HACIA UN MARCO NORMATIVO EN LAS AMÉRICAS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES 1

Transcripción

1 HACIA UN MARCO NORMATIVO EN LAS AMÉRICAS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES 1 Dante Mauricio Negro Alvarado 2 RESUMEN En los últimos años, la Organización de los Estados Americanos ha emprendido serios esfuerzos por generar un marco jurídico de protección de los datos personales. Este esfuerzo codificador aún no tiene un instrumento pre-determinado: Convención, ley modelo, guía legislativa, entre otras posibilidades, aunque el Comité Jurídico Interamericano ha propuesto una serie de principios en la materia. De allí la necesidad por debatir esta materia desde el punto de vista jurídico, teniendo en cuenta los desarrollos en otros organismos internacionales, para contribuir a una decisión política más acertada. Palabras clave: DATOS PERSONALES, ORGANIZACIÓN DE LOS ESTADOS AMERICANOS, PROCESO CODIFICADOR. 1. Introducción Supongamos que en un momento determinado tomamos la decisión de tomar unas vacaciones e intentamos averiguar en una página de Internet pública las diferentes opciones de vuelo que tenemos a disposición. En los siguientes días no sólo empezamos a recibir por parte de varias aerolíneas ofertas de vuelos a precios reducidos, sino hasta propuestas de tours y alojamientos en nuestros eventuales destinos. Cómo fue posible que de un dato totalmente inocuo, incluso de una intención de compra se haya formado un perfil comercial de nuestras personas y, sobre todo, que dicho perfil haya sido puesto a disposición de compañías vendedoras de servicios? Qué sucede y cómo podemos actuar cuando el historial de las transacciones que se va construyendo a través del uso de nuestra tarjeta de crédito es puesto a disposición de estas compañías? Aún más grave, qué sucedería si mi historial de compra de un determinado medicamento, que define claramente 1 El presente trabajo expresa las opiniones personales de su autor y para nada comprometen a la entidad para la cual trabaja y/o representa. 2 Abogado egresado de la Pontificia Universidad Católica del Perú donde siguió además estudios de postgrado en Derecho Internacional Económico. Master en Derecho Internacional y en Derechos Humanos por la Universidad de Notre Dame, Indiana. Director del Departamento de Derecho Internacional de la Organización de los Estados Americanos (OEA), Washington, D.C., y profesor en la Maestría en Protección Internacional de los Derechos Humanos de la Universidad de Alcalá, España. Es miembro del Instituto Hispano-Luso-Americano-Filipino de Derecho Internacional (IHLADI), de la American Society of International Law, y del Instituto de Estudios Internacionales de la Pontificia Universidad Católica del Perú (IDEI-PUCP). Ha escrito numerosos artículos en derecho internacional público y privado.

2 IX ANUÁRIO DE DIREITO INTERNACIONAL una enfermedad de la cual padezco, es puesto a disposición de otras personas de tal manera que se me pueda singularizar con base en esta característica para fines comerciales, sanitarios o de otra naturaleza? Tenemos algún amparo jurídico para que una foto inadecuada que colocamos nosotros mismos o fue colocada por otras personas tiempo atrás en una red social sea retirada de la misma o para evitar que sea mal utilizada por terceros? No cabe duda que el desarrollo tecnológico que han experimentado nuestras sociedades en las últimas décadas ha sido vertiginoso. Hace unos veinte años atrás, el uso de la Internet en computadoras personales en la mayor parte de nuestros países era impensable, la utilización del correo electrónico se encontraba en estado de gestación, y las redes sociales virtuales, tal como las conocemos hoy en día eran inexistentes. Hoy en día, la continua expansión del comercio electrónico ha hecho que esta sea la modalidad más utilizada para la realización de transacciones de poca y mediana cuantía. La computación en nube y el depósito en ella de una gran cantidad de información, incluso personal, ha revolucionado la manera como pensamos e imaginamos la seguridad de nuestros datos personales. En adición a ello, un dato aislado y carente en sí mismo de interés puede cobrar un nuevo valor de referencia unido a otro grupo de datos personales, por lo que podemos afirmar que ya no existe ningún dato sin interés. En efecto, existen compañías especializadas en