Bancos de datos), no se puede pretender que el legislador pronuncie reglas que impliquen una censura previa, pero si se puede realizar una revisión del marco normativo y buenas prácticas vigentes en México y en otras latitudes del orbe, a fin de identificar que principios se podrían ser aplicables en una sociedad como la nuestra.

c) Normatividad existente

Si consideramos la normatividad existente en México y en otras latitudes:[8]

  • Constitución Política de los Estados Unidos Mexicanos (CPEUM);
  • Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP);
  • Ley General de Transparencia y Acceso a la Información (LGTAIP);
  • Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados (LGPDPPSO);
  • Ley Federal de Derechos de Autor (LFDA);
  • Ley sobre delitos de imprenta (LDI);
  • Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (RLFPDPPP);
  • Pacto Internacional de Derechos Civiles y Políticos (PIDCP);
  • Convención Americana sobre Derechos Humanos “Pacto de San José de Costa Rica” (CADH);
  • Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales (CPDHLF);
  • Guía para cumplir con los principios y deberes de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares;
  • Data protection and journalism: a guide for the media (Protección de Datos y periodismo: Guía para los medios de comunicación) de la Oficina del Comisionado para la Información del Reino Unido (DP&J);
  • Código Deontológico. Federación de Asociaciones de Periodistas de España;
  • Codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica (Código deontológico relativo al tratamiento de datos personales en el ejercicio de la actividad periodística) del “Garante para la protección de datos personales” de Italia.
  • Código de Ética. El Foro del Periodismo Argentino (FOPEA);
  • Código de Ética de la Sociedad de Periodistas Profesionales de los Estados Unidos de América (EC-SPJ); y
  • Código de Ética para los Medios Mexicanos.

… se alcanzan las conclusiones que se desarrollan a continuación.

2. Realidad jurídica

El periodista (así como cualquier particular que publicite datos personales)[9] debe respetar el derecho a la intimidad y a la propia imagen teniendo en cuenta que los únicos supuestos de excepción a los principios que rigen el tratamiento de datos personales, son como lo establece el 2º. párrafo del artículo 16 constitucional:

  • razones de seguridad nacional,
  • el respeto u obediencia de disposiciones de orden público,
  • la supremacía y protección de la seguridad y salud públicas o
  • la protección de los derechos de terceros.

Estos supuestos[10] determinan lo que en México –y para el caso concreto de las violaciones a la protección de datos personales– podría denominarse de manera genérica, como el “interés público”, el “interés social” o la “utilidad pública”; mismo que todo periodista deberá ponderar para justificar las intromisiones o indagaciones sobre la vida privada de una persona sin su previo consentimiento. Así lo resolvió la Suprema Corte de Justicia de la Nación (SCJN) en el Amparo directo 3/2011. TA, 10ª época.[11]

En otras palabras, el periodista o particular que realice el tratamiento de datos personales (en forma textual, gráfica, audio, video, o de cualquier manera), y que reporta a su público, hechos que impliquen faltas o violaciones a la seguridad nacional,[12] a disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros, debe en el ejercicio de la libertad de expresión, proteger la vida privada de las personas de “intromisiones innecesarias”[13] e “instrumentar diversas medidas de diligencia” para evitar que se le acuse (como en el Amparo directo 3/2011) de dar tratamiento a los datos personales con “negligencia inexcusable”.[14]

Por lo anterior, y por lo que se observa en otras latitudes –cómo enseguida veremos–, se entiende que todo periodista –como cualquier otro particular–, de entrada, debe entregar su aviso de privacidad, solicitar el consentimiento, usarlos con finalidades específicas y de manera pertinente, conservándolos con las medidas de seguridad necesarias, MÁS SI ELLO NO FUERA POSIBLE en su totalidad, no por “negligencia inexcusable” y no para “injerencias inexcusables”, sino por la complejidad de los hechos, por falta de recursos, de tiempo o por incapacidad estructural para su cumplimiento, dado que este derecho a la protección de los datos no es absoluto sino que –con arreglo al Principio de Proporcionalidad–, debe mantener el equilibrio con otros derechos fundamentales, al periodista podemos recomendarle la observancia de aquellas “Buenas Prácticas” que ha sido posible extraer tanto en el orden internacional como en nuestro orden jurídico.

“Buenas Prácticas” que aconsejan, a manera de un control ético y racional, que pondere ambos derechos y que cumpla en la medida de sus circunstancias con lo previsto por la Ley para proteger los Datos Personales.

3. “Buenas Prácticas” recomendadas

Estas Buenas Prácticas aun cuando siempre impulsan al cumplimiento de lo previsto durante el tratamiento de los Datos Personales, hacen referencia a diversas circunstancias en las que ese cumplimiento refleja respeto a lo dispuesto tanto por la Ley Federal de Protección de Datos Personales en Posesión de Particulares (así como por la recién promulgada Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados); auxiliando en realidad, a que según sea el escenario en que se encuentre el periodista siempre quede cubierto respecto de la diligencia de su proceder con respeto a la privacidad y los derechos de la ciudadanía.

a) Durante la obtención de los datos:

  1. Recordar que tratándose de retratos se debe contar con el consentimiento de la persona que se está retratando (Art. 87 LFDA), considerando que en el caso de quienes figuran como “personajes públicos” (TA. Amparo directo 6/2009) esto no es necesario.

Esta Buena Práctica está avalada por lo dispuesto en nuestra legislación (en la Ley Federal de Derechos de Autor), [15] y por lo resuelto por la Suprema Corte de Justicia de la Nación (en su resolución al Amparo directo 6/2009). [16]  No obstante, en este sentido también se pronuncia el “Codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica (Código deontológico relativo al tratamiento de datos personales en el ejercicio de la actividad periodística)” elaborado por el “Garante para la protección de datos personales” de Italia,[17] que perfecciona el criterio aplicable a los personajes “públicos” de la siguiente manera en su artículo 6, párrafo 2:

“La esfera privada de las personas que desempeñan funciones públicas o de los personajes notoriamente públicos debe ser respetada si las noticias o los hechos no tienen nada que ver con su función o su vida pública.”[18]

Por otra parte, el Código de Ética de la Sociedad de Periodistas Profesionales de los Estados Unidos de América, va más allá y puntualiza en su capítulo denominado “Minimizar el daño”:

Darse cuenta de que las personas privadas tienen un mayor derecho a controlar la información sobre sí mismos que las figuras públicas y otras personas que buscan poder, influencia o atención. Pesar las consecuencias de publicar o transmitir información personal.[19]

Finalmente, se hace notar que esta Buena Práctica recomienda privilegiar dos de los Principios que rigen la protección de datos personales: el Principio del Consentimiento (así lo requiere la LFDA) y el de Licitud (cuando se cumple con la LFDA), y asimismo, abre la posibilidad de que una vez que se cuenta con un consentimiento expresamente manifestado, también podrían satisfacerse también los Principios de Información y de Responsabilidad así como el Deber de Seguridad.[20]

  1. Cuando se graban hechos dónde es posible identificar y contactar a quienes participan, es honesto que se entregue un aviso corto con el que se advierta que se han registrado sus imágenes o voces, y que se utilizarán si se estima que la fotografía o video permite satisfacer el “interés público”. La gente debe saber si usted está recabando información acerca de ellos a menos que ello ponga en peligro su seguridad o que de otra manera se vuelva imposible el ejercicio de la función informativa

El sentido de esta Buena Práctica lo encontramos plasmado en la obra “Data protection and journalism: a guide for the media (Protección de Datos y periodismo: Guía para los medios de comunicación)” elaborado por la Oficina del Comisionado para la Información del Reino Unido, donde postula entre sus “puntos clave” para la “Obtención de información” en página 9:

“Sea abierto y honesto siempre que sea posible. La gente debe saber si usted está recogiendo información acerca de ellos en los temas en que es practico (en el sentido de posible o provechoso, u oportuno.-[NdT][21]) contárselos. Aceptamos que en general no será posible para los periodistas hacer contacto con todos aquellos sobre los que recogen información.”[22]

Asimismo, el Artículo 2, párrafo 1 del Código deontológico italiano (relativo al tratamiento de datos personales en el ejercicio de la actividad periodística) plantea:

“1. El periodista que reúne noticias para una de las operaciones mencionadas en el artículo 1, apartado 2, letra b) de la Ley núm. 675/1996 debe dar a conocer su identidad, su profesión y la finalidad del acopio a menos que ello ponga en peligro su seguridad o que de otra manera se vuelva imposible el ejercicio de la función informativa; evita artificios y evita una presión excesiva. Quedando en claro cuál es su actividad, no se requiere que el reportero proporcione los otros elementos de la información mencionados en el artículo 10, párr. 1 (Informaciones que se entregan al momento de la obtención.- [NdT]), de la Ley núm. 675/1996 (Ley sobre la Privacidad.- [NdT].”[23]

Lo que trasladado a los términos de nuestra realidad jurídica, se conoce como la entrega del Aviso de Privacidad Corto, y que implica también, satisfacer aquello que en el Reino Unido se plantea como: “hacer saber a la gente que se está recogiendo información sobre ellos”. Dándonos en ambos casos, la pauta para integrar en casi todas las Buenas Prácticas aquí propuestas, la recomendación de entregar, antes o después de la publicación –cuando sea posible–, un Aviso Corto que señale la finalidad de satisfacer el llamado “interés público”.

Finalmente, esta segunda Buena Práctica recomienda privilegiar los Principios de Licitud (dado que así lo requiere la LFPDPPP), de Lealtad (que no se recaben datos con dolo o vulnerando la confianza del titular) y de Finalidad (pues se prevé la entrega de un Aviso de Privacidad que mencione los propósitos del periodista); abriendo la posibilidad de satisfacer también, de manera consecutiva el Principio de Consentimiento, el de Responsabilidad, así como el Deber de Seguridad.

  1. Cuando se obtengan de una fuente diversa al titular, documentos o datos personales para fines informativos o periodísticos, posteriormente, ponga a disposición de los titulares un Aviso Corto donde se advierta la finalidad de dicho acopio, y señale el link al aviso de privacidad de su organización o del responsable; y de ser posible, también obtenga posteriormente el consentimiento de dichas personas.

A diferencia de la recomendación anterior, que refiere a la obtención de información, imágenes, videos y/o audios donde se contacta –como en una entrevista– con las personas involucradas y casi de inmediato se puede entregar el Aviso Corto, ahora –cuando no se obtienen de los titulares, se insiste en la necesidad de la entrega de dicho Aviso pero en un posterior momento luego que supone que los datos y/o documentos se obtienen sin que se enteren los titulares.

En este caso, también dan soporte a esta recomendación las Buenas Prácticas antes mencionadas, establecidas en la “Guía para los medios de comunicación” elaborado por la Oficina del Comisionado para la Información del Reino Unido –como un “punto clave” para la “Obtención de información”–; así como en lo señalado en el Artículo 2, párrafo 1 del Código deontológico italiano.[24]

Esta tercera Buena Práctica, como en el caso de la anterior, recomienda privilegiar los Principios de Licitud, Lealtad, Finalidad, y facilita el posterior cumplimiento de los Principios de Consentimiento, de Responsabilidad, así como el Deber de Seguridad.

  1. Que cuando la obtención de datos, documentos, audios, videos, fotografías, imágenes o información en general, se realiza de manera encubierta para evitar que las personas que participan en los hechos, se enteren y/o se opongan a su copia o registro, nada objeta el acopio legítimo de dichos materiales siempre que no se les dé ninguna difusión; pero en caso contrario, si se han identificado quienes son y sea posible localizarles, es recomendable entregar un aviso corto con el que se advierta que se han obtenido, copiado y/o registrado sus datos y que se utilizarán si se estima que permiten satisfacer “interés público” –siempre que el mismo aviso no constituya en sí, una obstrucción para la satisfacción del interés público.

De manera similar a como lo hace la Oficina del Comisionado para la Información del Reino Unido en su “Guía para los medios de comunicación”, esta Buena Práctica pretende evidenciar que no se ignora y que nada se opone a que, de ser necesario se obtenga la información –que incluya datos personales– de manera encubierta, cuando ésta conduzca a la satisfacción futura del interés público. No obstante, siendo coherente con las limitantes previstas por el artículo 16 constitucional, se reiteran las medidas planteadas en las dos recomendaciones anteriores: poner a disposición de los titulares un Aviso Corto de la organización del periodista o del responsable.

