La protección de datos personales en la Unión Europea

Transcripción

1 La protección de datos personales en la Unión Europea Por Mariano Pablo Limongi Fuente: it-cenit.org.ar SUMARIO: Introducción - El carácter de internacionalidad del comercio electrónico - La formación de bloques internacionales - Los casos de Alemania, Suecia, Reino Unido - Conclusiones Introducción En octubre de 1995 el Parlamento Europeo adoptó los lineamientos generales que, desde entonces, ha regido la protección de los ciudadanos frente al procesamiento de datos personales, así como la circulación de esos datos. Desde nuestra óptica, este campo de análisis presenta dos costados bien definidos: i) por un lado, la protección que, consideramos, constituye un derecho inalienable del ciudadano en tanto ciudadano dada la circunstancia que se trata de datos personales y, (ii) por otro lado, el hecho que la circulación (con mayor o menor grado de libertad) de esos datos constituye una parte importante del "motor" del comercio (el cual toma cada vez mayor inclinación hacia el ECDI (electronic commercial data interchange) y el reparto de servicios de administración pública. Ahora bien, existe un problema importante si tomamos al ECDI desde una vista H, esto es, alejándonos de los panoramas propuestos por las legislaciones nacionales, como de hecho nos vemos forzados por dos elementos, a saber: (i) el carácter de internacionalidad del comercio electrónico y (ii) la formación de bloques supranacionales, como es el caso del sujeto de nuestro análisis. Rápidamente ofreceremos un panorama acerca de ambos. El Carácter Esencial de Internacionalidad La realidad actual de la red es, desde el punto de vista estrictamente jurídico, la de una entidad autoregulada. Los parámetros de convivencia y métodos de comportamiento son Información facilitada por HELGUERO ASOCIADOS 1

2 sugeridos, adoptados y consolidados de la misma manera que la costumbre, en tanto fuente de derecho, permite percibir determinados hechos o actos como obligatorios. La diferencia que apreciamos en la identificación preliminar de ambos conceptos es que la "conciencia de obligatoriedad" del segundo, posee, respecto del primero (que en este caso se ofrece como una dinámica entre costumbre y desuetudo), una conciencia más íntima que social respecto de que el ejercicio de determinada acción corresponde a una necesidad jurídica determinada (opinio juris sive necessitatis) y no se trata de un acto repetido o impulsado por cualquier otra motivación. El resultado práctico de este fenómeno es su contrapartida, cual es la indubitable noción, en presencia del quebrantamiento de una de esas "reglas" de procedimiento por parte de quien lo comete, la clara conciencia de su intencionalidad. La evidente inexistencia de sanción objetiva respecto a tales quebrantamientos se ve suplantada por la sanción social del resto de los integrantes de la comunidad (principalmente bajo las formas de indiferencia o silencio) respecto del "infractor", pero nada obsta a pensar que esta estructura (estructura punitiva) será objeto de gran desarrollo durante los próximos años, dentro del marco de nuestro análisis observamos el notorio desarrollo de las legislaciones Sueca, Británica y Alemana, del mismo modo que destacamos, dentro del Mercosur, el desarrollo de la Brasileña, lo cual permite pensar que el eventual desarrollo señalado es, cuando menos, probable. Si bien el fenómeno aparece como inaudito, hemos encontrado razones que nos permiten sospechar un paralelismo con tópicos de discusión de derecho internacional, ofreciendo como tímido ejemplo la extensión de la jurisdicción a los mares y las corrientes de pensamiento y posturas que generara. La realidad actual de la red, tal vez más cercana a la doctrina de Huig Cornet van Groot (reemplazando la voluntad estatal por la individual, en razón de alinear nuestro pensamiento), se presenta como un panorama de libertad, aunque el creciente poder susceptible de ser manipulado que comienza a concentrar, despertará el florecimiento de doctrinas restrictivas las cuales, esta vez y como destacable diferencia de las doctrinas de Bynkershoek, intentarán concentrar poder actual. De un modo o de otro, parece imaginable que se establecerá un interregno por