recopilar datos, procesarlos junto con otros, analizarlos y crear así perfiles con grandes impactos financieros. A su vez, la gama de custodios de la información ha ido creciendo exponencialmente. Lo que tradicionalmente era una competencia casi exclusiva de los entes estatales de ser depositarios de cierta información personal (datos ingresados en los registros públicos, por ejemplo), ahora está mayoritariamente en manos de agentes no estatales. La generalización del acceso a esta tecnología, no cabe duda, ha dado lugar a notables beneficios sociales y económicos. Pero el uso indiscriminado que se pueda hacer de dicha información y de esos datos personales presenta un gran desafío para nuestras sociedades sobre todo cuando este uso, puesta en circulación y/o transferencia se realiza sin conocimiento o autorización del titular de dichos datos. Así pues, se plantea la necesidad de brindar alternativas creativas para una protección más global y armonizada del derecho de todo individuo a proteger sus datos personales, asegurando al mismo tiempo el libre flujo de información sobre todo a través de medios electrónicos. Tradicionalmente se consideró que con la consagración del derecho a la intimidad o la privacidad se protegía determinadas esferas de la persona con relación a terceros y se brindaba así al individuo la posibilidad de desarrollarse libremente como persona tanto en su ámbito privado como en su ámbito social. Sin embargo, resulta innegable que este sistema de protección ya no es suficiente en la nueva realidad en la que vivimos. La variable tecnológica a la cual acabamos de referirnos modificó el concepto de espacio o ámbito en el que se manifiestan y desarrollan los derechos de la persona, y ha generado problemas éticos, políticos y jurídicos. Debemos sin embargo precisar que la necesidad de una adecuada protección de nuestros datos personales no aparece con el desarrollo de la

3 tecnología. Dicha necesidad siempre estuvo presente. El desarrollo vertiginoso de las comunicaciones y las transferencias de datos simplemente contribuyó a poner de relieve esta problemática. Actualmente, en el seno de la Organización de los Estados Americanos (OEA), se está llevando a cabo un importante proceso político y jurídico con el objetivo de lograr algún tipo de instrumento legal que oriente a los países de la región en la adopción de legislación interna en esta materia. El objetivo del presente artículo es pues brindar una visión de cuál ha sido el desarrollo de estos trabajos hasta el día de hoy y, sobre todo, brindar posibles alternativas para los trabajos futuros. A lo largo de las siguientes páginas veremos cuál ha sido la evolución de la temática de la protección de los datos personales a nivel internacional y los documentos más importantes adoptados hasta el día de hoy; abordaremos el desarrollo del tema en el marco de la OEA; introduciremos los conceptos básicos a ser manejados en el estudio de la protección de datos con el objetivo de uniformar nomenclaturas y contenidos; haremos una propuesta de los principios que deberían, a nuestro juicio, estar presentes en cualquier esfuerzo codificador ya sea interno como internacional; y finalmente señalaremos cuál es la importancia especial de contar con sistemas armonizados en materia de protección de datos personales en un mundo cada vez más globalizado. No es nuestro propósito referirnos en este trabajo a la legislación interna de los países de la región, pues rebasaríamos el carácter introductorio de este artículo. Dicho esfuerzo lo dejaremos para un siguiente trabajo, así como también un análisis más profundo de los instrumentos internacionales que ya se ocupan del tema. Sin embargo, el contenido de dichos instrumentos será utilizado en la propuesta de principios que haremos hacia el final de este artículo. Tampoco es nuestra intención hacer un análisis extenso de los derechos ARCO (derechos de acceso, rectificación, cancelación y oposición) que son derechos que garantizan la plena implementación de los principios a ser enunciados y que pueden ser ejercidos por el interesado o por su representante, ya sea ante un ente administrativo, una Autoridad creada para esos fines o el propio poder judicial. Creemos que el tratamiento de los mismos merece en sí un esfuerzo por separado. Cada vez que en el mundo académico-jurídico se desarrolla o impulsa una nueva