Este es el espíritu en el que se pronuncia la obra “Protección de Datos y periodismo: Guía para los medios de comunicación” del Reino Unido en págs. 9 y 10:

“No es necesario notificar a las personas si con ello se perjudica la actividad periodística. …

“Utilice métodos encubiertos sólo si está seguro de que esto se justifica por el interés público.

“(…) cuando sea posible, decir a la persona que está recogiendo la información de ella, y que la información es aproximadamente sobre… [lo que distingue la nota], lo que eres y lo que se está haciendo con su información.

“Si es necesario utilizar métodos encubiertos o intrusivos para obtener una historia, tales como la vigilancia, usted puede hacerlo si cree razonablemente que estos métodos son necesarios (en otras palabras, si no es razonablemente posible obtenerla de una manera menos intrusiva para obtener la información) y la historia es en el interés público. Para establecer si la investigación encubierta se justifica por el interés público, debe equilibrar el efecto perjudicial que tendría informar el interesado sobre la asignación periodística en contra del efecto perjudicial que el empleo de métodos encubiertos tendría sobre la privacidad de los titulares de los datos.

“(…) Incluso si la investigación encubierta puede ser justificada, aun así debe considerar si puede informar al interesado acerca de la información recopilada una vez que se hayan obtenido.” [25]

Por otra parte, cabe señalar aquí, lo que el Garante para la Protección de Datos Personales italiano sostiene en el punto 1 del Artículo 6 del Código deontológico antes citado:

“1. La divulgación de noticias de relevante interés público o social no entra en conflicto con el respeto a la privacidad cuando la información, incluso si es detallada, es indispensable en vista del hecho o de la originalidad de su descripción por las particulares formas en las que se produjo, así como por la calificación de sus protagonistas.”[26]

Es innegable que esta Buena Práctica recomienda privilegiar los Principios de Lealtad, Información, Finalidad y Responsabilidad que rigen la protección de datos personales, así como el posterior desarrollo del Deber de Seguridad.

  1. Cuando no se haya identificado o no sea posible localizar a las personas que participan en los hechos grabados o documentados (de manera abierta o encubierta), o cuando la entrega del aviso corto pueda representar una obstrucción a la satisfacción del interés público, debe ponderarse por sí mismo o con la Dirección de Redacción –o con su similar– dentro de la organización donde se trabaje, que la afectación a la privacidad nunca sea mayor al interés público existente por que se difunda esa información y, simultáneamente, redactar con claridad las razones que existen y que justifican el interés público en difundir dichos materiales, y depositar dicho escrito en un archivo específico bajo las medidas de seguridad de ley, a efecto de poder justificar –cuando se le requiera–, la excepción al debido respeto de la privacidad, y publicar junto con la nota periodística el link al Aviso de Privacidad correspondiente.

Esta Buena Práctica propone –de manera similar a como lo plantea la Oficina del Comisionado para la Información del Reino Unido (en la sección “Publicación” del Capítulo 2 “Guía rápida”, de la obra antes citada)–, consideraciones como las siguientes:

“Incluso cuando la información ha sido bien obtenida y conservada, Usted tendrá que considerar por separado que información es justo publicar. Esta pregunta significa determinar cuál es la cantidad de datos personales que es necesario publicar para propagar adecuadamente la historia, con un nivel de intrusión equilibrado en la vida de las personas afectadas, así como el daño potencial que esto pueda causar.

“Por ejemplo, si publicar una historia sería muy intrusivo o perjudicial para la persona, entonces es menos probable que sea justo publicar dichos datos personales. Este también es el caso de historias obviamente con poco interés público, o que la publicación debería haber sido retrasado para verificar los hechos.

“El interés público de la publicación debe ser ponderado por una persona con un nivel adecuado, en función de la historia. Reconocemos que para las historias del día a día no se suele necesitar del Director de Edición o de la opinión de expertos.

“La publicación es factible si, para ser justos y para cumplir con la LPD (Ley de Protección de Datos [NdT]) o para acogerse a la exención para el periodismo,[27] se puede demostrar que alguien en un nivel apropiado consideró que el interés público de la publicación sí supera la intimidad de las personas en las circunstancias del caso y puede dar buenas razones para sostener este punto de vista cuando lo desafíen.”[28]

En fin, esta quinta Buena Práctica recomienda privilegiar el Principio de Lealtad (la valoración de la pertinencia de la publicación de los datos por motivos de “interés público” significa que los datos se obtuvieron sin dolo, mala fe o negligencia); así mismo, implica atender los Principios de Proporcionalidad y Responsabilidad y abre la posibilidad para que se cumpla también con el Principio de Información (la propuesta que se hace de incluir en la “nota periodística el link al Aviso de Privacidad correspondiente”, conduciendo de igual modo al cumplimiento del Deber de Seguridad pues al generarse un escrito que habría de conservarse con las medidas de seguridad pertinentes, está implícito que dicha conservación tendría que darse cumpliendo con los estándares de seguridad que establece la normatividad vigente.

  1. Cuando se obtienen videos, fotografías o imágenes en general, de lugares donde aparecen personas como parte del contexto, nada objeta el acopio ni la difusión de dichos materiales (Art.87, párr.3°, LFDA)[29] no obstante, al publicarlos es recomendable ofrecer un Aviso Corto indicando el link del Aviso de Privacidad Integral de la organización.[30] Cuando se obtengan datos personales como parte de la información recabada con fines periodísticos, relacionados pero de personas diversas a las que son objeto de la noticia, de ser posible, se debe entregar un Aviso Corto con el que se advierta que se han obtenido, copiado y/o registrado sus datos y que se utilizarán si se estima que permiten satisfacer el interés público, ofreciendo el link del Aviso de Privacidad de la organización para la que se trabaje. Por ejemplo, el periodista deberá evitar nombrar en sus informaciones datos personales sobre los familiares y amigos de las personas que son objeto de la noticia, salvo que su mención resulte necesaria para que la información sea completa y equitativa.

Respecto del Aviso Corto que en este caso se recomienda entregar a quienes no son objeto de la noticia, es de recordar que la Ley de Derechos de Autor prevé que no siempre se tiene que informar a las personas, pero (de acuerdo a lo señalado en –página 10 de– la obra “Protección de Datos y periodismo. Guía para los medios de comunicación” del Reino Unido)[31] si se obtienen materiales dónde aparecen estos terceros, debe existir una razón y una justificación para su obtención.

Ahora, en relación con el compromiso de ceñirse con objetividad a publicar sólo datos necesarios para presentar la noticia, independientemente de que este precepto habrá de retomarse posteriormente en la octava Buena Práctica, en el Código deontológico del Garante de la Protección de Datos Personales italiano encontramos que este es un precepto para el que hay más de una recomendación, pues además de las mencionadas en la primera y cuarta Buena Práctica (artículo 6° referente a la “Esencialidad de la información”, en sus artículos del 7 al 11 (referentes a la protección de los menores, de la dignidad de las personas, de la dignidad de las personas enfermas, de la sexualidad de la persona, y del derecho a la no discriminación), se encuentran muchas más que por exceder los objetivos del presente comentario, sólo se presentan en los comentarios a la Buena Práctica número 8.

Esta recomendación privilegia los Principios de Licitud, Lealtad, Proporcionalidad, así como –cuando se llegue a entregar el aviso de privacidad–, el posterior cumplimiento de los principios de Información, Finalidad y Consentimiento que rigen la protección de datos personales.

b) Durante el tratamiento en general

  1. Cuando se dé tratamiento a cualquier tipo de datos personales de menores o de incapaces –a menos que se ignore cual sea la condición de los titulares–, es indispensable la entrega de un Aviso de Privacidad y la obtención previa del consentimiento de los padres o sus representantes legales y que el empleo de los datos correspondan con el objeto de la información que se ofrece en aras del interés público. La única excepción posible será cuando se demuestre que el acto de avisarles impida satisfacer el interés público. O cuando en las noticias sobre las víctimas de un delito, sea necesario difundir datos personales, imágenes o registros de audios que pueda contribuir a su identificación, antes de poder formular cualquier solicitud de consentimiento, se debe actuar con especial diligencia a fin de que quede claramente evidenciado el interés público, especialmente cuando se trate de delitos contra la libertad sexual, contra menores, marginados, o incapaces.

Tratándose de menores, como ya se mencionó, el Código deontológico del Garante italiano incluye un artículo que contempla lo siguiente:[32]

Art. 7. La protección de los menores

  1. Con el fin de proteger la personalidad de los menores involucrados en hechos noticiosos, el periodista no debe publicar sus nombres, ni proporcionar detalles capaces de llevar a su identificación.
  2. La protección de la personalidad del niño se extiende, considerando la calidad de las noticias y sus componentes, a todos los hechos que no son específicamente delitos.
  3. El derecho del niño a la intimidad siempre debe ser considerado como preferente respecto de los derechos de crítica y de prensa; Siempre que no obste un motivo relevante de interés público, si sujetándose a los límites legales, el periodista decide difundir noticias o imágenes de menores, debe aceptar su responsabilidad de evaluar si la publicación es realmente en el interés objetivo del niño, de acuerdo con principios y límites establecidos por la “Carta de Treviso”.

Asimismo, en la Guía para los medios de comunicación, elaborada por la Oficina del Comisionado para la Información del Reino Unido, se señala que, para que la información recabada tenga un equilibrio (en página 9), recomienda lo siguiente:[33]

“Sólo recopilar información acerca de la salud, la vida sexual de una persona o de un comportamiento criminal, si está seguro de que es relevante y el interés público en hacerlo justifica suficientemente la intrusión en su intimidad.”

En suma, esta recomendación, como puede observarse privilegia el cumplimiento de los Principios de Lealtad y de Proporcionalidad, y si se produce la entrega del Aviso de Privacidad, también lleva al cumplimiento de los Principios de Información, Finalidad y Consentimiento que rigen la protección de datos personales.

  1. En el tratamiento y publicación de los datos personales, el periodista extremará precauciones respecto de los derechos de sus titulares, evitando informaciones ajenas al objeto (o finalidad) de la información publicada u opiniones ajenas a los hechos concretos, o bien, evitando que su contenido sea eventualmente discriminatorio o susceptible de incitar a la violencia, a prácticas humanas degradantes, o simplemente con consecuencias dañinas, sin separar los hechos concretos de sus opiniones personales.

Independientemente de que se cumpla o no con otros Principios de la Protección de Datos Personales, esta Buena Práctica que recomienda tener precisión al momento de verter la información en una nota periodística (respeto al Principio de Proporcionalidad en el acopio), como ya se señaló anteriormente, se encuentra respaldada por una gran cantidad de señalamientos que en el mismo sentido se establecen en el Código deontológico de la autoridad Garante de la Protección de Datos Personales italiana, concretamente en sus artículos 7 sobre la protección de los menores, 8 sobre la protección de la dignidad de las personas, 10 sobre la protección de la dignidad de las personas enfermas, y 11 sobre la protección de la sexualidad de las personas:

“Art. 7. La protección de los menores

“1. Con el fin de proteger la personalidad de los menores involucrados en hechos noticiosos, el periodista no debe publicar sus nombres, ni proporcionar detalles capaces de llevar a su identificación.

“2. La protección de la personalidad del niño se extiende, considerando la calidad de las noticias y sus componentes, a todos los hechos que no son específicamente delitos. (…)

“Art. 8. Protección de la dignidad de las personas

“1. Una vez preservada la información esencial, el periodista no debe proporcionar noticias ni publicar imágenes o fotografías de personas involucradas en hechos noticiosos que sean perjudiciales para la dignidad de la persona, tampoco se detiene en detalles de violencia a menos que perciba alguna relevancia social de la noticia o de las imágenes.

“2. Exceptuando cuando hay motivos de un relevante interés público o finalidad judicial o policiaca comprobada, el periodista no retoma ni produce imágenes o fotos de personas bajo arresto sin consentimiento del interesado.

“3. No se puede presentar a las personas con cadenas o esposas, excepto cuando ello sea necesario para mostrar abusos.

Art. 10. La protección de la dignidad de las personas enfermas

“1. El periodista, al referirse al estado de salud de una persona en particular, identificada o identificable, debe respetar su dignidad, su derecho a la intimidad y a la dignidad personal, especialmente en casos de enfermedades graves o terminales, y debe abstenerse de publicar los datos analíticos de estricto interés clínico. (…)

Art. 11. Protección de la sexualidad de la persona

“1. El periodista debe abstenerse de la descripción de los hábitos sexuales relacionados con una persona en particular, identificada o identificable. (…)”[34]

En el Reino Unido las recomendaciones respecto de la precisión abarca la necesidad de realizar distinciones entre opiniones personales y datos concretos, (incluidas en la sección “Exactitud” del Capítulo 2 “Guía Rápida”, en pág. 13 de la obra “Protección de Datos y periodismo. Guía para los medios de comunicación”) manifestándose invariablemente en el mismo sentido:

“Tomar medidas razonables para comprobar los hechos.