parte de las diferentes jurisdicciones durante el cual diferentes Estados aplicarán diferentes sistemas, los cuales deberán convivir en mayor o menor medida pacíficamente hasta que una posición de doctrina jurídica irrefutable (o una reformulación tecnológica) temporariamente los reúna. Formación de Bloques Supranacionales No menos importante resulta el tema de derechos aplicables y jurisdicciones (problema particularmente ínsito en el intercambio electrónico) cuando este tema, potenciado por la tendencia política de integración, pone en duda la figura del controlante de esos datos personales, dejando al ciudadano en duda no ya respecto de la oportunidad del control respecto de sus datos personales sino también respecto de la entidad y legitimidad de la persona que realiza tal control. A este respecto, y a partir del año 1995, el Parlamento Europeo había comprometido a sus estados miembros a ajustar sus legislaciones nacionales a las directivas aprobadas en un plazo de tres años. Si bien los analistas políticos a la época consideraron que, debido al brillante entusiasmo que la adopción del Parlamento unificado había provocado en los miembros, poco habría que esperar para que se produjera tal adecuación de los sistemas Información facilitada por HELGUERO ASOCIADOS 2

3 legales de los miembros, Austria, Francia, Alemania, Irlanda Luxemburgo y Portugal poco han hecho para implementar tal adecuación, mientras que Dinamarca, Finlandia, Italia, Holanda, España, Suecia y el Reino Unido han ofrecido interesantes ideas a través de debates y reformulación. Planteo y Definiciones Más allá de las discusiones ónticas acerca de la clasificación de datos (las cuales, en mayor o menor medida aceptan la definición que recoge el Artículo 2º de la Convención del Consejo de Europa de Estrasburgo de 1981), en razón de una distinción objetiva y, tomando la clasificación resultante como base para su legislación, nos interesa señalar un aspecto diferente. Las más de las veces, los criterios ofrecidos hasta el momento carecen de significación ofrecidos como coto al acceso gubernamental dado que, al mismo tiempo, pudiéndose de hecho establecerse "niveles" de la profundidad de la necesidad respecto del mismo tipo de datos. Por ejemplo, en la industria de la salud y la prestación de tales servicios por parte del Estado, consideramos que, respecto del primero, existe el derecho de tutelar la protección de la confidencialidad respecto de datos médicos para evitar eventuales discriminaciones cuando, por otro lado, también es necesario proteger el acceso justificado a los datos de salud del individuo, útiles en casos de emergencia. Sin dudas, todos estos datos se encontrarán dentro de la misma categoría, no pudiéndose (al menos no con pretensiones de éxito y prolijidad jurídica -por no decir dikelógica-) diseñar una casuística cerrada respecto de las oportunidades dentro de las cuales tal acceso será o no lícito. Desde el punto de vista social, las últimas encuestas realizadas (1997) dentro de la Unión Europea han arrojado como resultado que 3/4 de los ciudadanos consultados en 5 países han expresado su preocupación respecto de la confidencialidad de sus datos, mientras que un tercio de ellos manifestó el haber experimentado personalmente un "abuso" respecto de sus datos personales. Vale reseñar que este clima había alcanzado su pico más alto algunos años antes, en 1995, cuando el Sunday Times del Reino Unido decidió demostrar el carácter de facto irrestricto respecto de los datos personales, ingresando a bancos de datos financieros, crediticios, de mercadeo e incluso de salud, logrando acceso a centenares de archivos, entre ellos el del Dr. Sandy Macara, Presidente de la Asociación Médica Británica. Aceptamos que todo este proceso, que se desarrolló en menos de tres horas, podrá sostenerse que tal vez sólo buscaba el impacto periodístico, pero creemos que muestra a las claras la situación actual. Ahora bien, teniendo el panorama descripto delante de nuestros ojos, resulta necesario comenzar con los principios de solución acogidos por la legislación europea. Los tres objetivos principales de la directiva de la Comisión Europea reseñada eran: (i) proteger los derechos y libertades de los ciudadanos respecto del procesamiento de datos ; (ii) armonizar los estándares de protección de datos en todo el territorio europeo; y (iii) limitar el movimiento de datos a aquellos fuera del territorio europeo que no provean adecuados niveles de protección. Como es posible suponer, y dado el alto objetivo planteado, el grado de cumplimiento fue limitado. No obstante ello, podemos hablar de un cúmulo de principios uniformes respetados, en mayor o menor medida, por todas la legislaciones nacionales de la comunidad. Por ejemplo, citamos que los ciudadanos tienen Información facilitada por HELGUERO ASOCIADOS 3