temática, es importante dejar definidos los conceptos esenciales, los alcances de la nueva institución y los posibles puntos de interacción o de conflicto con instituciones afines o similares. Sin este esfuerzo, cualquier debate se desarrollará sobre bases inciertas, llevándonos a contradicciones sistemáticas que provocarán un avance errático en las discusiones, ya sean de naturaleza jurídica o política. Si bien existe ya importante cantidad de bibliografía en relación a la protección de los datos personales, muchas de ellas ignoran estos conceptos. El objetivo que perseguimos con este trabajo es brindar dicha claridad. Un tema particularmente neurálgico por ejemplo es los márgenes en los que se desarrollan la temática de la protección de datos personales y la del acceso a la información pública. Dónde están los límites de una u otra institución es un problema que debemos abordar y analizar dentro de este marco de claridad conceptual con el objetivo de lograr una

4 IX ANUÁRIO DE DIREITO INTERNACIONAL mayor seguridad jurídica en la aplicación de ambas instituciones. 2. El desarrollo del derecho a la protección de los datos personales En décadas pasadas, la protección de la intimidad y de la privacidad de las personas pareció ser suficiente para garantizar el libre desarrollo del individuo. En la década de los 70s se había plasmado ya en diversos instrumentos internacionales de derechos humanos el derecho a la intimidad con el que se garantizaba dicha privacidad. 3 Los avances en la tecnología y su impacto en las sociedades gestaron la apremiante necesidad de proteger el derecho de estas personas a su autodeterminación frente a la informática, proceso que culminó con el establecimiento de un derecho de los individuos a la protección de sus datos personales ya sea en formato electrónico o no. En efecto, hoy en día la privacidad se debe definir en términos de autodeterminación. El individuo necesita tener la facultad de decidir por sí mismo cuándo y dentro de qué límites es procedente revelar situaciones referentes a su propia vida (sus datos personales), protegiéndose de esta manera contra la recolección, el almacenamiento, la utilización y la trasmisión ilimitada y no autorizada de los datos concernientes a su persona. La idea es pues poder atribuir al titular de los datos un poder de disposición sobre los mismos que se traduzca en la facultad de que la persona pueda decidir sobre ellos y saber quién dispone de dichos datos, por qué y para qué. En buena cuenta pues, el individuo necesita garantías de confidencialidad de cara al uso irrestricto de la expresión de su personalidad. Y es aquí donde resulta particularmente importante dar el salto entre el derecho a la intimidad o privacidad y el derecho a la protección de los datos personales y ver a este último consagrado como un derecho humano fundamental. En las próximas páginas vamos a presentar de manera general cuáles han sido los hitos más importantes en el desarrollo de la figura de la protección de los datos personales. No pretendiendo ser exhaustivo, nuestro principal propósito es remitir al lector a los instrumentos más importantes y esenciales en la materia para que puedan ser consultados independientemente. Al mismo tiempo, queremos señalar las características más importantes que poseen los sistemas de protección de datos en Europa, los Estados Unidos y América Latina, pues una comprensión de sus diferencias y similitudes nos brindará una idea más exacta de los desafíos codificadores que nos aguardan. En efecto, si tenemos en cuenta que una de las características más importantes en la actualidad es la agilidad con que circula la información y los datos personales de forma transfronteriza, entenderemos la imperiosa necesidad de conocer las diferencias y armonizar los sistemas jurídicos intentando dar herramientas de protección similares frente a estas situaciones concretas. El derecho a la protección de los datos personales surge tal como lo entendemos hoy en la década de los sesenta predominantemente en Europa. Es 3 Ver por ejemplo el artículo V de la Declaración Americana de los Derechos y Deberes del Hombre (1948); el artículo 12 de la Declaración Universal de los Derechos Humanos (1948); el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos (1966); el artículo 11 de la Convención Americana sobre Derechos Humanos (1969), entre otros.

