Plenario V - Protección de Datos Personales en América Latina. Ampliando horizontes

Transcripción

1 Plenario V - Protección de Datos Personales en América Latina. Ampliando horizontes María José Viega, Uruguay. América Latina ha tenido un enorme desarrollo en los últimos años. La normativa que existe en los diferentes países, tanto a nivel constitucional como legal, así lo demuestra. Existen en algunos países autoridades de control y otros están adecuados con la Unión Europea. Este desarrollo comienza en 1980 a la salida de las dictaduras militares. El primer país en incorporar disposiciones específicas fue Guatemala en 1985, seguida por Nicaragua en 1987 y es simbólica la inclusión en la Constitución Brasileña 1988 ya que consagra el Habeas Data. El Habeas Data se vislumbró como una alternativa para que las personas pudieran acceder a la información que se poseía sobre ellas en las bases de datos existentes, motivo por el cual la doctrina se pregunta si el Habeas Data es una tercera vía o una alternativa al modelo europeo. De esta manera se indicó que, si bien los países de América Latina han mirado hacia el modelo europeo, también han mantenido particularidades y motivaciones diferentes a la hora de aprobar su normativa de protección de datos. Así, bajo esta perspectiva, es que en este plenario se pretendió abordar las correspondientes respuestas a las siguientes preguntas: 1. Cuál es la motivación de los países latinoamericanos para regular la protección de datos personales en forma expresa y autónoma? 2. En qué aspectos se ha innovado? 3. Cuáles son las dificultades prácticas que se visiualizan en la aplicación de la normativa?

2 4. Cuáles son los desafíos de cada país y de América Latina como continente? Pablo Segura, Argentina. En Argentina, según se señalara, se inicia el camino de la protección de datos a partir de la reforma constitucional de 1994 en la que se incorpora el Habeas Data. En el año 2000 se sanciona la Ley N , reglamentada por el Decreto N del año La Ley es de carácter general, incluye todos los tratamientos y todo tipo de datos. Es, en definitiva, una verdadera regulación de la información personal contenida en bases de datos, alcanzando incluso a los datos de las personas jurídicas. El Órgano de Control es la Dirección Nacional de Protección de Datos Personales (DNPDP), con facultades sancionatorias y normativa e independencia funcional. Básicamente tiene tres áreas de trabajo: Jurídica (denuncias y consultas), de Registro (inscripción y entrega de sello calidad) y de Inspecciones. En cuanto al futuro, se presentó un programa que apunta a trabajar con los niños y adolescentes en la web, cuyo nombre es "Con vos en la Web". También está dirigido a padres y docentes y apunta a concientizar sobre el cuidado de los datos personales y el uso responsable de las TIC. Danilo Doneda, Brasil. Brasil tiene una situación bastante anacrónica, según se explicara. Introdujo en la Constitución de 1988 la Acción de Habeas en tanto idea muy ligada con la libertad informática pero con una formulación en tanto acción judicial, como un amparo cuya pretensión fue posibilitar a las personas que tuvieron problemas con el régimen militar, el acceso a sus datos o a los datos de sus familiares, no tratándose propiamente de una herramienta para la protección de datos.

3 Entonces, si bien el Habeas Data ha sido una muy importante herramienta en medio del proceso de redemocratización, no se desarrolló como una herramienta de protección de datos en sentido estricto por lo que es posible afirmar que el Habeas Data de Brasil siempre ha sido y continúa siendo muy diferente del que se verifica en el resto de los países. Se afirmó que no se considera que exista un modelo latinoamericano de protección de datos porque el Habeas Data no es propiamente un modelo sino una herramienta que se utiliza en diversos países. Hay una tendencia más o menos transversal en América Latina, en la cual Brasil se enmarca y si bien para éste el Habeas Data no ha sido una herramienta específica de protección de datos su existencia ha sido, en los hechos, una barrera para que el legislador aprobara otras leyes que afectaran la privacidad de las personas. En definitiva, la protección constitucional de la privacidad y la intimidad así como también los derechos del consumidor, siempre tuvieron una fuerte presencia en la jurisprudencia brasilera. Asimismo, se planteó que la cuestión más urgente en los últimos 10 o 15 años en Brasil, ha estado relacionada con los informes crediticios o económicos. De esta forma, en el año 2011 se aprobó una ley específica sobre este tema y en la misma se ubican los principales principios y caracteres de la protección de datos; sin embargo no debe obviarse que se trata de una ley sectorial. Por otra parte, se informó que en este momento se está trabajando en la redacción de un anteproyecto de ley que va a ser presentado ante el Gobierno Federal muy probablemente el próximo año. En él se integrarán los principios clásicos de la protección de datos, más la solución a la problemática que se presenta en el país, así como las tendencias más visibles en el panorama extranjero. Uno de los desafíos más sensibles es unificar en la citada norma todos estos elementos, considerando las particularidades de Brasil, donde en los últimos 10 años se ha producido la incorporación de 40 millones de personas al