4 derecho a ser informados acerca del procesamiento de datos personales, el derecho de acceder a ellos, y el derecho de objetar "sobre una base legítima" el procesamiento de los mismos. Un panorama similar al descripto, si bien algo más auspicioso, es el que presenta el panorama europeo actual respecto de la Convención para la Protección de Personas respecto al procesamiento automático de datos personales (concepto alineado con el acápite 3, artículo segundo, primera parte de las Recomendaciones del Consejo de la OECD, probablemente uno de los documentos más completos sobre el tema en su época. Del mismo modo, el concepto es definido en forma expresa -de un modo más completo y difuso a la vez- por la Convención del Consejo Europeo de Estrasburgo del 28 de Enero de 1981, en su artículo 2.d), el cual se presenta en forma de tabla en la página siguiente. Dada la amplia gama de jurisdicciones nacionales que abarca la CEE, la cual incluso acoge en su seno sistemas jurídicos diferentes, consideramos apropiado reseñar, a través de algunos ejemplo en los países con mayor grado de industrialización en el área, el enfoque que ha tenido la protección de datos personales. A los fines de ofrecer tal panorama, hemos tomado, del conjunto del plexo normativo de los países muestreados, aquellos textos que, a nuestrojuicio, ofrecen al analista un balance jurídico-técnico preciso, con más una ìtoma de posturaî respecto de la preferencia entre el control público y el control privado. Entendemos que el ejercicio resulta interesante, dada la diferencia de circunstancias (económicas, sociales, geopolíticas, etc.) y evoluciones históricas que enmarca la CEE. Menos impactantes tal vez que las normas de muy alta jerarquía, resultan más ìrealesî, desde nuestra opinión, desde el punto de vista de la operatividad cotidiana en la relación del ciudadano con el poder público. A continuación ofrecemos entonces dicho muestreo, del siguiente modo: Cuadro de Posición: Convención para la Protección de Particulares respecto del procesamiento automáticode datos personales (Estrasburgo, 28/01/1981) Los casos Alemania, Suecia y Reino Unido: Alemania El instrumento que más nos ha llamado la atención respecto de la república alemana ha sido la Ley Federal de establecimiento de condiciones generales para los servicios de información y comunicación, la cual data del 1º de Agosto de El artículo 2 del referido cuerpo legal trata en detalle (con precisión tanto jurídica como técnica), en su Teledienstedatenschutzgesetz TDDGS, sección 3 en particular establece los principios que deben ser respetados en relación al procesamiento de datos personales. Tales principios podrían resumirse del siguiente modo: 1. Los datos personales pueden ser recolectados, procesados y utilizados por los ìproveedoresî de servicios de telecomunicación sólo cuando tal fuera permitido por ley o cuando el usuario hubiere manifestado su consentimiento a tal efecto. Del mismo modo, sólo podrá proceder al Información facilitada por HELGUERO ASOCIADOS 4

5 uso de tales datos si contare con el permiso de la ley o el consentimiento del usuario (sin establecer si dicho consentimiento debe ser expreso o tácito); 2. El diseño y selección de los aparatos a utilizarse para la prestación de teleservicios deberá estar orientada a sus objetivo, sin recolectar, procesar o utilizar datos personales, o lo menos que resulte posible; 3. El usuario deberá ser informado acerca del tipo, margen, lugar y propósito de la recolección, procesamiento y uso de sus datos personales. Resulta interesante indicar que, en el caso de procesos de recolección automática de datos, el usuario deberá ser informado de tal