“Distinguir claramente entre hechos, opiniones y especulaciones.”

“La precisión es, por supuesto, el centro mismo de la obra de un periodista profesional, y está en el corazón de los códigos de la práctica profesional.

“La LPD requiere que se registren correctamente los datos y tomar medidas razonables para poder comprobar los hechos. También debe distinguir claramente entre hechos y opiniones y si el individuo se opone a los hechos, usted debe decirlo.

“Los periodistas responsables siempre tienen cuidado de asegurarse que sus notas son exactas y no inducen a engaño, lo que significa que debe ser capaz de cumplir en la gran mayoría de los casos.”[35]

Sin duda, esta octava Buena Práctica recomienda privilegiar los Principios de Proporcionalidad, Lealtad y Calidad, independientemente de que posteriormente o de forma simultanea se cumpla con los demás Principios y Deberes que rigen la protección de datos personales.

  1. Cuando al tratar de los datos personales resulte necesario para los fines informativos hacer mención de datos sensibles, a fin de asegurar que dicha mención mantenga una relación con la noticia, el periodista debe evitar cualquier expresión despectiva, con prejuicios a la raza, color, origen social, a las preferencias políticas, ideológicas, sexuales, de religión o a la posesión de capacidades diferentes.

En este mismo sentido se pronuncia la obra “Protección de Datos y periodismo. Guía para los medios de comunicación” del Reino Unido, cuando en su página 23 advierte:

“No hay una prohibición total sobre el uso de los datos personales sensibles, pero hay más restricciones y deben ser tratados con mucho cuidado. Como el periodismo implica a menudo manejar este tipo de información, esta es un área donde puede ser necesario para los medios, invocar la exención del artículo 32 para el periodismo.”[36]

Por otra parte, ubicándola en un contexto diferente, el Código deontológico para la actividad periodística, del Garante para la protección de datos personales de Italia en su Artículo 5, señala lo siguiente:

“Art 5. Derecho a la información y la protección de datos personales

“1. En la recolección de datos personales con el fin de descubrir el origen racial o étnico, creencias religiosas, filosóficas o de otro tipo, opiniones políticas, pertenencia a partidos, sindicatos, asociaciones u organizaciones de pertenencia religiosa, filosófica, política o sindical, y los datos para descubrir el estado de salud y la esfera sexual, el periodista debe garantizar el derecho a la información sobre asuntos de interés público, respetando la información esencial, y evitando hacer referencia a familiares u otras personas que no están vinculados con los hechos. [37]

Esta recomendación que, como en el caso anterior, privilegia los Principios de Lealtad, Proporcionalidad y Calidad; y se da independientemente de que se cumpla o no con otros Principios y Deberes de la Protección de Datos Personales.

  1. En general, cuando el periodista ofrezca datos personales, debe hacerlo con conocimiento de la veracidad de su fuente, sin falsificar documentos ni omitir informaciones esenciales, así como no publicar material informativo falso, engañoso o deformado de las personas.

En este sentido se pronuncia la obra “Protección de Datos y periodismo. Guía para los medios de comunicación” en el Reino Unido en su pág. 25:

“Los datos personales deben ser exactos y, cuando sea necesario, actuales. En la práctica esto significa que debe tomar medidas razonables para asegurarse de que sus hechos son correctos y no engañosos, y si el individuo se opone a cualquier hecho se debe investigar y hacer que reflejen su punto de vista ¿Qué medidas son razonables dependerá de las circunstancias, incluyendo la urgencia de la historia en particular.”[38]

Esta recomendación privilegia los Principios de Licitud y Calidad que rigen la protección de datos personales, así como el posterior cumplimiento del Deber de Seguridad luego que la única manera que tiene para respaldar su palabra es conservar los archivos fuente de sus notas periodísticas.

c) Ejercicio de los Derechos ARCO

Existe también Buenas Prácticas para la atención de reclamaciones por supuesta falta de objetividad, veracidad, o justificación del interés público, estas son las que se señalan a continuación:

 

  1. Ante la posibilidad de reclamaciones sobre la veracidad de los datos publicados, o sobre la objetividad, o sobre la justificación del interés público, es conveniente que el periodista mantenga siempre disponible la información obtenida y/o publicada a fin de poder atender cualquier solicitud de derechos ARCO, sin que existan límites para la conservación de los registros obtenidos durante la labor periodística, por lo cual, el periodista debe revisar periódicamente la validez y vigencia de la información almacenada, especialmente cuando se han tratado datos sensibles o datos cuya inclusión sólo se justifica por el interés público.

 

Por lo que se refiere a las eventuales rectificaciones que pudieran formulársele al periodista, en el citado “Código deontológico” del Garante de la Protección de Datos Personales de Italia, se menciona:

“Art. 2. Los bancos de datos para uso editorial y la protección de los archivos personales de los periodistas

“2. Si los datos personales se recogen de los bancos de datos para uso editorial, se requieren las empresas editoriales para revelar al público, a través de anuncios, al menos dos veces al año, la existencia de archivo y el lugar en el que pueden ejercer los derechos previstos en la ley no. 675/1996. Las empresas editoriales indican también entre los datos de la placa del controlador para el que las personas interesadas pueden ponerse en contacto para ejercer los derechos previstos por la Ley nº. 675/1996.

“4. El reportero puede retener los datos recogidos durante el tiempo que sea necesario para la consecución de sus objetivos de su profesión.

“Art. 4. Rectificaciones

“1. El periodista debe corregir sin demora, los errores e imprecisiones, haciéndolo de conformidad también con la obligación de corregir en los casos y formas que establece la ley.”[39]

Por otra parte la “Guía para los medios de comunicación en el Reino Unido entre lo contemplado en la Sección “Requerimientos de solicitudes de Acceso”, del Capitulo 2° “Guía rápida”, en página 14, recomienda:

“Si se decide que no puede responder a una solicitud o sólo se puede cumplir en parte, registrar sus razones.

“Asegúrese de que existe un procedimiento de atención para las solicitudes de acceso en lugar de atenderlas usted mismo.

“Siempre considere si usted puede proporcionar la información (o parte de ella) sin poner en peligro sus actividades periodísticas.

“Si decide que no se puede responder a una solicitud o que sólo se puede complacer en parte, registre sus razones.

“Puede redactar información sobre terceros, incluyendo fuentes individuales, siempre y cuando sea razonable para hacerlo.

“Si alguien te presenta una solicitud por escrito para averiguar si posees información sobre ellos, qué información tiene, en que la tienes, lo que está haciendo con ella, o te pide ver copias, debe tener en cuenta si se puede cumplir con su petición.”[40]

Finalmente, esta Buena Práctica privilegia los Principios de Licitud, Calidad e Información que rigen la protección de datos personales, así como el Deber de Seguridad.

4. Corolario

La necesidad de una demarcación de los límites entre el derecho humano a la libertad de expresión y el derecho a determinar, quien, cuando y para qué se usan los datos personales del individuo, hace necesaria una ponderación de los preceptos previstos en nuestra Constitución, no obstante, queda pendiente una determinación respecto de quien debe velar por el “interés público”.

¿Le corresponde sólo a las instituciones del Estado o son los ciudadanos junto con estás quienes deben hacerlo? De ser válida la segunda acepción, tal como el máximo Tribunal del país se ha pronunciado (Amparo directo 3/2011. TA, 10ªepoca),[41] estas “Buenas Prácticas” pueden aplicarse a cualquiera que acceda a la red para tratar datos personales sin consentimiento del titular.

Más aún, cuando observamos la cada vez más apremiante necesidad de volver conscientes a nuestros conciudadanos del papel que todos jugamos como co-constructores del desarrollo de nuestra sociedad o como co-exterminadores de nuestra vida en sociedad.

[1] Véase http://www.diputados.gob.mx/LeyesBiblio/ref/cpeum.htm. Consultado el 30.03.2016.

[2] Véase http://www.diputados.gob.mx/LeyesBiblio/pdf/LGTAIP.pdf . Consultado el 30.03.2016.

[3] Caso Ivcher Bronstein v. Perú, párrafo 150. Disponible en http://www.corteidh.or.cr/docs/casos/articulos/Seriec_74_esp.pdf. Consultado el 12.03.2016.

[4] LIBERTAD DE EXPRESIÓN. INTERPRETACIÓN DE LA NEGLIGENCIA INEXCUSABLE DE LOS PERIODISTAS EN LA LEY DE RESPONSABILIDAD CIVIL PARA LA PROTECCIÓN DEL DERECHO A LA VIDA PRIVADA, EL HONOR Y LA PROPIA IMAGEN EN EL DISTRITO FEDERAL.

La exigencia del artículo 32 del ordenamiento en cuestión de demostrar la negligencia inexcusable del demandado debe entenderse dentro del contexto del concepto de “culpa”, al constituir una conducta derivada de la falta de cuidado para verificar si la información difundida infringía o no un derecho de la personalidad. En el caso de la prensa, el criterio subjetivo de imputación hace referencia a la diligencia exigible en el desempeño de la actividad periodística. Ahora bien, es importante destacar que el legislador tomó la decisión de imponer un estándar muy exigente para poder atribuir responsabilidad civil a un profesional del periodismo como una estrategia para evitar las restricciones indirectas a la libertad de expresión. Al requerir que se trate de una negligencia inexcusable del demandado, el legislador pretendió que no cualquier clase de negligencia en el ejercicio de la libertad de expresión pudiera servir para justificar una condena por daño moral. La falta de cuidado tiene que ser de tal magnitud que se considere inexcusable. En consecuencia, si un periodista que difunde información íntima de una persona que considera de interés público instrumentó diversas medidas de diligencia para evitar que esa información pudiera vincularse con la persona, es indudable que dicho periodista no incurrió en negligencia inexcusable en la difusión de esa información. Si bien es posible que esas medidas eventualmente no sean totalmente eficaces, entre otras razones porque el periodista no controla todos los factores que pueden llegar a conducir a la identificación de la persona a la que se refiere la información, no debe atribuirse responsabilidad al periodista porque el estándar exige que su negligencia sea de una magnitud muy considerable.

Amparo directo 3/2011. Lidia María Cacho Ribeiro y otro. 30 de enero de 2013. Cinco votos; José Ramón Cossío Díaz reservó su derecho para formular voto concurrente. Ponente: Arturo Zaldívar Lelo de Larrea. Secretario: Arturo Bárcena Zubieta.

[5] Véase en http://cdhdfbeta.cdhdf.org.mx/2016/02/cdhdf-documenta-tres-quejas-por-presunta-violacion-de-ddhh-con-utilizacion-de-periscope/. Consultado el 08.03.2016.

[6] Véase en http://104.239.237.37/articulo/metropoli/df/2016/03/7/listo-primer-borrador-para-regular-periscope. Consultado el 08.03.2016.

[7] Véase http://www.unotv.com/noticias/estados/distrito-federal/detalle/debate-sobre-el-uso-de-periscope-el-17-de-marzo-157283/ Consultado el 08.03.2016.