4 mercado formal de consumidores. No es dable olvidar que se trata de un país que crece a diario y los datos personales de esos consumidores son cada vez más interesantes, debido a lo cual tanto el sector privado como el público han comprendido que hay millones de personas cuyos datos personales deben ser protegidos y además es imprescindible no sólo proteger sino también educar. En la medida que después de tantos años de manejar bases de datos sin ningún tipo de regla o limitación basada en los principios de la protección de datos personales, se trata pues, de un desafío de importantes proporciones. José Alejandro Bermúdez, Colombia. En primer término se anunció que desde el 17 de octubre de 2012, Colombia cuenta con una Ley de Protección de Datos de carácter general, la Ley N 1581/2012. Fue aprobada por el Congreso en el año 2010 y luego revisada por la Corte Suprema Colombiana que emitió una sentencia que se publicó el 25 de julio de Se ha producido una interesante evolución que se inicia con la incorporación del derecho de Habeas Data en la Constitución colombiana de Desde ese momento hasta el año 2012 hay un abundante desarrollo jurisprudencial de tutela. En 2008 se legisla sobre Habeas Data financiero y crediticio y en 2009 se consagran tipos penales de protección de datos. El sistema legal colombiano contempla entonces: acciones de tutela, acciones administrativas, un régimen general y un régimen sectorial de protección, la Autoridad Nacional de Protección de Datos que es la Superintendencia de Industria y Comercio donde se creó una delegatura de protección de datos que tiene los cometidos propios de su naturaleza. Se informó que se reciben un promedio de 180 quejas mensuales y se les da trámite a un 40 % de las mismas. Se están emitiendo aproximadamente un promedio de 20 sanciones por mes.

5 Los retos identificados refieren a: los mecanismos de priorización para ser más selectivos e investigar aquellas áreas que sean de mayor interés (Sistema integral de supervisión inteligente), relativo a las Normas corporativas vinculantes y buenas prácticas que es necesario reglamentar en conjunto con el Ministerio de Comercio y la implementación del Registro Nacional de Bases de Datos. Arlene González, Costa Rica. En Costa Rica el derecho evolucionó partiendo desde normas individuales dictadas en forma aislada hasta la interpretación jurisprudencial, mediante lo cual se fue reconociendo el derecho a la autodeterminación informativa y el mecanismo de Protección del Habeas Data, regulándose éste, enfocado desde una perspectiva de garantía individual. Esta larga evolución se desarrolló avanzando desde la Constitución Nacional (arts.24, 27 y 30), la Convención Americana de Derechos Humanos (arts. 11 y 13), el Código de la Niñez y la Adolescencia, el Código Penal, el Código Notarial, y algunas leyes especiales y sus reglamentos donde ésta se encuentra contemplada. En la década de los 90 se dictan las primeras resoluciones de la Sala Constitucional de la Corte Suprema de Justicia, tendientes a la protección de la intimidad de las personas en temas muy puntuales. La Ley de Protección de Datos se publicó en el Diario Oficial La Gaceta N 170, de 5 de setiembre de 2011 y entró en vigencia en marzo de La Agencia de Protección de Datos de Costa Rica comenzó a funcionar en la misma fecha, como un órgano adscripto y descentralizado del Ministerio de Justicia y Paz siendo sus principales atribuciones: llevar un registro de bases de datos, aplicar sanciones, divulgar el derecho e inspeccionar y sancionar a los infractores. La Ley tiene como objeto de acuerdo con lo preceptuado por el artículo 1º, garantizar a cualquier persona el respeto de sus derechos, concretamente el derecho a la autodeterminación informativa en relación con su vida o