relevamiento al comienzo del proceso, lo cual permite efectivamente denegar tal permiso. Si bien dicha autorización puede ser dispensada por el usuario (lo cual se establece expresamente no será reputada consentimiento, debiendo a tal efecto registrarse formalmente), la ley establece que la misma deberá encontrarse irrestrictamente disponible al usuario al cual le pertenezca, en cualquier momento; 4. Con antelación a brindar su consentimiento, el usuario deberá ser informado acerca de su derecho a retirarlo en el futuro, en cualquier momento, a su sola opción. Respecto del aspecto técnico, el texto establece con notable claridad que el consentimiento requerido no debe obstar a las características salientes del medio electrónico, por lo cual se establece que dicho consentimiento podrá ser declarado electrónicamente, siempre y cuando el proveedor se asegure que: 1. dicho consentimiento deberá ser otorgado por un acto deliberado y bajo ningún punto de vista ambiguo por parte del usuario; 2. dicho consentimiento no pueda ser modificado sin detección; 3. el consintiente pueda ser unívocamente identificado; 4. el consentimiento sea debidamente registrado; y 5. que el texto de forma que ha servido de marco al consentimiento, así como el consentimiento mismo, puedan ser obtenidos por el consintiente, a su pedido, en cualquier momento. También se establece que, dentro del marco contractual, el proveedor deberá recolectar datos personales sólo en la medida que sean necesarios para la conclusión y ejecución de un contrato real, lo cual se encuentra, respecto del ámbito de la prestación del servicio, taxativamente limitado, al tiempo que se establece un procedimiento de borrado de la Información facilitada por HELGUERO ASOCIADOS 5

6 información que no permita el almacenamiento de estos datos indeterminadamente y prohibe el cruzamiento de información no autorizado. Consideramos, según expresáramos con anterioridad, que el marco propuesto por esta ley, la cual se articula armónicamente con la Ley Federal de Protección de Datos o Bundesdatenschutzgesetz, de firma digital, la enmienda propuesta respecto de la legislación marcaria, de moral juvenil y los principios establecidos por los códigos de fondo, ofrecen, por un lado un marco legal preciso y comprensivo y, por otro, un panorama alentador respecto de la protección de datos personales dentro de un marco de razonabilidad y equilibrio. Suecia Respecto de Suecia, hemos evaluado el ìdata Actî de 1973, el cual es el instrumento fundamental respecto de la protección de datos personales en aquel país. Como resulta natural suponer, este documento ha sido objeto de numerosas enmiendas, las que hemos tomado en cuenta, en razón de reflejar los desarrollos constantes de la tecnología de la información. Hemos observado que, en razón de brindar un panorama completo, la mencionada ley no podría resultar analizada integralmente sin la Ley de Libertad de Prensa de 1949, toda vez que esta última regula el acceso a documentos oficiales, incluyendo los registros computarizados de cualquier tipo y presenta una situación delicada vis-à-vis la situación de los medios de prensa y el procesamiento que estos hagan de los archivos de datos personales (v.g. los preceptos del artículo 9º) para lo cual se ha debatido intensamente, en la búsqueda de conciliar el derecho a la privacidad con las reglas de libertad de expresión. Sumado a ello, hemos revisado leyes de registro municipales dado que muchas de ellas son promulgadas independientemente (por ejemplo, la de recolección de datos financieros, los registros de salud, los policiales, etc.) lo cual ha ofrecido un panorama intensamente complejo. El texto de la Data Act de 1973, el cual coloca en posición de igualdad tanto al funcionario público como al ciudadano respecto al acceso a la información, prevé la formación de un archivo (SPAR.ne ) a conservarse a través de procesamiento automático de datos (la legislación sueca no prevé aún el procesamiento manual de información), el cual sólo puede utilizarse dentro de un espectro (taxativamente delimitado) de circunstancias, cuales son: 1. Actualización, suplementación y consulta de datos en otros archivos de datos personales; 2. Suplementación y consulta de datos en general y 3. Relevamiento