[8] Véase Constitución Política de los Estados Unidos Mexicanos en http://www.dof.gob.mx/constitucion/marzo_2014_constitucion.pdf;

Véase Ley Federal de Protección de Datos Personales en Posesión de los Particulares en http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf;

Véase Ley General de Transparencia y Acceso a la Información Pública en http://www.dof.gob.mx/nota_detalle.php?codigo=5391143&fecha=04/05/2015;

Véase Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados en http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf;

Véase Ley Federal de Derechos de Autor en http://www.diputados.gob.mx/LeyesBiblio/pdf/122_130116.pdf;

Véase Ley sobre delitos de imprenta en http://www.diputados.gob.mx/LeyesBiblio/pdf/40_041115.pdf;

Véase Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares en http://www.diputados.gob.mx/LeyesBiblio/regley/Reg_LFPDPPP.pdf;

Véase Pacto Internacional de Derechos Civiles y Políticos en http://www.ordenjuridico.gob.mx/TratInt/Derechos%20Humanos/D47.pdf;

Véase Convención Americana sobre Derechos Humanos “Pacto de San José de Costa Rica” en http://www.ordenjuridico.gob.mx/TratInt/Derechos%20Humanos/D1BIS.pdf;

Véase Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales en http://www.echr.coe.int/Documents/Convention_SPA.pdf;

Véase Guía para cumplir con los principios y deberes de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares en http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_julio2014.pdf;

Véase Data protection and journalism: a guide for the media. Oficina del Comisionado para la Información del Reino Unido en https://ico.org.uk/media/for-organisations/documents/1552/data-protection-and-journalism-media-guidance.pdf;

Véase Codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica (Código deontológico relativo al tratamiento de datos personales en el ejercicio de la actividad periodística). Garante para la protección de datos personales” de Italia, en http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1556386 ;

Véase Código Deontológico. Federación de Asociaciones de Periodistas de España en http://fape.es/home/codigo-deontologico/;

Véase Código de Ética. El Foro de Periodismo Argentino (FOPEA)  en http://www.fopea.org/etica-y-calidad/codigo-de-etica-de-fopea/;

Véase Código de Ética de la Sociedad de Periodistas Profesionales de los Estados Unidos de América en http://www.spj.org/ethicscodeSP.asp o en  https://translate.google.com.mx/translate?hl=es&sl=en&u=https://www.spj.org/ethicscode.asp&prev=search ;

Véase Código de Ética para los Medios Mexicanos en http://raultrejo.tripod.com/Mediosensayos/Codigoetica.htm

[9] Entendiéndose en el contexto de este estudio, por “Periodista”, tanto a los profesionales de la comunicación como a los periodistas o informadores aficionados, así como todo aquel particular que realice temporalmente cualquier tratamiento de datos personales con el fin de utilizarlos para la publicación ocasional de artículos, ensayos u otras manifestaciones del pensamiento, o simplemente, para hacerlos públicos.

[10] Véase el texto del párrafo citado en http://www.diputados.gob.mx/LeyesBiblio/ref/cpeum.htm. Consultado el 30.03.2016.

[11] LIBERTAD DE EXPRESIÓN. MARGEN DE APRECIACIÓN DE LOS PERIODISTAS EN LA DETERMINACIÓN DEL INTERÉS PÚBLICO DE LA INFORMACIÓN SOBRE LA VIDA PRIVADA DE LAS PERSONAS.

Los medios de comunicación deben poder decidir con criterios periodísticos la manera en la que presentan una información o cubren una noticia y contar con un margen de apreciación que les permita, entre otras cosas, evaluar si la divulgación de información sobre la vida privada de una persona está justificada al estar en conexión evidente con un tema de interés público. No corresponde a los jueces en general, ni a esta Suprema Corte en particular, llevar a cabo el escrutinio de la prensa al punto de establecer en casos concretos si una determinada pieza de información es conveniente, indispensable o necesaria para ciertos fines. Los tribunales no deben erigirse en editores y decidir sobre aspectos netamente periodísticos, como lo sería la cuestión de si ciertos detalles de una historia son necesarios o si la información pudo trasladarse a la opinión pública de una manera menos sensacionalista, en virtud de que permitir a los tribunales un escrutinio muy estricto o intenso de estas decisiones supondría la implementación de una restricción indirecta a la libertad de expresión. No obstante, tampoco puede aceptarse que los medios de comunicación se inmiscuyan indiscriminadamente en la vida privada de las personas so pretexto de realizar un trabajo periodístico. De acuerdo con lo anterior, la publicación de información verdadera sobre la vida privada de una persona sólo estará amparada por la libertad de información cuando el periodista, actuando dentro de ese margen de apreciación, establezca una conexión patente entre la información divulgada y un tema de interés público y exista proporcionalidad entre la invasión a la intimidad producida por la divulgación de la información y el interés público de dicha información. Dicha solución constituye una posición deferente con el trabajo de periodistas y editores que tiene como finalidad evitar una excesiva interferencia en el ejercicio de la libertad de expresión mientras se protege la vida privada de las personas de intromisiones innecesarias.

Amparo directo 3/2011. Lidia María Cacho Ribeiro y otro. 30 de enero de 2013. Cinco votos; José Ramón Cossío Díaz reservó su derecho para formular voto concurrente. Ponente: Arturo Zaldívar Lelo de Larrea. Secretario: Arturo Bárcena Zubieta. ([TA] 10a. Época; 1a. Sala; S.J.F. y su Gaceta; Libro XX, Mayo de 2013; Tomo 1; Pág. 559.)

[12] Entendiéndose por Seguridad Nacional y Seguridad Pública lo siguiente:

Seguridad Nacional: a.- La integridad, estabilidad y permanencia del Estado Mexicano (defensa del territorio y unidad de la federación); b.- La gobernabilidad democrática (voto y elecciones); y c.- La seguridad interior de la federación (combate delincuencia).

Seguridad pública: Las funciones a cargo de la Federación, la Ciudad de México, los Estados y los Municipios, tendientes a preservar y resguardar la vida, la salud, la integridad y el ejercicio de los derechos de las personas, y para el mantenimiento del orden público.

[13] En el mismo sentido se pronuncia la Agencia Catalana de Protección de Datos en la Recomendación 1/2008, sobre la difusión de la información que contenga datos de carácter personal a través de Internet: «¿Los datos son idóneos y estrictamente necesarios para alcanzar la finalidad [informativa]? Hay que evitar difundir datos que no resultan idóneos o necesarios»; donde es evidente que la divulgación va permitida ahí donde el periodista se atenga a los principios de proporcionalidad y pertinencia.

[14] Véase Nota al pie núm.5.

[15] Art.87 Ley Federal de Derechos de Autor:

“El retrato de una persona sólo puede ser usado o publicado, con su consentimiento expreso, o bien con el de sus representantes o los titulares de los derechos correspondientes. La autorización de usar o publicar el retrato podrá revocarse por quien la otorgó quién, en su caso, responderá por los daños y perjuicios que pudiera ocasionar dicha revocación.

“Cuando a cambio de una remuneración, una persona se dejare retratar, se presume que ha otorgado el consentimiento a que se refiere el párrafo anterior y no tendrá derecho a revocarlo, siempre que se utilice en los términos y para los fines pactados.”

[16] DERECHOS A LA PRIVACIDAD, A LA INTIMIDAD Y AL HONOR. SU PROTECCIÓN ES MENOS EXTENSA EN PERSONAS PÚBLICAS QUE TRATÁNDOSE DE PERSONAS PRIVADAS O PARTICULARES.

Las personas públicas o notoriamente conocidas son aquellas que, por circunstancias sociales, familiares, artísticas, deportivas, o bien, porque han difundido hechos y acontecimientos de su vida privada, o cualquier otra situación análoga, tienen proyección o notoriedad en una comunidad y, por ende, se someten voluntariamente al riesgo de que sus actividades o su vida privada sean objeto de mayor difusión, así como a la opinión y crítica de terceros, incluso aquella que pueda ser molesta, incómoda o hiriente. En estas condiciones, las personas públicas deben resistir mayor nivel de injerencia en su intimidad que las personas privadas o particulares, al existir un interés legítimo por parte de la sociedad de recibir y de los medios de comunicación de difundir información sobre ese personaje público, en aras del libre debate público. De ahí que la protección a la privacidad o intimidad, e incluso al honor o reputación, es menos extensa en personas públicas que tratándose de personas privadas o particulares, porque aquéllas han aceptado voluntariamente, por el hecho de situarse en la posición que ocupan, exponerse al escrutinio público y recibir, bajo estándares más estrictos, afectación a su reputación o intimidad.

Amparo directo 6/2009. 7 de octubre de 2009. Cinco votos. Ponente: Sergio A. Valls Hernández. Secretarios: Laura García Velasco y José Álvaro Vargas Ornelas. [TA]; 9a. Época; 1a. Sala; S.J.F. y su Gaceta; Tomo XXXI, Marzo de 2010; Pág. 923. 1a. XLI/2010.

[17] Autoridad administrativa instituida por la Ley sobre la Privacidad del 31 de diciembre de 1996, núm. 675, que introduce en el orden jurídico italiano la Directiva Comunitaria 95/46/CE y que actualmente está subordinada por el Código italiano en materia de Protección de Datos Personales (Decreto-Ley del 30 de junio de 2003. Núm.196)

[18] Cuyo texto original dice así “2. La sfera privata delle persone note o che esercitano funzioni pubbliche deve essere rispettata se le notizie o i dati non hanno alcun rilievo sul loro ruolo o sulla loro vita pubblica.”

[19] Véase el texto original: “Realize that private people have a greater right to control information about themselves than public figures and others who seek power, influence or attention. Weigh the consequences of publishing or broadcasting personal information” en https://translate.google.com.mx/translate?hl=es&sl=en&u=https://www.spj.org/ethicscode.asp&prev=search

[20] En lo sucesivo para la revisión del contenido de los Principios y Deberes de la Protección de Datos Personales en México, se recomienda la lectura de la “Guía para cumplir con los principios y deberes de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares”, consultable en http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_julio2014.pdf.

[21] [NdT].- Nota del Traductor.

[22] El texto original dice así: “Be open and honest wherever possible. People should know if you are collecting information about them where it is practicable to tell them. We accept that it will not generally be practicable for journalists to make contact with everyone they collect information about

[23] El texto original dice así “1. Il giornalista che raccoglie notizie per una delle operazioni di cui all’art. 1, comma 2, lettera b), della legge n. 675/1996 rende note la propria identità, la propria professione e le finalità della raccolta salvo che ciò comporti rischi per la sua incolumità o renda altrimenti impossibile l’esercizio della funzione informativa; evita artifici e pressioni indebite. Fatta palese tale attività, il giornalista non è tenuto a fornire gli altri elementi dell’informativa di cui all’art. 10, comma 1, della legge n. 675/1996.”

[24] Transcrito en la nota 23.

[25] El texto original dice así:

“You do not need to notify individuals if this would undermine the journalistic activity. …

“Only use covert methods if you are confident that this is justified in the public interest.

“(…)…where practical, telling the person you are collecting the information from, and the person the information is about (if different), who you are, and what you are doing with their information.

“(…) If you do need to use undercover or intrusive covert methods to get a story, such as surveillance, you may do so if you reasonably believe that these methods are necessary (in other words it is not reasonably possible to use a less intrusive way to obtain the information) and the story is in the public interest. To establish whether covert investigation is justified in the public interest, you must balance the detrimental effect that informing the data subject would have on the journalistic assignment against the detrimental effect employing covert methods would have on the privacy of any data subjects.”

[26] El texto original dice así:

“1. La divulgazione di notizie di rilevante interesse pubblico o sociale non contrasta con il rispetto della sfera privata quando l’informazione, anche dettagliata, sia indispensabile in ragione dell’originalità del fatto o della relativa descrizione dei modi particolari in cui è avvenuto, nonché della qualificazione dei protagonisti.”

[27] Es de hacer notar, primero, que la exención prevista en la sección 32 de la Ley de Protección de Datos (LPD) de 1998 del Reino Unido, sólo es una entre las quince secciones de la Parte IV referida a las Exenciones que dicha Ley, establece para la aplicación de sus propias disposiciones (Véase la página http://www.legislation.gov.uk/ukpga/1998/29/contents). Y en segundo lugar, que lo previsto en esta exención (así lo contempla esta misma guía en las páginas 27 y 28), se descompone en cuatro elementos, de los cuales los tres últimos, son los más importantes a la hora justificar porque no se cumplió con lo dispuesto por la LPD: 1) los datos se procesan sólo para el periodismo, el arte o la literatura, 2) con vistas a la publicación de algún material, 3) con una creencia razonable de que la publicación es de interés público, y 4) con una creencia razonable de que el cumplimiento es incompatible con el periodismo.

[28] El texto original que plantea estas recomendaciones, dice así:

Even where information has been fairly obtained and retained, you will need to consider separately what information it is fair to publish. This question means determining how much personal data it is necessary to publish to properly report the story, balanced against the level of intrusion into the life of the data subjects, and the potential harm this may cause.

For instance, if a story would be highly intrusive or harmful then it is less likely to be fair to publish personal data. This is also the case with stories with little obvious public interest, or where publication should have been delayed to verify facts.

The public interest in publication should be considered by someone at an appropriate level depending on the story. We recognise that senior editorial or expert input will usually not be needed for day-to-day stories.

Publication is likely either to be fair and to comply with the DPA or to fall within the journalism exemption if it can be shown that someone at an appropriate level considered whether the public interest in publication outweighed individual privacy in the circumstances of the case and can give good reasons for this view when challenged.

[29] Párrafo tercero del Art.87 Ley Federal de Derechos de Autor:

“No será necesario el consentimiento a que se refiere este artículo cuando se trate del retrato de una persona que forme parte menor de un conjunto o la fotografía sea tomada en un lugar público y con fines informativos o periodísticos.”