6 actividad privada y demás derechos a la personalidad, así como la defensa de su libertad e igualdad con respeto al tratamiento automatizado o manual de los datos correspondientes a su persona o sus bienes. El plazo de adecuación es de un año desde la creación de la Agencia. Finalmente se identificaron como principales retos: dar a conocer el derecho a la protección de datos, su relevancia y sus mecanismos de defensa; crear una cultura de conciencia entre los administradores de bases de datos y los titulares de los datos; generar alianzas estratégicas con el sector público y privado y materializar una protección efectiva de modo que la misma no sea meramente formal. Ángel Trinidad Zaldívar, México. En México el tema de la protección de datos personales ingresó en el año 2002 a través de la Ley de Transparencia y Acceso a la Información Pública; en 2007 se efectivizó una reforma constitucional y por último se verificó la aprobación de la Ley de Protección de Datos Personales en el año En la Ley de Transparencia había 7 artículos que hablaban de la protección de datos y sólo se reconocía el derecho de acceso y rectificación de los datos personales. En este sentido se afirmó que la primera aproximación que tuvo México a este derecho, fue referido a la limitación que constituyen los datos personales, al acceso a la información pública, más que como un derecho autónomo o un derecho en sí mismo. En definitiva, éstos eran utilizados para cerrar la puerta al acceso a la información pública citándose como ejemplo la discusión en torno a los salarios de los servidores públicos. En 2007, con la reforma constitucional se establecieron los derechos ARCO, por lo tanto con esta reforma el derecho a la protección de datos comenzó a ser un derecho autónomo. Se determinó que el proceso ha sido complicado; hubo oposición de

7 varios sectores, pero especialmente del sector privado que no quería que se aprobara una ley federal en este ámbito, pues entendían que provocaría la pérdida de miles de empleos. Se indicó que existen dos regulaciones: una referida al sector público y otra referida al sector privado. En esta última se incluyen todos los derechos y se coloca a la persona como el centro del sistema. Hay además un reconocimiento especial para los datos sensibles. La autoridad garante para este derecho es el IFAI, incluyéndose asimismo un capítulo donde se regulan una serie de delitos que tienen que ver con el tratamiento de datos personales. Se trata de un modelo moderno y garantista. Ahora bien, en el sector público aún se cuenta con los mismos elementos jurídicos que contempla la Ley Federal de Transparencia. En relación con las competencias del IFAI para con los datos personales en poder de los particulares, se determinó que éste tiene poderes de información (brindar apoyo técnico a los responsables), de prevención, de regulación (interpretar la Ley, establecer guías y políticas en el tema), de investigación y de resolución (atender denuncias, verificar la protección de derechos ARCO). En cuanto a los retos, se estableció que uno de los más importantes se relaciona con el aspecto cultural. En México se desenvolvió una encuesta cuyo resultado aparece como dramático en la medida que a casi el 70 % de los entrevistados, no le incomoda o le incomoda poco que se divulguen los datos relativos a sus enfermedades, a los medicamentos que toma, a sus creencias religiosas, a su origen racial o étnico. Como reflexión final se estableció que en México y en general en América Latina, hace falta una nueva cultura y más educación; en este sentido no sólo es suficiente la aprobación de un marco normativo específico, se considera necesario incidir en el marco regulario de la educación de cada país, e incluir este derecho en la currícula, en los planes y programas de estudio. José Quiroga León, Perú.

8 El punto de partida de la protección de datos en Perú se ubica en la Constitución Política, cuyo artículo 2º establece que el derecho de toda persona, a que los servicios informáticos computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal o familiar. Esto significa que la primera línea rectora refiere a que los datos no sean utilizados en forma perjudicial. Se informó que se ha previsto la existencia de leyes para todos los temas: Ley de Transparencia, Ley que regula el Spam, Ley de Habeas Data y Ley de Protección de Datos Personales (Ley N de 2011); sin embargo, no todas verifican efectividad. La Ley de Protección de Datos establece que éstos sólo se pueden tratar con el consentimiento de su titular. Solamente la Ley puede autorizar el tratamiento sin este consentimiento, el que además tiene que ser libre, expreso, informado y previo. Los datos sensibles son los datos biométricos que por sí mismos pueden identificar al titular, datos referidos al origen racial o étnico, los ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales, afiliación sindical, información relacionada con la salud o con la vida sexual de las personas. Al principio la autoridad de protección de datos se ubicó en la Dirección Nacional de Justicia, que depende del Ministerio de Justicia. Actualmente en el Ministerio de Justicia y Derechos Humanos, se ha creado un despacho viceministerial de Derechos Humanos y Acceso a la Justicia, donde se ha incluido a esta autoridad, creando una verdadera Dirección Nacional de Protección de Datos. Dentro de la misma se ubica la Dirección de Registro, Dirección de Supervisión y Control y la Dirección de Sanciones. Las atribuciones de la Dirección refieren a la administración del registro, el asesoramiento a los ciudadanos, la emisión de opiniones técnicas, la tutela de los derechos de los ciudadanos, la supervisión de la aplicación de la Ley y la