5 más, las primeras legislaciones en esta materia tuvieron lugar en ese continente. 4 En 1967 se constituyó en el seno del Consejo de Europa una Comisión Consultiva para estudiar las tecnologías de la información y su impacto en los derechos de las personas, especialmente con relación a su derecho a no sufrir injerencias en su vida privada. Esta fue una respuesta a la preocupación expresada cada vez más frecuentemente sobre la escasa protección que las legislaciones nacionales daban al derecho a la vida privada del individuo con relación al tratamiento automatizado de sus datos personales. 5 De allí surgió la Recomendación 509 de la Asamblea General del Consejo de Europa sobre los derechos humanos y los nuevos logros científicos y técnicos, adoptada en Este documento se considera el origen en Europa del movimiento en materia de protección de datos personales, dado que la misma ayudó sustancialmente al desarrollo de diversos estudios referidos a la incidencia de las nuevas tecnologías en la intimidad de las personas. Asimismo, fomentó los primeros desarrollos normativos que reconocieron explícitamente la existencia de un derecho específico a la privacidad en relación con dichas tecnologías. 6 Años después, en 1981, el Consejo de Europa dio un respaldo definitivo a la protección de la intimidad frente a la informática mediante el Convenio 108 para la protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal. 7 En él se establecen los principios y derechos que cualquier legislación estatal debe recoger al momento de proteger los datos de carácter personal y ha servido de base para diversas legislaciones en el mundo. Debemos notar que este instrumento se aplica al procesamiento automático de datos personales tanto en el sector público como en el sector privado. 8 El 24 de octubre de 1995 el Parlamento Europeo aprobó la Directiva 95/46/ CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. 9 En esta se urge a los Estados miembros a contar con leyes que establezcan un mínimo nivel de proyección sobre el tratamiento de datos personales por cualquier medio, dejando sin embargo a los Estados en libertad de adoptar estándares más rigurosos que los que la Directiva propone. De este instrumento derivó gran parte de la legislación de los países europeos en materia de protección de datos e influyó notablemente en 4 PIÑAR MAÑAS, José Luis y ORNELAS NUÑEZ, Lina. La Protección de Datos Personales en México, Tirant Lo Blanch México, 2013, p Ibid, p Ibid, p El texto oficial del Convenio de Europa puede ser consultado en la página 8 COMITÉ JURÍDICO INTERAMERICANO. Derecho de la información: acceso y protección de la información y datos personales en formato electrónico, OEA/Ser.Q, CJI/doc.25/00 rev.2, 7 de febrero de 2007, p.9. Si bien el Convenio fue adoptado el 18 de septiembre de 1980, fue abierto a la firma el 28 de enero de 1981 y entró en vigor el 1 de octubre de 1985, luego del depósito del quinto instrumento de ratificación. Cualquier Estado, aun aquellos que no son miembros del Consejo de Europa, puede adherirse a este instrumento. 9 El texto de la Directiva 95/46/CE puede ser consultado en la página proteccion_datos_personales_otros_documentos.asp#unión_europea

6 IX ANUÁRIO DE DIREITO INTERNACIONAL los marcos regulatorios de América Latina. Lo más importante de esta Directiva es que admite la transferencia de datos personales a países fuera de la Unión Europea sólo cuando el país de que se trate garantice un nivel de protección adecuado de los datos o si demuestra que los datos quedarán debidamente protegidos una vez que hayan sido transferidos. Así se intenta ampliar a países fuera de las fronteras europeas la protección otorgada a los datos personales originados en la Unión Europea, incidiendo en la regulación de la protección de datos en todo el mundo. Ello obligó a países con empresas interesadas en comercializar con la Unión Europea a examinar su propia legislación y, de ser necesario, modificarla para satisfacer dichos estándares. En el año 2000 se abre una nueva etapa basada en la consideración de la protección de datos de carácter personal como un verdadero derecho fundamental autónomo e independiente del derecho a la intimidad, en el marco de la Carta de los Derechos Fundamentales de la Unión Europea, proclamada por la Cumbre de Niza de 7 de diciembre de La misma dispone en su artículo 8 que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. No se hace en este caso ninguna referencia a la intimidad o a la informática. En el artículo 7, de forma separada, se recoge el derecho a la vida privada y familiar, estableciéndose así una clara diferencia entre ambos derechos. 10 En 2010, el Parlamento Europeo emprendió una revisión de la Directiva 95/46 con el objetivo de actualizar los mecanismos existentes de cara a la era digital. A la fecha el Parlamento ha aprobado su posición en primera lectura pero las negociaciones no empezarán hasta que los Estados miembros reunidos en el Consejo hayan llegado a una posición común. En términos generales pues, debemos resaltar que el tratamiento de la protección de datos personales en Europa se ha acogido a un sistema estricto con estándares internacionales y legislaciones que rigen el tratamiento de los datos personales tanto por parte del gobierno como por parte de las entidades privadas, ya sea en formato electrónico o no, a diferencia de lo que sucede en los Estados Unidos. En efecto, en 1974 se aprueba el Privacy Act de Estados Unidos, con lo cual se empiezan a sentar las bases de los principios esenciales que configurarán el núcleo fundamental del derecho a la privacidad. 11 Sin embargo, debemos señalar que el sistema estadounidense ha seguido un criterio dual que permite que el sector económico regule el tratamiento de los datos personales efectuado por entidades privadas y la regulación estatal se aplique al tratamiento de datos realizado por el Estado. Así, aparte de unas pocas leyes que tratan de la información personal financiera y médica, Estados Unidos no cuenta con una legislación que rija el procesamiento de datos personales por entidades privadas PIÑAR MAÑAS, Ibid, p CONSEJO PERMANENTE DE LA OEA, COMISIÓN DE ASUNTOS JURÍDICOS Y POLÍTICOS. Comparative study: data protection in the Americas, documento presentado por el Departamento de Derecho Internacional de la Secretaría de Asuntos Jurídicos, OEA/Ser.G, CP/CAJP-3063/12, 3 de abril de 2012, pp CONSEJO PERMANENTE DE LA OEA, COMISIÓN DE ASUNTOS JURÍDICOS Y POLÍTICOS.