[30] Con fundamento tanto en lo previsto en las Buenas Prácticas establecidas en la “Guía para los medios de comunicación” elaborado por la Oficina del Comisionado para la Información del Reino Unido –como un “punto clave” para la “Obtención de información”–, así como, en lo señalado en el Artículo 2, párr. 1 del Código deontológico italiano.

[31] Del texto mencionado en Nota al pie 24: “If you do need to use undercover or intrusive covert methods to get a story, such as surveillance, you may do so if you reasonably believe that these methods are necessary (in other words it is not reasonably possible to use a less intrusive way to obtain the information) and the story is in the public interest”. Esto es, “Si es necesario utilizar métodos encubiertos o intrusivos para obtener una historia, tales como la vigilancia, usted puede hacerlo si cree razonablemente que estos métodos son necesarios (en otras palabras, si no es razonablemente posible obtenerla de una manera menos intrusiva para obtener la información) y la historia es en el interés público”

[32] Art. 7. Tutela del minore

  1. Al fine di tutelarne la personalità, il giornalista non pubblica i nomi dei minori coinvolti in fatti di cronaca, nè fornisce particolari in grado di condurre alla loro identificazione.
  2. La tutela della personalità del minore si estende, tenuto conto della qualità della notizia e delle sue componenti, ai fatti che non siano specificamente reati.
  3. Il diritto del minore alla riservatezza deve essere sempre considerato come primario rispetto al diritto di critica e di cronaca; qualora, tuttavia, per motivi di rilevante interesse pubblico e fermo restando i limiti di legge, il giornalista decida di diffondere notizie o immagini riguardanti minori, dovrà farsi carico della responsabilità di valutare se la pubblicazione sia davvero nell’interesse oggettivo del minore, secondo i principi e i limiti stabiliti dalla “Carta di Treviso”.

[33] El texto original dice así: “Only collect information about someone’s health, sex life or criminal behaviour if you are confident it is relevant and the public interest in doing so sufficiently justifies the intrusion into their privacy

[34] La versión en italiano dice así:

Art. 7. Tutela del minore

1. Al fine di tutelarne la personalità, il giornalista non pubblica i nomi dei minori coinvolti in fatti di cronaca, nè fornisce particolari in grado di condurre alla loro identificazione.

2. La tutela della personalità del minore si estende, tenuto conto della qualità della notizia e delle sue componenti, ai fatti che non siano specificamente reati. (…)

Art. 8. Tutela della dignità delle persone

1. Salva l’essenzialità dell’informazione, il giornalista non fornisce notizie o pubblica immagini o fotografie di soggetti coinvolti in fatti di cronaca lesive della dignità della persona, nè si sofferma su dettagli di violenza, a meno che ravvisi la rilevanza sociale della notizia o dell’immagine.

2. Salvo rilevanti motivi di interesse pubblico o comprovati fini di giustizia e di polizia, il giornalista non riprende nè produce immagini e foto di persone in stato di detenzione senza il consenso dell’interessato.

3. Le persone non possono essere presentate con ferri o manette ai polsi, salvo che ciò sia necessario per segnalare abusi.

Art. 10. Tutela della dignità delle persone malate

1. Il giornalista, nel far riferimento allo stato di salute di una determinata persona, identificata o identificabile, ne rispetta la dignità, il diritto alla riservatezza e al decoro personale, specie nei casi di malattie gravi o terminali, e si astiene dal pubblicare dati analitici di interesse strettamente clinico. (…)

Art. 11. Tutela della sfera sessuale della persona

1. Il giornalista si astiene dalla descrizione di abitudini sessuali riferite ad una determinata persona, identificata o identificabile.

2. La pubblicazione è ammessa nell’ambito del perseguimento dell’essenzialità dell’informazione e nel rispetto della dignità della persona se questa riveste una posizione di particolare rilevanza sociale o pubblica.

[35] El texto original es el siguiente:

Take reasonable steps to check your facts.

Distinguish clearly between fact, opinion and speculation.

Accuracy is, of course, at the very core of a professional journalist’s work, and features at the heart of industry codes of practice.

The DPA requires you to record details correctly and take reasonable steps to check your facts. You should also clearly distinguish between fact and opinion and if the individual disputes the facts you should say so.

Responsible journalists will always take care to ensure reports are accurate and not misleading, which means you should be able to comply in the vast majority of cases.

[36] There is no outright ban on using sensitive personal data, but there are more restrictions and it must be treated with extra care. As journalism often involves this type of information, this is an area where the media may need to invoke the section 32 exemption for journalism.

[37] La recomendación originalmente se plantea así:

“1. Nel raccogliere dati personali atti a rivelare origine razziale ed etnica, convinzioni religiose, filosofiche o di altro genere, opinioni politiche, adesioni a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché dati atti a rivelare le condizioni di salute e la sfera sessuale, il giornalista garantisce il diritto all’informazione su fatti di interesse pubblico, nel rispetto dell’essenzialità dell’informazione, evitando riferimenti a congiunti o ad altri soggetti non interessati ai fatti.”

[38] Originalmente: “Personal data must be accurate and, where necessary, up to date. In practice this means you must take reasonable steps to ensure your facts are correct and not misleading, and if the individual disputes any facts you should investigate and reflect their view. What steps are reasonable will depend on the circumstances, including the urgency of the particular story.

[39] El texto original dice así:

Art. 2. Banche dati di uso redazionale e tutela degli archivi personali dei giornalisti

  1. Se i dati personali sono raccolti presso banche dati di uso redazionale, le imprese editoriali sono tenute a rendere noti al pubblico, mediante annunci, almeno due volte l’anno, l’esistenza dell’archivio e il luogo dove è possibile esercitare i diritti previsti dalla legge n. 675/1996. Le imprese editoriali indicano altresì fra i dati della gerenza il responsabile del trattamento al quale le persone interessate possono rivolgersi per esercitare i diritti previsti dalla legge n. 675/1996.
  2. Il giornalista può conservare i dati raccolti per tutto il tempo necessario al perseguimento delle finalità proprie della sua professione.

Art. 4. Rettifica

“1. Il giornalista corregge senza ritardo errori e inesattezze, anche in conformità al dovere di rettifica nei casi e nei modi stabiliti dalla legge.”

[40] Originalmente:

“Ensure you have a process in place for handling subject access requests.

“Always consider whether you can provide the information (or some of it) without undermining your journalistic activities.

“If you decide you cannot comply with a request or you can only comply in part, record your reasons.

“You can redact information about third parties, including individual sources, as long as it is reasonable to do so.

[41] Véase la Nota al pie número 5.

En México, nueva Ley de Datos Personales y nuevos Sujetos Obligados

Por Héctor E. Guzmán Rodríguez

La publicación en México de la nueva “Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados” (LGPD), el pasado 26 de enero de 2017, nos invita no sólo a comentar sobre los aspectos relevantes de la misma, sino también a efectuar ciertas aclaraciones y notas previas, que consideramos necesarias para comprender el contexto en que esta última entra en vigor.

En primer lugar, aclaremos que esta nueva ley no sustituye a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD), publicada en 2010. Esta última mantiene su vigencia y alcance, en todos sus aspectos.

En segundo lugar, téngase en cuenta que antes de la entrada en vigor de la LGPD, los denominados “sujetos obligados” que ahora son regulados por este ordenamiento, carecían esencialmente de obligaciones legales relacionadas con el tratamiento de datos personales, similares a las que desde 2010 deben cumplir las personas físicas y jurídicas “de carácter privado”. En pocas palabras, existía un régimen asimétrico de obligaciones para uno y otro tipo de responsables, a pesar de que cualquiera de ellos estuviese tratando datos personales.

Finalmente, indiquemos de forma perfectamente clara que los regímenes sancionadores previstos en la LGPD y la LFPD difieren de manera significativa. Simple y sencillamente, existe un régimen sancionador más severo para “los particulares” que para “los sujetos obligados”.

Al respecto, podemos comprobar, con ambas leyes en la mano, que la multa máxima ordinaria prevista para un “sujeto obligado” que viole alguna disposición de la LGPD sería de $113,235.00 pesos (es decir, 1,500 veces el valor diario de la Unidad de Medida y Actualización [valor 2017]), mientras que la multa máxima ordinaria prevista para un “particular” que cometa una infracción muy grave prevista en la LFPD es de $24,156,800.00 pesos (es decir, 320,000 veces el valor diario de la Unidad de Medida y Actualización [valor 2017]).

Como corolario a esta diferencia específica entre multas máximas, cabe también indicar que a diferencia de lo dispuesto por la LFPD, en la LGPD no se prevé que en tratándose de infracciones cometidas que conlleven el tratamiento de datos sensibles, las sanciones puedan incrementarse hasta por dos veces, conforme a los montos establecidos.

Los sujetos obligados

Dicho lo cual, veamos quiénes son los “sujetos obligados” que dan su nombre a este nuevo ordenamiento:

Artículo 1. […]

Son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.

Los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal serán responsables de los datos personales, de conformidad con la normatividad aplicable para la protección de datos personales en posesión de los particulares.

En todos los demás supuestos diferentes a los mencionados en el párrafo anterior, las personas físicas y morales se sujetarán a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Más allá de resultar claro que la LGPD es aplicable a cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial del ámbito federal, con la entrada en vigor de esta ley se despejan incógnitas generadas cuando entró en vigor de la LFPD, ya que durante mucho tiempo se puso en duda que esta última resultase aplicable a los partidos políticos o a los sindicatos (por citar un par de ejemplos).

Ahora, bastará atender a los supuestos expresamente indicados y, en el último de los casos, realizar un ejercicio de eliminación para definir cuál es la normativa aplicable a cualquier tipo de persona o entidad que por razón de sus funciones o actividades lleve a cabo el tratamiento de datos personales.

Con lo anterior, México deberá alcanzar el nivel de cobertura global en cuanto a los sujetos (obligados o regulados) que deben respetar principios y cumplir con obligaciones dirigidos a la protección de los datos personales de los titulares (las personas físicas a quienes corresponden los datos personales).

Principios y deberes

Sin ir más lejos (y como creemos no podía ser de otra forma), los sujetos obligados deberán cumplir con los mismos principios que cumplen los “particulares”, relativos al tratamiento de datos personales (art. 16):

  • Licitud,
  • Finalidad,
  • Lealtad,
  • Consentimiento,
  • Calidad,
  • Proporcionalidad,
  • Información, y
  • Responsabilidad

En consonancia con su hermana privada, la LGPD no establece obligación alguna para que las bases de datos de las que son responsables los sujetos obligados deban inscribirse en ningún tipo de registro; en su lugar los sujetos obligados también deberán contar con “un” aviso de privacidad, a través del cual deberán informar sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas a respecto (art. 26).

De manera un tanto diferenciada a lo que ocurre para los “particulares”, la LGPD prevé expresamente que el responsable deberá implementar mecanismos para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en esta normativa, y rendir cuentas sobre el tratamiento de datos personales en su posesión tanto al titular de los datos como al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) (art. 29).

En el artículo 30 de la LGPD, podemos encontrar algunos mecanismos que el responsable de los datos deberá adoptar para cumplir con el principio de responsabilidad (accountability), de los que resaltamos los siguientes:

  • Destinar de recursos autorizados para la elaboración e instrumentación de programas y políticas de protección de datos personales, obligatorios y exigibles al interior de la organización del responsable;
  • Poner en práctica de programas de capacitación y actualización del personal en la materia;
  • Revisare periódicamente las políticas y programas de seguridad de datos personales;
  • Establecer un sistema de supervisión y vigilancia interna y/o externa, que incluya auditorías;
  • Establecer procedimientos para recibir y responder dudas y quejas de los titulares
  • Diseñar, desarrollar e implementar sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, de conformidad con las disposiciones previstas en la LGPD.

Asimismo, y de igual forma a lo que ocurre en el ámbito privado, podemos apreciar que la LGPD prevé que para el cumplimiento de sus principios, deberes y obligaciones, los responsables podrán valerse de estándares o mejores prácticas nacionales o internacionales.

En la nueva LGPD se prevé el deber de los sujetos obligados para establecer y mantener medidas de seguridad para la protección de los datos personales (art 31), y se especifica y define que estas medidas deberán ser de carácter administrativo, físico y técnico, orientadas a protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamientos no autorizados, así como a garantizar su confidencialidad, integridad y disponibilidad.