de muestras de datos personales (o muestreo). Dichos archivos contienen los datos que el Estado ha acopiado de sus registros de ciudadanos (tanto registro de las personas como de la oficina nacional de correos), de las declaraciones de impuesto a las ganancias y de las declaraciones correspondientes al impuesto inmobiliario. A estos datos puede agregarse adjunto una nota donde el ciudadano expresará que no desea recibir correspondencia no solicitada. La Ley define los conceptos de ìarchivo personalî ìpersona registradaî y de ìdatos personalesî, en sentido amplio -tal vez demasiado- junto con la interesante introducción del concepto de ìresponsable de la guarda del archivoî. La estructura jurídica propuesta por la norma establece su articulación con otras leyes, tales como la de Cuidado de la Juventud (621/1980); Cuidado de Alcohólicos y Información facilitada por HELGUERO ASOCIADOS 6

7 Drogadictos en Ciertos Casos (879/1988); Tratamiento Psiquiátrico en Casos Determinados (293/1966); Cuidado de Ciertas Personas Retardadas (940/1967) o Cuidado de Alienados (376/1980), dado que la Ley prevé el armado, compilado y guarda de un archivo de datos personales para los casos de cualquier persona sospechada de, o convicto por, un crimen, así como aquellos que hubieren sufrido prisión o reclusión por alguna acción típica contenida en tales normas. Como contracara de esta ìbase de datos criminológicaî se ofrece una articulación con un sistema de responsabilidad agravada para quien tiene a su cargo la guarda de los archivos de datos personales, en adición a sanciones administrativas y otras (creando incluso figuras penales específicas) como respuesta a eventuales actitudes dolosas o culposas. Desde el punto de vista operativo, los almacenadores de archivos deberán elaborar y mantener actualizado una base en donde constarán (según reza el artículo séptimo), por cada ciudadano, el nombre del archivo, el propósito del mismo; la identificación física de las instalaciones donde se lleva a cabo el procesamiento automático de la información, el número de registro de licencia del almacenador frente al Data Inspection Board (organismo público de propósito específico) y el espectro hasta y dentro del cual se tercerizará el procesamiento de datos personales. Consideramos que el texto revisado ofrece un panorama bastante aproximado de la postura sueca, la cual nos presenta un clima publicista acotado por la imputación de responsabilidad objetiva agravada, creando un clima de protección -si bien no público/privado, cual resultaría a nuestro juicio preferible- del ciudadano respecto de la diseminación indiscriminada de sus datos personales. La institución de un ìpropósito específicoî para los archivos es una muestra de ello, dado que, si bien es demasiado vaga frente a la discrecionalidad de los objetivos políticos (protegida en este marco incluso por la ley de Confidencialidad de Funcionarios Públicos de 1980), resulta útil como herramienta de confidencialidad, o al menos de reserva, entre sujetos de derecho privado. Según expresáramos al principio de esta sección, resulta evidente que el panorama propuesto se ve fuertemente morigerado por normas de rango constitucional, como por ejemplo la extensión al caso de los preceptos del Art. 6 de la Constitución Sueca, si bien resulta tal protección casi evidente, nublando el foco de lo que deseamos exponer, cual es la tendencia general de la opinión sobre el tema, y su descarga en la legislación. Reino Unido Como último ejemplo de este apretadísimo muestreo, hemos analizado el marco legal del Reino Unido, el cual cobra particular relevancia, dado que se constituye como representante del sistema de common-law. La base de estudio se ha constituído en torno a dos instrumentos: (i) Data Protection Bill de 1997; (ii) Data Protection Act de Resultando receptora de los principios generales debatidos en el Consejo de Europa, no es sorprendente que el Data Protection Bill sea reflejo de las provisiones contenidas en, por ejemplo, la Convención de Estrasburgo de 1981, principios en mayor o menor medida aceptados por todos los países industrializados del área (v.g. Francia). Algunas provisiones llaman la atención por la introducción de nuevos conceptos (v.g. la clasificación de datos personales -Art (bii)- incluye el requisito de ìvivienteî respecto del sujeto que se identifica, permitiendo dicha identificación por medios diferentes a los Información facilitada por HELGUERO ASOCIADOS 7