7 Ahora bien, en el caso en que estos agentes particulares quieran adherirse a directrices predeterminadas sobre el tratamiento de los datos personales, pueden ampararse en una disposición de la Comisión Federal de Comercio de los Estados Unidos que está encargada de certificar que la entidad en cuestión establece un nivel adecuado de protección. Si bien esta disposición tiene carácter voluntario en el contexto interno de este país, como hemos visto anteriormente, es un mecanismo a disposición para las empresas que reciben datos personales de la Unión Europea, y poder así cumplir con los estándares que ella impone. Con relación al ámbito mundial, el 14 de diciembre de 1990, la Asamblea General de las Naciones Unidas adoptó la resolución 45/95 conteniendo las Principios rectores sobre la reglamentación de los ficheros computarizados de datos personales, elaborados por el Alto Comisionado de las Naciones Unidas para los Derechos Humanos. 13 Si bien los Principios no son obligatorios, ofrecen los estándares mínimos que los Estados deben adoptar al regular la protección de la privacidad de los datos contenidos en archivos computarizados, tanto públicos como privados, y se aplican también a archivos de datos personales en poder de organizaciones gubernamentales internacionales. Por su parte, la Organización para la Cooperación Económica y el Desarrollo (OCDE) ha realizado también importantes contribuciones. Así, el 23 de septiembre de 1980, la OCDE adoptó las Directrices sobre protección de la privacidad y flujos transfronterizos de datos personales, que suministra estándares mínimos para la protección de los datos personales. 14 Los principios establecidos en estas directrices se caracterizan por su claridad y flexibilidad de formulación y aplicación, lo suficientemente general como para permitir su adaptación a los cambios tecnológicos. Estos principios abarcan todos los medios del procesamiento informático de datos sobre individuos (desde computadoras locales hasta redes con complejas ramificaciones nacionales e internacionales), todos los tipos de procesamiento de datos personales (desde la administración de información personal hasta la compilación de los perfiles de los consumidores), y todas las categorías de datos. Estos principios, de otro lado, se pueden aplicar al ámbito nacional e internacional. Si bien estos lineamientos no son obligatorios desde el punto de vista del derecho internacional, representan un compromiso político asumidos por sus Estados miembros, y se aplican al procesamiento de datos tanto en el sector público como en el privado. Vale destacar que estas Directrices fueron recientemente actualizadas en julio de Adicionalmente, en 2005 el Foro de Cooperación Económica Asia- Pacífico (APEC), estableció su Marco de Privacidad en el que se incorporan los Principios y recomendaciones preliminares sobre la protección de datos personales, documento presentado por el Departamento de Derecho Internacional de la Secretaría de Asuntos Jurídicos, OEA/ Ser.G, CP/CAJP-2921/10 rev.1 corr.1, octubre de 2011, p El texto oficial de la resolución 45/95 puede ser consultado en la página docs/?symbol= A/RES/45/95&Lang=S 14 El texto de las Directrices puede ser consultado en la página Directrices_OCDE_privacidad.pdf 15 El texto oficial de estas Directrices puede ser consultado en la página ieconomy/privacy.htm#newguidelines

8 IX ANUÁRIO DE DIREITO INTERNACIONAL principios esenciales del derecho a la privacidad. 16 Un documento mucho más reciente y de suma importancia para la temática es la Declaración de Madrid sobre Estándares Internacionales sobre Protección de Datos Personales y Privacidad. Esta Declaración fue aprobada por la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada el 5 de noviembre de 2009, en Madrid, con la participación de casi 50 países de los 5 continentes. Fue adoptada por consenso, lo que demuestra que su contenido representa la ruta por la cual están transitando los países en materia de protección de datos personales. En realidad constituye una propuesta conjunta para la redacción de estándares internacionales y su objetivo es proteger la privacidad a la vez que facilitar los flujos internacionales de datos de carácter personal. 