De manera particular, se indica que las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión (art. 34); y se ordena que los responsables deberán elaborar un documento de seguridad (art. 35), que contenga al menos:

  • El inventario de datos personales y de los sistemas de tratamiento;
  • Las funciones y obligaciones de las personas que traten datos personales;
  • El análisis de riesgos;
  • El análisis de brecha;
  • El plan de trabajo;
  • Los mecanismos de monitoreo y revisión de las medidas de seguridad, y
  • El programa general de capacitación.

Derechos ARCO

Tal y como ya ocurriera con la LFPD, la nueva LGPD importa de Europa el concepto de los derechos ARCO, para establecer que cualquier titular, en todo momento, podrá solicitar al responsable el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales que le conciernen (art. 43).

En la LGPD, el equivalente al Departamento de Datos Personales (art. 30 LFPD) lo constituye la Unidad de Transparencia de cada responsable, en la que deberá darse trámite a las solicitudes para el ejercicio de los derechos ARCO.

Evaluaciones de Impacto en la Protección de Datos Personales

Las evaluaciones de impacto previstas en el artículo 74 de la LGPD constituyen una diferencia específica entre el régimen “publico” y el “privado” relativo a la protección de datos personales. En el primero, serán por regla general obligatorias, mientras que en el segundo son completamente voluntarias y optativas (aún).

La LGPD establece (art. 3, fracción XVI) que una Evaluación de Impacto en la Protección de Datos Personales es el “documento mediante el cual los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales, valoran los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios, deberes y derechos de los titulares, así como los deberes de los responsables y encargados, previstos en la normativa aplicable”.

Y conforme a su artículo 74, se prevé que cada evaluación de impacto deberá presentarse ante el INAI, para que este emita recomendaciones no vinculantes especializadas en la materia de protección de datos personales.

Como es previsible al respecto, el artículo 75 de la LGPD aclara qué debe considerarse como “tratamiento intensivo o relevante de datos personales”, indicando que existe tal cuando:

  • Existan riesgos inherentes a los datos personales a tratar;
  • Se traten datos personales sensibles, y
  • Se efectúen o pretendan efectuar transferencias de datos personales.

Como muchos de ustedes podrán advertir, será una prueba de fuego para todos los sujetos obligados en México, cumplir con esta disposición; o quizá no, puesto que toda esperanza puesta en la futura realización de numerosas evaluaciones de impacto, podría verse disminuida ante lo dispuesto por el artículo 79 de la LGPD (una verdadera bala en el pie, desde nuestro particular punto de vista):

Artículo 79. Cuando a juicio del sujeto obligado se puedan comprometer los efectos que se pretenden lograr con la posible puesta en operación o modificación de políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales o se trate de situaciones de emergencia o urgencia, no será necesario realizar la Evaluación de impacto en la protección de datos personales.

Veremos si en el futuro inmediato los sujetos obligados gastan más tiempo en justificar que no es necesario realizar una evaluación de impacto en protección de datos personales, que en realizarla para cumplir de manera efectiva con el objeto y espíritu de la LGPD.

Otras consideraciones

El espacio (y la paciencia del lector) recomiendan detener nuestra presentación de la LGPD en este momento, para desarrollar otros aspectos de la misma en futuras oportunidades.

Sin embargo, y como cierre a estas líneas, dejemos dicho que la LGPD entró en vigor al día siguiente de su publicación en el Diario Oficial de la Federación de México; asimismo, que se ha dado al Congreso mexicano y a las legislaturas de cada una de las entidades federativas del país, un plazo de seis meses para que todas ellas realicen las adecuaciones necesarias para ajustar las leyes federales y locales a las disposiciones previstas en la LGPD (el art. 2, II de la LGPD establece que serán objetivos de ésta, entre otros, establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición).

Finalmente, decir que será el tiempo el que nos dirá la efectividad y el grado de cumplimiento de esta nueva LGPD, y que somos optimistas al respecto, dado que la experiencia acumulada en cuanto al cumplimiento de la LFPD, nos permite prever que los sujetos obligados dirigirán su atención y recursos hacia el cumplimiento.

Los datos personales de las personas menores de edad en Costa Rica

Por Mauricio París

Ha trascendido en algunos medios de prensa una sanción de 900 euros impuesta por la Agencia de Protección de Datos española a un colegio privado en Sevilla por la utilización de fotografías de tres de sus alumnas (hermanas entre sí) en su sitio web, folletos, carteles y videos promocionales de dicho colegio sin contar con el consentimiento de sus padres. Este caso se presta para analizar el tema del tratamiento de los datos personales de las personas menores de edad en Costa Rica, de cara a las disposiciones de la Ley de Protección de Datos Personales (LPDP) y el Código Civil.

Conviene iniciar recordando que un dato personal es cualquier dato que identifica o hace identificable a una persona. Así, no sólo el nombre y el número de identificación son datos personales, sino también la fotografía, las huellas dactilares, el número de teléfono o el correo electrónico son considerados datos personales.

Establece el Art. 5 de la LPDP que la recolección y tratamiento de datos personales deberá contar con el consentimiento informado del titular de los datos, y en caso de recolección o tratamiento de datos sin dicho consentimiento, la Agencia de Protección de Datos podrá iniciar un procedimiento administrativo que podría desembocar en una multa. Precisamente, el principal reto en el caso de los menores de edad consiste en determinar quién o quiénes deben conferir dicho consentimiento al titular de la base de datos.

Ni la LPDP ni su Reglamento establecen un régimen jurídico especial para el consentimiento informado de los datos personales de las personas menores de edad, como sí establece, por ejemplo, la legislación española, que autoriza el tratamiento de datos personales de mayores de catorce años con su consentimiento, sin necesidad de contar con el de sus padres o tutores (Art. 13.1 del Reglamento a la Ley Orgánica de Protección de Datos española).

En Costa Rica, el Código Civil regula lo concerniente a la capacidad de las personas, y diferencia entre tres edades diferentes: a) Menor de 15 años, en donde se es absolutamente incapaz para obligarse por actos o contratos que se realicen personalmente; b) Mayor de 15 pero menor de 18 años, en donde los actos que se realicen son relativamente nulos y anulables a solicitud de sus representantes (padres o tutores), c) Mayor de 18 años, momento en que se adquiere la mayoría de edad, y en consecuencia capacidad jurídica plena, salvo casos en donde la persona sea declarada incapaz.

En consecuencia, al no existir un régimen jurídico especial para el consentimiento de los menores de edad en la recolección y tratamiento de los datos personales, sería de aplicación el régimen general establecido en el Código Civil en cuanto a la capacidad de las personas, con la complejidad adicional de que la patria potestad de un menor de edad la ejercen ambos padres (salvo que se ordene lo contrario o alguno de ellos haya fallecido), por lo que el consentimiento del menor debe ser otorgado por ambos progenitores o un tutor legalmente nombrado.

De hecho, en otras latitudes se han discutido casos en donde ambos padres discrepan sobre el uso de la imagen de sus hijos menores de edad. El uso de la imagen del menor por parte de uno de los padres sin el consentimiento del otro implicaría el uso de un dato personal sin consentimiento de su titular y, en consecuencia, sería objeto de tutela por parte de la Agencia de Protección de Datos. Si los padres ejercen la autoridad parental de forma conjunta, si divergen sobre el uso de la imagen del menor, tendrán que solicitar al juez de familia resolver el diferendo tomando en cuenta el interés del menor (Art. 151 Código de Familia). Estos supuestos pueden presentarse en hechos tan cotidianos como publicar una foto de los hijos en redes sociales.

¿Es necesario que se establezca un régimen especial en Costa Rica? Considero que sí, al menos para los mayores de quince años, pero menores de dieciocho, ya que, en realidad, la personalidad digital hoy día comienza a formarse mucho antes de adquirir la mayoría de edad. Por ejemplo, el mínimo de edad para abrir una cuenta en Facebook es de 14 años, y es muy común que los adolescentes cuenten con teléfonos inteligentes desde los cuales incluso realizan transacciones económicas, como la compra de aplicaciones o la suscripción a servicios digitales como Netflix, Spotify, etc. En todos estos casos, las plataformas digitales realizan tratamiento de datos personales, y requieren que el suscriptor otorgue su consentimiento, mismo que de acuerdo a nuestra legislación sería relativamente nulo entre los quince y los dieciocho años.

En el caso específico del uso de la imagen, debe recordarse que, además del régimen general de protección de datos, los artículos 47 y 48 del Código Civil contienen regulaciones sobre la materia, que en términos generales garantizan el derecho de la persona a que su imagen no sea publicada, reproducida o vendida sin su consentimiento (o el de sus padres o tutores en caso de menores), salvo casos de notoriedad, función pública o necesidades justicia o policía o sean captadas en lugares públicos, excepciones de muy limitada aplicación en caso de menores de edad.

En una sociedad en donde desde temprana edad niños y adolescentes están en contacto directo con la tecnología, es fundamental que tanto ellos como sus padres reciban formación sobre la importancia del correcto uso de sus datos personales, y también que exista un marco jurídico que regule adecuadamente la recolección y tratamiento de sus datos personales en las más tempranas etapas de la formación de la identidad digital en el mundo virtual.

Costa Rica introduce reformas a su Reglamento de Protección de Datos Personales

Por Mauricio París

El pasado 6 de diciembre de 2016 se publicó en el diario oficial La Gaceta (Alcance No. 287), la tan esperada reforma al Reglamento a la Ley de Protección de la Persona frente al tratamiento de sus Datos Personales. Decimos que es una esperada reforma no sólo por el tiempo trascurrido desde que se anunció que el Reglamento sería reformado, sino también por la importancia que dicho instrumento tiene al reglamentar una Ley que arroja más dudas que respuestas.

Las reformas introducidas son puntuales y atinadas; enfocadas en los elementos que esencialmente debían ser modificados. Alguien comentaba que esperaba más, y en mi criterio, no se puede esperar mucho más de un Reglamento que parte de una Ley deficiente que no puede contradecir ni extralimitar.

Las principales modificaciones introducidas, por su orden de importancia, son las siguientes:

  1. Delimitación a su ámbito de aplicación. Sin duda el Art. 2 de la Ley es un quebradero de cabeza en cuanto a su ámbito de aplicación, al excluirse las bases de datos de personas físicas o jurídicas “con fines exclusivamente internos, personales o domésticos”, conceptos estos jurídicamente indeterminados. El Reglamento original no aclaraba estos conceptos, error que se ha querido corregir con la reforma en comentario. Se han separado los conceptos: por un lado, las bases de datos personales o domésticas son aquella propiedad de personas físicas, y las de uso interno, son aquellas de personas jurídicas públicas o privadas, siempre y cuando su contenido no sea comercializado, distribuido o difundido. Se mantiene la definición de comercialización contenida en el Art. 2 inciso e) del Reglamento, y se reforma la de distribución y difusión contenida en el inciso j) de dicho artículo, limitándolo al fin de lucro. Esta es una definición mucho más robusta que la anterior, pese a las deficiencias del Art. 2 de la Ley.
  2. Los bancos y entidades financieras no se escapan a la Protección de Datos. Hemos sido críticos a la exclusión que las entidades bancarias procuraron hacer con la disposición del Art. 9 inciso 4 de la Ley, pero también hemos enfatizado que dicha exclusión no es total, y esta reforma va en ese sentido. Se establece que las bases de datos reguladas por la SUGEF no requieren inscripción ante la PRODHAB, pero que dicho órgano sí tiene plena competencia para regular y fiscalizar la protección de los derechos y garantías cubiertos bajo la Ley. Una reforma valiente y muy positiva para los titulares de datos personales frente a un sector que típicamente realiza tratamiento de datos personales de naturaleza sensible y que por ende debe encontrarse sometido a rigurosos controles en la materia.
  3. Consentimiento inequívoco. Si bien el Art. 5.2 de la Ley establece que el consentimiento informado puede constar en un documento físico o electrónico (lo cual en todo caso ya aplicaría en virtud del Principio de Equivalencia Funcional contenido en la Ley de Certificados y Firmas Digitales), el Reglamento en su Art. 4 d) establecía únicamente que debía ser escrito. La reforma no sólo regula la posibilidad de que sea electrónico, sino que incorpora más bien el criterio de que el mismo debe ser inequívoco, pudiendo otorgarse por cualquier medio, o mediante conductas inequívocas del titular, de forma que pueda demostrarse de manera indubitable su otorgamiento mediante una consulta posterior. Este es una reforma muy adecuada en el tanto incorpora la posibilidad de que el consentimiento se pueda otorgar, por ejemplo, mediante llamadas telefónicas, lo cual es muy frecuente en centros de servicio al cliente. Al final de cuentas, independientemente del medio que lo contenga, lo importante es que el consentimiento sea inequívoco y demostrable, y en ese sentido, la reforma es atinada al enfocarse en el fondo y no en la forma.
  4. Requisitos del consentimiento informado. Una reforma sencilla, pero de gran impacto es la del Art. 5, en el tanto exigía que el consentimiento informado fuera otorgado en un documento independiente de cualquier otro. Este requisito representaba un problema operativo para muchas empresas que manejaban un gran volumen de documentación y que debían emitir un documento adicional para el consentimiento informado. Con esta reforma, el consentimiento podrá incluirse dentro de otro documento, típicamente un contrato marco, con el requisito expreso de que, si así fuera, se regule como una cláusula específica e independiente (Art. 2 f) del Reglamento).
  5. La transferencia de datos no implica comercialización. Otra reforma significativa es la del Art. 40 del Reglamento al haber eliminado la presunción de que toda transferencia implicaba comercialización, lo que en la práctica obligaba que, para poder realizar cualquier transferencia de datos, dicha base debiera estar inscrita en PRODHAB.
  6. Muerte al Superusuario. Se derogó la figura del superusuario y todas las referencias a éste en el Reglamento. Esta figura era un requisito para la inscripción de bases de datos ante PRODHAB, en donde el responsable de la base de datos debía crearle un usuario y contraseña a PRODHAB para que pudiera ingresar a la base de datos. Pese a que el Reglamento hablaba de “Superusuario” (es decir un usuario con todos los permisos para consultar, modificar o suprimir datos), lo cierto del caso es que de la lectura del Art. 45 del Reglamento (hoy derogado) se colegía que en realidad era un usuario de consulta.
  7. El intermediario o proveedor de servicios. Este es uno de los temas en donde la reforma pudo ser mejor. Creemos que existe un error conceptual en diferenciar entre el intermediario o proveedor de servicios y el encargado, ya que en nuestro criterio juegan el mismo rol. El encargado no es la persona o el departamento que a lo interno de la empresa se encarga de los datos personales, como de la reforma del Art. 44 inciso c) parece colegirse. El encargado es un tercero a quien se le encarga el tratamiento de datos en nombre del responsable de la base de datos, sin que pueda modificar el destino de dicha base ni extralimitar su encargo (así se extrae de la definición contenida en el Art. 2 inciso k) del Reglamento y se desarrolla en los artículos 30 y 31). Lo positivo de la reforma en este punto es que se consagra expresamente en el nuevo Art. 40 que en el tanto lo que exista sea un encargo de datos, aun cuando exista tratamiento de datos, no existe transferencia.
  8. Grupos de interés económico. En la reforma del Art. 2 inciso c) se establece una norma muy práctica para las empresas multinacionales al garantizar condición de base de datos internas aquellas que sean “compartidas” entre empresas de un mismo grupo de interés económico, “ya sea local o con presencia internacional” siempre que no medie difusión o distribución a terceros, venta o comercialización de cualquier naturaleza. No obstante, preocupa que en el Art. 40 se indique pura y simplemente que no se considerará transferencia el traslado de datos personales entre empresas del mismo grupo de interés económico, sin limitarlo en los términos del Art. 2 a los casos en que no medie difusión o distribución a terceros, venta o comercialización. Se abre aquí un peligroso portillo.

La reforma al Reglamento de Protección de Datos sin duda es un paso en un camino adecuado, y afianza el buen trabajo desempeñado por la PRODHAB en los últimos tiempos. Debe reconocerse el esfuerzo de su Director, Mauricio Garro Guillén, y del equipo humano que lo acompaña. Esperamos que el siguiente paso sea una propuesta de reforma a la Ley de Protección de Datos Personales para corregir sus deficiencias.

Seguridad y derechos civiles, un antagonismo entre la paz y el terrorismo

Por Romina Florencia Cabrera

El ser humanos, desde su creación, es testigo y protagonista de luchas para conseguir y conservar el poder, ya sea territorio, recursos, posición social u otro tipo de connotaciones. Es víctima y victimario de acciones violentas que vulneran sus derechos y menoscaban su condición humana.

Los derechos civiles, conquistas sociales a lo largo de la historia, se ven amenazados en este nuevo siglo por guerras sin declaración ni armisticio de paz…el terrorismo, y sobre todo, el terrorismo en el entorno digital.

La ética y los valores son dejados de lado, para pasar a un estado de anomia y de descontrol social ante semejantes problemas globales. Cuando se busca, en pos de la seguridad (cuya mejor herramienta es la prevención), resolver estos conflictos, se recurren a leyes y programas gubernamentales que vulneran garantías constitucionales y Derechos Humanos consagrados en los Tratados Internacionales.

En el entorno digital, la información se transmite de manera más rápida, y se multiplica de una manera tan amplia, que se pierde el control de la misma, y si no se protegen los derechos civiles, la población ve limitada y menoscabada su participación en la web.

Conseguiremos esa utopía del bien común, ese mundo en el que todos podamos vivir en paz, respetando los derechos del otro, para nosotros y las futuras generaciones?

Deberes humanos

Sin embargo, o quizá por eso, urge recordar que hay también deberes humanos.

Al principio eran los deberes

Ulpiano, un gran jurista nacido en Tiro (hoy Líbano), buscó en la Roma imperial puntos de partida que fueran universales para cualquier ordenamiento jurídico. Y llegó a formular tres principios: “honeste vivere” (vivir honestamente), “alterum non laedere” (no dañar a los demás) y “suum quique tribuere” (dar a cada uno lo suyo).

Aquí mismo, hace pocos días un Académico se refirió a ellos. Sólo los recuerdo para mostrar que esos tres principios que estarían en la base del Derecho, no son sino deberes.

Los derechos no pueden existir sin deberes: hay derechos y pretensiones exigibles, precisamente porque existen deberes. En general, hay un gran silencio sobre los deberes humanos.

Ese silencio merecería un profundo análisis, en el que no se excluya el desarrollo, al mismo tiempo que los derechos humanos, de una idea de la autonomía personal que en su paroxismo intenta identificar cualquier pretensión subjetiva con un derecho. Respetando esa autonomía que es signo de la época, la Bioética Jurídica[1] trata hoy de discernir cómo se preservan valores en las fronteras de la vida.

Lamentablemente, el discurso de los derechos humanos (esa “utopía realista”, a la que alude Habermas), ha llegado a omitir los deberes hacia uno mismo, hacia los demás, hacia la sociedad en su conjunto, el ambiente y las futuras generaciones.

La sombra de ese eclipse se proyecta incluso sobre la escuela. Los deberes escolares eran una primera ejercitación de ciudadanía. Hasta hace pocos años los padres condicionaban exigencias de los hijos a que realizaran sus deberes. Parece gracioso, pero hoy los niños ni oyen esa palabra. La escuela la erradicó: harían “la tarea”.

Más llama la atención ese silencio, si recordamos que la misma Declaración Universal que el 10 de diciembre de 1948 proclamó solemnemente en París los Derechos Humanos, expresa en su artículo 29º que “toda persona tiene deberes respecto a la comunidad, puesto que sólo en ella puede desarrollar libre y plenamente su personalidad”.[2]

Los derechos no pueden existir sin deberes. Hay derechos y pretensiones exigibles, precisamente porque existen deberes.

Ese mismo año, la declaración que en Bogotá fundaba el Sistema Interamericano de Derechos Humanos, fue titulada “De Derechos y Deberes del Hombre”, puntualizando en su preámbulo que “el cumplimiento del deber de cada uno es exigencia del derecho de todos. Derechos y deberes se integran correlativamente en toda actividad social y política del hombre. Si los derechos exaltan la libertad individual, los deberes expresan la dignidad de esa libertad…”

Proclama allí que “los deberes de orden jurídico presuponen otros, de orden moral, que los apoyan conceptualmente y los fundamentan” y culmina con otra frase casi olvidada: “puesto que la moral y buenas maneras constituyen la floración más noble de la cultura, es deber de todo hombre acatarlas siempre…”

Un prestigioso Instituto Internacional propicia actualmente sancionar en cada país un Código de Derechos Humanos como parte de su derecho interno (tal como existe uno Civil y Comercial, o Penal). Bienvenida la propuesta. Gran tarea será conjugar en ese Código deberes humanos como los detallados en la Declaración Americana.[3]

Derechos en el ámbito digital.

Estuve leyendo hace pocos días, un informe impecable de la ONG ADC[4], sobre la libertad de expresión en el ámbito digital, un derecho humano fundamental, y elaboré las siguientes conclusiones:” realmente  el informe refleja el espíritu de lograr una internet, abierta, segura, libre  y estable para todos, como lo establece Icann[5]. Refleja la situación de la libertad de expresión on line en América Latina, cotejando datos y conceptos legales en la región, pero con una inquietud común: el respeto a los DDHH y la promoción de los mismos. Entiendo que las garantías a los derechos civiles no cuentan con la misma protección en todos los países, pero se deben promocionar las medidas para lograr un respeto hacia los mismos, y sobre todo la libertad de expresión, de recibir y enviar información en linea, de expresarse, de comunicar ideas, sentimientos , conocimiento, acciones solidarias. Internet es el invento más maravilloso del hombre, pero si se utiliza con respeto a los demás y con fines positivos. Muchos gobiernos dictatoriales, que no creen en la democracia y el dialogo, han querido bloquear páginas y redes sociales, con el propósito de callar voces…eso es lo peor que puede suceder……cuando se menoscaba la libertad..se apaga la luz de la humanidad.

Me encanto como vuestro trabajo trata especialmente el tema del anonimato en la web…. con el auge del terrorismo y el ciberterrorismo surge la paradoja: seguridad vs derechos civiles. Es toda una problemática… las acciones que llevan a prevenir catástrofes, pueden menoscabar la privacidad, intimidad, y la protección de datos personales (derecho autónomo e independiente por la Agencia Española de Protección de Datos). El anonimato en la web ha sido utilizado por periodistas, activistas perseguidos, personas públicas para expresar sus ideas sin censura previa, etc. Facebook solicita ahora que sus usuarios utilicen nombres verdaderos para atacar la pedofilia y otros delitos informáticos como el cibera coso…pero esas medidas no afectarán la privacidad y la garantía de libertad de expresión de esas personas?…..Obviamente siempre se deben tomar las medidas para proteger a los ciudadanos del crimen…si hay pruebas suficientes de debe actuar, o en medida preventiva, pero siempre teniendo en cuenta los derechos de la ciudadanía, como en los casos de videovigilancia de los Estados…no se puede vulnerar la intimidad de las personas a favor de la seguridad nacional, como en el caso de Suecia que implanta chips a sus ciudadanos para control interno… Los derechos humanos deben ser defendidos y promovidos en todo tiempo y lugar…como el caso de las personas con otra elección sexual, o la participación de las mujeres en la política, empresa o espacios públicos….y más en la WEB, realmente se debe lograr la igualdad estructural, real, para el bien común de la comunidad global y de las futuras generaciones, y como dicen los versos de  la novena sinfonía de Ludwig Van Beethoven, en un mundo donde los hombres volverán a ser hermanos.

[1] Tau, José María. “El ecilpse de los deberes humanos”. Diario “El Día”, Argentina. Edición impresa 21/4/2016, o en sitio web  http://www.eldia.com/opinion/el-eclipse-de-los-deberes-humanos-130573. Fecha de consulta del sitio web: 23/4/2016. Al situar la dignidad humana (dignidad proviene del vocablo latino “dignitas”, que traduciría la palabra griega “axioma”: lo que no necesita demostración) como centro y finalidad de todo el Derecho, la Bioética Jurídica se nutre de la filosofía de los derechos humanos.

Estos derechos constituyen una de las máximas conquistas del humanismo, en tanto no dependen del lugar de nacimiento, posición social, color de piel o religión, sino tan sólo de… ser humano. Mucho padeció la humanidad como para que alguien intente menoscabar su valor.

[2] Tau, José María. Op cit.

[3] Tau, José María .Op cit.

[4]  “Libertad de expresión en el ámbito digital, el estado de situación en América Latina”. Sitio web: https://adcdigital.org.ar/2016/04/05/libertad-expresion-ambito-digital/. Fecha de consulta del sitio: 23/4/2016.

[5] Sitio web: https://www.icann.org/es. Fecha de consulta del sitio web: 23/4/2016.

Código de Policía ¿Atenta contra la Intimidad y el Habeas Data?