8 contenidos en el archivo de datos por parte del controlante de dichos datos). De idéntica manera, las definiciones de ìdatos personalesî (comprensiva de origen étnico o racial; opiniones políticas; creencias religiosas o de otro carácter; si el sujeto se encuentra sindicado o no; condición de salud física y/o mental; vida sexual; la comisión o imputación de un delito y los detalles procesales del mismo) y ìpropósitos especialesî (con fines periodísticos; artísticos o literarios) se encuentran definidas taxativamente, lo cual resulta destacable, si bien reconocemos que implica necesariamente incompletitud. Salta a la vista que el texto analizado recoge la clasificación de datos personales en ìsensiblesî y ìno sensiblesî, lo cual, a la luz de la presión de la necesidad de libertad de circulación comercial (e incluso social) parece ser el resultado de una discusión a ser superada. El resto del texto revisado abunda en tópicos de registro y yuxtaposición de jurisdicciones, tema que creemos igualmente sujeto a enorme evolución en los próximos años. La Data Protection Act, por su parte, trata extensamente el tema de los derechos de los ciudadanos, en su 2º Parte (artículos 7º a 15º), articulándolo con las excepciones a tal principio (artículos 27º a 39º - IV Parte) y la eventual defensa efectiva de tales derechos (artículos 40º a 50º - V Parte). Probablemente la más actualizada en cuanto a su formulación jurídica, la ley prevé el tema de la obtención ilícita de datos personales, sin distingo del carácter público o privado del intruso, lo cual consideramos sumamente apropiado. Resulta clara la restricción que presentó al legislador británico el gran desarrollo de, por ejemplo, el mercado de capitales en el Reino Unido, al tiempo que tal situación le planteaba un conflicto respecto de la tradición burocrática de la administración pública. No obstante ello, consideramos que la legislación refleja un compromiso interesante entre ambos valores, pudiendo calificarla como ìmoderadamente dinámicaî. El establecimiento de un Data Users and Computer Bureaux, en 1984, ha permitido por otra parte un control bastante efectivo del intercambio sobre soporte informático, situación necesaria para el Reino Unido si tomamos en cuenta que, en cuanto país, es probablemente el actor principal en el mercado de exportación de software. Conclusiones Según hemos expresado a lo largo del presente, el Parlamento Europeo y el Consejo adoptaron, en Octubre de 1995, la directiva acerca de la protección de los ciudadanos respecto del procesamiento de datos personales, intentanto conciliar la misma con el principio de libertad de circulación de la misma. La implementación de la misma por parte de los Estados miembros ha implicado (y continúa haciéndolo) un proceso legislativo de desafío en medio de un momento crucial para la regulación de las comunicaciones globales. El crecimiento exponencial de las redes de computación, Internet entre ellas, nos enfrenta a un escenario social, político y comercial sin precedentes, enfatizado por la capacidades cada vez mayores de intercambio de flujo digital a través de ellas. Desde el punto de vista de la regulación legislativa de ambos principios (libertad de circulación y derecho a la privacidad) todas las naciones Europeas han sido puestas frente a un reto de creatividad y Información facilitada por HELGUERO ASOCIADOS 8

9 flexibilidad, ingreso en un período de introspección política acerca de sus valores como nación, frente a sus ciudadanos. Consideramos que, independientemente del resultado de tales procesos de análisis, esta vez dos elementos lo diferencian de cualquier situación similar anterior. Por un lado, la formación de bloques supranacionales (que encuentran sus antecedentes recientes en Europa), que pautan las decisiones a ser tomadas por cada nación y, por el otro lado, la aplicación de una democracia global donde, observados por el conjunto de las naciones y, tal vez por primera vez, por ciudadanos individuales en creciente número. Mucho se ha debatido, dentro