17 En buena cuenta, creemos que estos son los documentos más importantes que existen en la actualidad en el escenario mundial en materia de protección de datos personales, y de consulta obligatoria para cualquier investigación profunda que se desee realizar en este campo. En lo que se refiere a la legislación de los países de América Latina, estos han elaborado mecanismos de protección de datos basados principalmente en el concepto de habeas data, el cual es un derecho constitucional que permite a las personas el acceso a la información personal en las bases de datos públicas o privadas para corregir y actualizar los mismos, además de permitirles la posibilidad de asegurar que los datos sensibles mantengan su confidencialidad o sean retirados de dichas bases. Esta acción, sin embargo, no exige que las entidades públicas o privadas protejan por iniciativa propia los datos que manejan sino que se limita a permitirle al agraviado, tras presentar una denuncia, obtener el acceso descrito y la capacidad de rectificar. De esto se desprende además que este mecanismo no garantiza un adecuado recurso legal a la persona cuyos datos han sido transferidos fuera del país. Es por ello que en los últimos años, más y más países de la región han empezado a adoptar leyes específicas en materia de protección de datos personales. Tal como lo señalamos en su momento, una descripción más detallada del contenido de las legislaciones de los países del hemisferio será materia de un trabajo posterior. 3. El Desarrollo del tema en el marco de la Organización de los Estados Americanos La Asamblea General de la Organización de los Estados Americanos, Órgano supremo de dicha Organización, ha venido aprobando desde hace varios años diversas resoluciones sobre el tema de la protección de datos personales que contienen importantes compromisos políticos y directrices de acción. En general, en dichas resoluciones se ha tenido presente los esfuerzos que realizan los Estados miembros para garantizar la protección de estos datos así como los esfuerzos de 16 El documento oficial del Marco de Privacidad puede ser consultado en la página apec.org/groups/committee-on-trade-and-investment/~/media/files/groups/ecsg/05_ecsg_ privacyframewk.ashx 17 El texto de la declaración de Madrid se puede encontrar en la página portalwebagpd/canaldocumentacion/conferencias/common/pdfs/31_conferencia_internacional/ estandares_resolucion_madrid_es.pdf

9 otras entidades internacionales y regionales tales como la OCDE, APEC, la Unión Europea y el Consejo de Europa, cuyos trabajos ya mencionamos anteriormente. Cabe destacar que la propia Asamblea General ha reconocido la creciente importancia de la privacidad y la protección de datos personales, y ha considerado que la protección de estos datos es un valor fundamental que debe trabajar siempre en concordancia con el acceso a la información pública. En ese sentido, estableció que la privacidad y la protección de los datos personales, cuya divulgación podría afectar los derechos legítimos de su titular, constituye una de las excepciones al acceso a la información pública. Como veremos en otro trabajo en que se analice a más profundidad la relación entre el acceso a la información pública y la protección de los datos personales, creemos que esta última no es una excepción al acceso a la información, sino que ambas instituciones conviven en un marco de aplicación distinto. En efecto, ya desde el concepto mismo de acceso a la información pública se excluye sin necesidad de apelar a una excepción a los datos personales, que por esencia no son públicos. Más bien, estos datos personales, por excepción y en determinadas circunstancias, podrían hacerse públicos. La afirmación de que en principio toda información es pública parte pues de una premisa errónea. Todos sabemos que no toda información es pública. Es más, cierta información no debe ser pública a riesgo de que con esto se afecte, entre otros varios intereses, derechos fundamentales de las personas consagrados en instrumentos internacionales y nacionales de derechos humanos. Pero volvemos a insistir, un mayor detalle sobre este tema excede los límites de este trabajo. Podríamos decir que el tratamiento de la temática de la protección de datos personales en el marco de la OEA se inicia en el año 2000, cuando el Comité Jurídico Interamericano, Órgano asesor en materia jurídica, presenta el documento Derecho a la Información: Acceso y protección de la información y datos personales en formato electrónico. 