9 representación del país en las instancias internacionales. Se resaltó como muy importante que el Reglamento de la Ley de Protección de Datos, a la fecha ha tenido tres ruedas de participación ciudadana donde se han recibido aportes de todos los interesados. Primero se discutió en el ámbito de una Comisión Multisectorial, luego se publicó en el Portal del Ministerio de Justicia y Derechos Humanos. La segunda versión se publicó en el Diario Oficial en el año 2012, habiéndose otorgado un plazo de 15 días para formular los aportes correspondientes. En su versión final el documento será enviado a la Presidencia del Consejo de Ministros. Los retos, según se indicara, se vinculan con la difusión del derecho por medio de la organización de diferentes eventos y conferencias, lograr la adecuación normativa y las firmas de Convenios de Cooperación. En este sentido, se informó que en el mes de enero de 2012 se firmó uno con la Agencia Española de Cooperación Internacional para el Desarrollo, mediante el cual se transfiere de forma gratuita la tecnología que permite a la autoridad la evaluación y autoevaluación de los bancos de datos en base a los estándares que la Ley exige. Se presentaron asimismo, algunos ejemplos que demuestran cómo se está avanzando en Perú en materia de protección de datos personales. Felipe Rotondo, Uruguay. Uruguay avanza en materia de protección de datos. La Ley es de agosto de 2008 y fue aprobada por la unanimidad de los integrantes del Parlamento Nacional, sin oposición ciudadana de índole alguna, y sigue básicamente los lineamientos de la Unión Europea y del Convenio N 108. En abril de 2009 se integró el Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales (URCDP) del cual el Dr. Rotondo es integrante. Se remarcó que se trata de un órgano desconcentrado privativamente y que funciona en el ámbito de la Presidencia de la República, concretamente en

10 la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y el Conocimiento (AGESIC) poseyendo las competencias propias que el jerarca no le puede quitar ni abocar, entre ellas las de regulación, registro, autorización de transferencias internacionales, control y la potestad sancionatoria. Por otra parte, los miembros no pueden ni deben aceptar órdenes de ningún tipo, ni instrucciones de carácter técnico. A su vez, en julio de 2012 se ha recibido la adecuación de la Unión Europea y el trámite de adhesión al Convenio N 108 prácticamente está listo, no habiéndose finalizado por razones meramente formales. Se encuentra en el Parlamento Nacional el proyecto de ley que es necesario para terminar el proceso según lo establecido en la Constitución de la República. Se indicó que la motivación que Uruguay ha tenido a efectos de regular en este tema refiere a: reconocer el derecho como inherente a la personalidad humana (art. 72 de la Constitución) y brindarle medios específicos de garantía; afrontar los desafíos que presenta la implementación del gobierno electrónico, o para ser más específico, la gobernanza electrónica. Por otra parte, en lo que hace relación con el plano del relacionamiento internacional, se destacaron los siguientes aspectos: la adecuación con la Unión Europea (La Decisión de Ejecución de la Comisión es del 21 de julio de 2012) y la adhesión al Convenio N 108. Por otra parte, se señaló particularmente que las especificidades de la Ley N son: la extensión a las personas jurídicas en cuanto corresponda; la expresa consagración del derecho de inclusión, además de los derechos ARCO; las características del consentimiento, que debe ser escrito en caso de datos sensibles y el silencio se debe considerar como negativo, o sea si pasados 10 días si no se expresa se considera que no lo otorga; el Habeas Data judicial, que es una acción específica y sumaria. Finalmente se efectuaron referencias a lo que se entiende son los desafíos actuales de la URCDP, a saber: contribuir a generar conciencia del derecho y sus garantías. Se consideró que se entiende que el uruguayo tiene

11 bastante conciencia respecto a la protección de sus datos personales sin perjuicio que de todas maneras la Unidad seguirá trabajando en este sentido. En segundo lugar, incidir en la aplicación equilibrada en relación con otros derechos y determinados intereses públicos. En tercer lugar, concretar un mayor control con el adecuado apoyo técnico y por último, lograr un mayor nivel de cooperación con las demás autoridades, en especial en América Latina, el que se verá facilitado con la aprobación de nuevas leyes.