y fuera de la CEE, el tópico de análisis de este trabajo, el cual nace del concepto popular el cual, a luz de las circunstancias que expusiéramos anteriormente, permite prever que, en un futuro cercano, el control sobre todos y cada uno de los integrantes de la comunidad podrá ejercerse, amen de detalladamente, de un modo individual. Tecnológicamente, los puntos claves de la actualidad de este fenómeno lo constituyen, por un lado la aparición (y vertiginoso ritmo de crecimiento) de las VLDB 14, su interconectividad modular, y la aplicación (fundamentalmente en los países de mayor desarrollo) de los métodos de Data Mining, KDD 15, los cuales permiten un análisis relacional de los datos existentes, resultando una herramienta de utilidad nunca antes imaginada. La relación lineal que ofrecían hasta la fecha los sistemas de tipo OLAP16 sólo presentaban al analista resultados cuantitativos, de donde debían inferirse todas las demás variables (asumiendo el resultado ofrecido por el ordenador como la variable libre). El KDD, por su parte, ha revolucionado el panorama expuesto precedentemente, avanzando por sobre la barrera ofrecida por el álgebra relacional pura, permitiendo relacionar entre sí datos de diferentes características, ofreciendo al analista un panorama ancho, donde el único eje resulta ser el grupo (o individuo, teniendo presente que en este caso la dificultad será mayor) objeto del análisis. Frente a este panorama, es conservador afirmar que estamos en presencia de un panóptico que decrece su costo, a medida que crece en espectro, día a día. A la luz del Derecho, el problema que plantea el avance tecnológico cobra otra dimensión. El nuevo ordenamiento ofrece la posibilidad de disponer, en todo momento, de información sobre cualquier habitante del planeta, extendiéndose ésta no sólo a la almacenada a tal propósito sino también a la posibilidad de monitorear (sospechado de un delito informático en ejecución, por ejemplo) la propia máquina de tal individuo en cualquier momento17. Se ha discutido con ardor el tema y, desde los albores de tal discusión, se creyó zanjado el tema por la división académica de los datos en datos sensibles y no sensibles o nominativos18, según vimos al analizar la legislación del Reino Unido. Recordando que los primeros abarcan un espectro más "intimo" en su cualidad que los segundos, expresamos que dicha división parece insuficiente frente a un sistema de Data Mining como el actual el cual, relacionando los datos disponibles, permite extrapolar e inferir "conclusiones sensibles" a partir de datos ìno sensiblesî 19. Consideramos que el epicentro del problema de la disposición de información, la tutela de la privacidad de los ciudadanos y el principio de libertad en la circulación comercial no radica en su existencia y confrontación de valores, sino antes bien en el sujeto que hará uso de este "arsenal de información" y cuales serán los parámetros (y límites) de tal uso. Información facilitada por HELGUERO ASOCIADOS 9

10 Respecto de la primera cuestión, sólo dos alternativas parecen anticipables: o bien el Estado, a través de una legislación que posibilite tal actitud ; o bien el conjunto de la ciudadanía. No encontramos elementos de análisis suficientes más allá de la mera preferencia de algunos autores o de direcciones políticas nacionales respecto de una u otra posibilidad. Hasta el momento, los gobernados dentro de la CEE se han mostrado agresivos respecto del control, sólo resignándolo por dos valores de mayor jerarquía percibida, cuales parecen ser seguridad y orden de bienestar. Hasta la fecha, y más allá de la vigilancia estatal no autorizada (la cual resulta de profundo debate, por ejemplo, en la comuna de París) la legislación ha acompañado (o al menos no se ha contrapuesto abiertamente, tal vez por motivación política) tal tendencia. Frente a semejante situación, consideramos que la fuerza de cambio social y económica tomará la delantera respecto de la asepsia política tanto en Europa como en el resto del mundo, siendo extremadamente difícil el predecir la velocidad (que sin dudas no tendrá precedentes históricos) ni la extensión de su resultado, pero resultando innegable su impacto histórico. Notas 1 DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL (24 de Octubre de 1995). La versión utilizada para el presente análisis ha sido la de su texto final (OJ 1995 Nº L281) 2 Terminología comercial que se identifica, circunscripto al tema que nos ocupa, con el concepto de ìtransborders flows of peronal dataî del Anexo a las recomendaciones del Consejo de la OECD de fecha 23 de Septiembre de Sirva como ejemplo la "netiquette", que abarca (y de tal modo progresivamente se constituye como) un conjunto de reglas de comportamiento esbozando, si bien en estado germinal y por ejemplo, principios de ética en interacción y transacciones. 