Por 

El artículo 237 del  nuevo Código de Policía, establece:

Integración de sistemas de vigilancia. La información, imágenes, y datos de cualquier índole captados y/o almacenados por los sistemas de video o los medios tecnológicos que estén ubicados en el espacio público, o en lugares abiertos al público, serán considerados como públicos y de libre acceso, salvo que se trate de información amparada por reserva legal. Los sistemas de video y medios tecnológicos, o los que hagan sus veces, de propiedad privada o pública, a excepción de los destinados para la Defensa y Seguridad Nacional, que se encuentren instalados en espacio público, áreas comunes, lugares abiertos al público o que siendo privados trasciendan a lo público, se enlazará de manera permanente o temporal a la red que para tal efecto disponga la Policía Nacional, de acuerdo con la reglamentación que para tal efecto expida el Gobierno Nacional.

Parágrafo. En tratándose de sistemas instalados en áreas comunes, lugares abiertos al público o que siendo privados trasciendan a lo público, se requerirá para el enlace a que hace referencia el presente artículo, la autorización previa por parte de quien tenga la legitimidad para otorgarla.

Sin duda este artículo genera diferentes tipos de interrogantes y retos para el Derecho a la Intimidad y el Habeas Data en nuestro país. Por lo pronto, tenemos lo siguiente:

1.Este articulo habla de la información, imágenes, y datos de cualquier índole captados y  almacenados en los sistemas de video o los medios tecnológicos.

Recordemos que por Ley 1581 de 2012, los datos biométricos, son considerados sensibles,  y al tener tal característica, se prohíbe su tratamiento, salvo las excepciones consagradas en el artículo  6 de la Ley en mención entre ellas, cuando

(.. a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización; (…)

Por regla general, las  autorizaciones para el tratamiento de datos personales que realice una organización, requiere que la persona autorice dicho tratamiento, con este artículo, además de lo anterior, la autorización, deberá contener que se podrá  enlazar  con la Red de la Policía, precisamente, el  parágrafo  del artículo 237 establece que cuando se trate de sistemas instalados en áreas comunes, lugares abiertos al público o que siendo privados trasciendan a lo público, requerirá la autorización previa por parte de quien tenga la legitimidad para otorgarla, es decir, que es el titular del dato quien debe dar la autorización para que la información se  transmita a través del enlace de manera permanente o temporal a la red que disponga la Policía Nacional

La verdad, no lo veo tan sencillo, pues la ley de protección de datos establece que, la autorización para el tratamiento de datos sensibles debe ser de carácter facultativo, es decir, no hay obligatoriedad por parte del titular en autorizar el tratamiento.

Sin embargo, el artículo establece que el Gobierno Nacional expedirá la reglamentación al respecto. Los aspectos en mi sentir más preocupantes son:

  • El artículo no es claro,  al expresar “datos de cualquier índole”,  ¿Que se puede entender datos de cualquier índole?, ¿cuál es el alcance de dicha expresión? los sistemas de videovigilancia no solo capturan imagen, en muchas ocasiones voz, es decir, ¿si tengo una conversación con un amigo?, además de estar en los servidores de la Organización X, tambien pasarán por la red de la policía? Si bien, muchas organizaciones por temas de capacidad de almacenamiento dejan este tipo de información por días almacenada y graban sobre la misma, en este caso, la policía almacenará dicha información? o ¿simplemente será una transmisión en tiempo real?
  • ¿Cuando se entiende que un sistema de video y medios tecnológicos  que siendo privados trascienden a lo público, se va a requerir que se enlacen a la red de la policía nacional? Este último punto me parece supremamente grave, ¿cuál es el alcance y los límites? ¿cual es el criterio para determinar cuando un video privado debe trascender a lo público? ¿cuánto tiempo permanecerá almacenada la información? ¿quienes accederán a la misma? ¿cual es el propósito de la norma? ¿cuál es la finalidad de la recolección de esos datos? esto último es, porque la ley de protección de datos prohíbe que se capturen datos personales sin informar la finalidad

Uno de los logros del Derecho a la Intimidad, es precisamente ese, contener al Estado de invadir la vida privada de las personas, debido a que siempre esta interesado en conocer y conocer más, porque partir de un principio de mala fé,  esto me parece un Sistema Orweliano, donde cualquier excusa pueda considerarse  algo privado como público. ¿Quien determinó los criterios de que una información privada pasaba a ser pública?  Si es esto, que en mi sentir, es lo que va a reglamentar el Gobierno Nacional, lo más probable es que sea inconstitucional, pues claramente no es la vía reglamentaria la adecuada para ponerle límites a este derecho, sino vía legislativa, de hecho el artículo referenciado ya de por sí me parece inconstitucional.

Por lo pronto, la Ley 1801 de 2016, esta recien sancionada, esperemos haber que pasará en los próximos meses.

Privacidad, drones y el Internet de las cosas

Por Laura Vivet Tañà

Este año tuve la oportunidad de realizar una presentación sobre Privacidad, Drones y el Internet de las cosas en el Banco Mundial en Washington DC, durante una de sus “Brown Bag sessions”.

El Banco Mundial es una organización que trabaja en una amplia gama de proyectos en todo el mundo, incluyendo iniciativas relacionadas con las nuevas tecnologías, y en cada proyecto deben evaluar los diferentes riesgos relacionados, incluyendo los riesgos de privacidad.

La finalidad de la presentación fue ayudar a entender el concepto de “privacidad y sus diferentes significados en todo el mundo, como definir el marco de privacidad y evaluar los riesgos que pueden surgir del uso de las nuevas tecnologías, como los drones o el Internet de las cosas, e introducir la Evaluación de Impacto en la Privacidad, como una herramienta efectiva que se puede utilizar en cualquier jurisdicción.

Voy a compartir algunas ideas sobre estos amplios y complejos capítulos que tuve que resumir en una hora!

Entender el concepto de Privacidad

El origen de la privacidad se sitúa siglos atrás, pero el concepto actual de privacidad ha evolucionado de forma desigual a través de los diferentes países de acuerdo con su cultura e historia.

Ciertamente, los países han adoptado un enfoque diferente respecto la privacidad, protegiendo diferentes tipos de información. Este es un factor importante a considerar, en el momento de evaluar los riesgos de privacidad que pueden surgir de las nuevas tecnologías.

Estados Unidos utiliza un sistema sectorial, desarrollando leyes de privacidad según sea necesario. Formalmente no hay una definición específica de “dato personal”, pero en cambio podemos encontrar múltiples definiciones en la jurisprudencia del common law, en las diferentes leyes estatales y federales y a través de los acuerdos transaccionales aprobados por la Federal Trade Commission sobre practicas abusivas o desleales.

En contraste, Europa dispone de un sistema comprensivo que reconoce el derecho a la protección de datos personales como un derecho fundamental, establecido en el art. 8 de la Carta de derechos fundamentales de la Unión Europea.

En Europa existe una regulación general de la protección de datos, incluyendo una amplia definición de ‘dato personal’. Esta normativa incluso puede tener alcance extraterritorial.

Después de examinar ambos sistemas de regulación de la privacidad, podemos concluir que, mientras en Estados Unidos todo está permitido excepto que esté prohibido, en Europa todo está prohibido excepto que esté permitido.

Finalmente, en Canadá hay un sistema co-regulatorio y se encuentra en algún lugar entre Estados Unidos y Europa. Es uno de los países más cercano a Europa en términos de ley general de protección de datos.

Privacidad y drones

Teniendo en cuenta las numerosas normativas de privacidad que existen a nivel internacional, cuando se trata de analizar las regulaciones de privacidad que afectan a los drones, por supuesto no resulta menos complicado.
En Estados Unidos, la normativa que existe actualmente aprobada por la Federal Aviation Administration está básicamente centrada en temas de seguridad, requerimientos de registro, programas de formación y certificados de navegabilidad.

No obstante, los conceptos de “expectativa razonable de privacidad” y los límites de la “propiedad privada” son factores clave para analizar el impacto sobre la privacidad de las operaciones de aviones no tripulados.

Así que, ¿cómo podemos definir dichos conceptos clave y entender los límites y riesgos de privacidad derivados de las operaciones con drones?

Ahora mismo, disponemos de varias herramientas que podemos utilizar, como el common law, leyes estatales y federales y los protocolos voluntarios de buenas prácticas para el empleo de drones. Después de examinar diferentes casos del common law referidos al concepto de expectativa de privacidad y sobre los límites de la propiedad privada, revisamos algunos ejemplos de regulaciones estatales específicamente dirigidas a las operaciones con drones, las cuales trataban de proteger diferentes interpretaciones de lo que consideraban “expectativa razonable de privacidad”.

La misma tecnología que hace a los drones tan únicos debe desarrollarse considerando los retos de privacidad desde el diseño.

También revisamos los protocolos de mejores prácticas para proteger la privacidad, los derechos y libertades civiles en programas con aviones no tripulados aprobados por el Department of Homeland Security de Estados Unidos, así como lasmejores prácticas aprobadas el 18 Mayo 2016 por parte de diferentes agrupaciones de privacidad y miembros de la industria que participaron en el proceso de múltiples partes interesadas en relación con la privacidad, la transparencia, la rendición de cuentas y cuestiones relacionadas con la utilización comercial y privada de los drones, que se organizó por parte de la Nacional Telecommunications and Information Administration (NTIA).

Todos dichos recursos pueden ayudar a esbozar los citados conceptos clave, con la finalidad de evaluar el impacto de privacidad derivado de las operaciones con aviones no tripulados.

También mencioné que he estado trabajando con el Principio de Privacidad desde el Diseño, como una herramienta complementaria que puede ayudar a minimizar el impacto sobre la privacidad de forma efectiva. La misma tecnología que hace a los drones tan únicos debe desarrollarse considerando los retos de privacidad desde el diseño.

Finalmente, en Europa hay diferentes normativas estatales que regulan las actividades de video vigilancia o que derivan de la Directiva 95/46/EC y que resultan de aplicación a las operaciones con drones. En un par de años, la mayoría de estas normativas serán sustituidas por el Reglamento General de Protección de Datos.

No obstante, algunos tratamientos de datos personales derivados del empleo de drones podrían quedar fuera del ámbito de aplicación de estas leyes en virtud de las exenciones o derogaciones de que pueden valerse los diferentes estados miembros, por ejemplo, en relación con temas de seguridad pública, defensa, libertad de expresión e información o respecto a los aficionados. Esto significa que en determinadas situaciones, tendremos que seguir analizando las regulaciones locales.

Privacidad y el Internet de las cosas

El Internet de las cosas (IoT) se basa de conectar dispositivos a través de Internet, dejando que hablen con nosotros y entre sí. Los objetos físicos cotidianos estarán conectados a través de Internet y serán capaces de identificarse a sí mismos y a otros dispositivos. Por supuesto, los vehículos conectados (automóviles y aviones no tripulados) también serán parte del IoT.
Esta sección analiza los riesgos que pueden surgir del uso del IoT y las métricas que deberían considerarse para su evaluación.

El punto de partida que debe adoptarse, es asumir que el IoT no va a ser más seguro que cualquier otra tecnología de internet – y en algunos casos, incluso menos segura. Por esta razón, es importante tener en cuenta las diferentes medidas que pueden ayudar a minimizar los riesgos.

El riesgo es dinámico, así que será más importante en la primera generación de dispositivos del IoT. En la medida en que ganemos experiencia en el IoT, el riesgo disminuirá.

La solución: Evaluación de Impacto en materia de Privacidad (EPI)

EPI es una herramienta eficaz que podemos usar en cualquier jurisdicción a fin de identificar y minimizar los riesgos de privacidad de los diferentes proyectos que incluyan IoT, aviones no tripulados u otras tecnologías emergentes.

La envergadura de la EPI depende en gran medida de la cantidad y tipo de información utilizada en el proyecto, el objetivo que se percibe, el alcance y los interesados implicados.

La EPI normalmente incluye los siguientes pasos: describir el proyecto y el ciclo de vida de la información, identificar los riesgos de privacidad y afines – incluyendo la verificación de su cumplimiento con los estándares legales, regulatorios y de la industria -, identificar y evaluar las soluciones de privacidad y, por último, integrar dichas soluciones en el proyecto.

La privacidad es un concepto complejo, especialmente en relación con los proyectos internacionales y relacionados con las nuevas tecnologías, donde los riesgos son aún hipotéticos y la normativa es inexistente o se encuentra en el proceso de cambio. Por esta razón, la EPI es una excelente herramienta para evaluar los riesgos de privacidad de las tecnologías más nuevas, con la ventaja de que se puede utilizar en diferentes países.