4 Encontramos interesante el notar el replanteo del panorama que se nos ofrece. La cuestión de la extensión territorial y características de las prácticas de Derecho internacional público, las que resultaron tradicionalmente de difícil ponderación, resultan en la actualidad de fácil percepción. Recordemos a estos efectos que la C.P.J.I (predecesora de la C.I.J), interpretando el artículo 38, segundo párrafo, de su estatuto ha expresado que una práctica, para ser considerada regla de costumbre, debe ser una "práctica constante y general" (Serie AB, número 53, pagina 91), postura que remarcó tal carácter con posterioridad (Serie B, número 6, página 36) entendiendo tal requisito como una "práctica cuasi universal" 5 La potestad de regular y su dominio con la fuerza. De dominio maris La distinción académica entre datos "sensibles" y "no sensibles", por ejemplo. 7 Paul Williams, Worlwide Policy Research, Recordemos que la directiva definía datos personales de una manera amplia, considerando como tal a "cualquier información relativa a una persona identificada o identificable", agregando que estos datos debían estar ligados a las personas "de manera directa o indirecta (...) a través de la referencia a un número de identificación (PIN?) o a través de uno o mas factores específicos respecto de su identidad física, psicológica, Información facilitada por HELGUERO ASOCIADOS 10

11 mental, económica, cultural o social" 9 Informations und Kommunikationsdienste-Gesetz - lukdg. 10 Según fuera enmendada a la fecha y entrare en vigor desde el 1º de Enero de State Personal and Address File 12 Uno de los elementos más interesantes del texto legal, reconoce su identificación respecto del artículo 3ºº de los ìlineamientos concernientes a la computación de archivos de datos personalesî de las Naciones Unidas, según fuera adoptado por la Asamblea General el 14 de Diciembre de Constitución Sueca, Art. 6: ìtodos los ciudadanos estarán protegidos en sus relaciones con la administración pública contra cualquier violación física, incluso en casos diferentes a aquellos referidos en el Capítulo 2, art 4 y en el Capítulo 2, art. 5 (NOTA: materias electorales). Los ciudadanos estarán del mismo modo protegidos contra la persecución física, de sus hogares e intrusiones similares, así como contra el examen de su correo u otra correspondencia confidencial y contra las escuchas furtivas, intervención telefónica o grabado de cualquier otra comunicación confidencial. 14 VLDB Very Large Data Bases 15 KDD Knowledge Data Discovery 16 OLAP On Line Analitical Process 17 En el caso que tomamos de base, la asignación de IP fijo, resultaría tan simple como relacionar dicho número registrado con las datos de identificación del registrante considerando el ordenador personal, para tales propósitos como "cosa de la cual se sirve", dentro de los términos del artículo 1113 del Código Civil argentino, el que expresa: "La obligación del que ha causado un daño se extiende a los daños que causaren los que están bajo su dependencia, o por las cosas de que se sirve, o que tiene a su cuidado". No debemos olvidar, a este respecto, que el principio de responsabilidad agravada ha sido recogido ya por la legislación británica. 18 Principio incluído en varias de las legislaciones vigentes como por ejemplo, la francesa. 19 Principio recogido aún por varios plexos normativos 20 Resulta indistinto en este supuesto el separar los conceptos de Estado y entidades supranacionales. 21 Hemos descartado a lo largo del trabajo el terrorismo de estado, por considerarlo ajeno, dentro de este marco, a un análisis de corte jurídico. Información facilitada por HELGUERO ASOCIADOS 11