18 En el año 2005, la Asamblea General de la OEA solicitó al Comité Jurídico Interamericano que prosiga realizando estudios sobre la materia con base en la legislación comparada. 19 Al año siguiente, la Asamblea General encomendó al Departamento de Derecho Internacional de la OEA que elabore un estudio con recomendaciones sobre el tema del acceso a la información pública y la protección de datos personales y solicitó al Comité Jurídico Interamericano que prosiga con sus estudios y actualice el documento elaborado en el año En 2007 la Asamblea General reiteró estos mandatos COMITÉ JURÍDICO INTERAMERICANO, Ibid. Este documento fue revisado en varias oportunidades por el Comité Jurídico Interamericano, ya sea por mandato de la Asamblea General como por iniciativa propia. La última versión del mismo y por lo tanto la más actualizada es del año 2007, documento CJI/doc.25/00 rev ORGANIZACIÓN DE LOS ESTADOS AMERICANOS, ASAMBLEA GENERAL. Actas y Documentos, OEA/Ser.P/XXXV-O.2, 24 de octubre de 2005, volumen 1, p Resolución AG/ RES.2121 (XXXV-O/05) titulada Acceso a la Información Pública: Fortalecimiento de la Democracia. 20 ORGANIZACIÓN DE LOS ESTADOS AMERICANOS, ASAMBLEA GENERAL. Actas y Documentos, OEA/Ser.P/XXXVI-O.2, 9 de noviembre de 2006, volumen 1, p Resolución AG/ RES.2252 (XXXVI-O/06) titulada Acceso a la Información Pública: Fortalecimiento de la Democracia. 21 ORGANIZACIÓN DE LOS ESTADOS AMERICANOS, ASAMBLEA GENERAL. Actas y Documentos, OEA/Ser.P/XXXVII-O.2, 22 de octubre de 2007, volumen 1, p Resolución AG/

10 IX ANUÁRIO DE DIREITO INTERNACIONAL En 2008, la Asamblea General encomendó al Departamento de Derecho Internacional que elabore un estudio con recomendaciones sobre el tema específico de la protección de datos personales, tomando como base los aportes de los Estados miembros, los órganos del sistema interamericano y la sociedad civil. 22 En atención a dicho mandato, dicho Departamento presentó en el año 2010 el documento Principios y Recomendaciones Preliminares sobre la Protección de Datos Personales, el que fue remitido a la Comisión de Asuntos Jurídicos y Políticos del Consejo Permanente para su tratamiento. 23 En 2011, la Asamblea General le hizo un nuevo encargo al Departamento de Derecho Internacional, esta vez la elaboración de un estudio comparativo sobre los distintos regímenes jurídicos, políticas y mecanismos de aplicación existentes para la protección de datos personales, inclusive las leyes, reglamentos y autorregulaciones nacionales, con miras a explorar la posibilidad de un marco regional en esta área. 24 También encomendó al Comité Jurídico Interamericano que presente un documento de principios de privacidad y protección de datos personales tomando en cuenta los documentos preparados por el Departamento de Derecho Internacional. En atención a los mandatos precedentes, el Departamento de Derecho Internacional presentó en 2012 el documento Estudio comparativo sobre los distintos regímenes jurídicos, políticas y mecanismos de aplicación existentes para la protección de datos personales, inclusive las leyes, reglamentos y autorregulaciones nacionales, con miras a explorar la posibilidad de un marco regional en esta área. 25 Por su parte, el Comité Jurídico Interamericano aprobó una resolución conteniendo propuestas para una declaración de principios de privacidad y protección de datos personales en las Américas, el cual examinaremos más adelante. 26 En respuesta a ello, ese mismo año, la Asamblea General encomendó al Consejo Permanente que, a través de su Comisión de Asuntos Jurídicos y Políticos, prevea en su agenda el análisis de los estudios recibidos y considere la posibilidad de un marco regional en esta área, teniendo en cuenta la revisión en curso de otros instrumentos internacionales en la materia. 27 Como seguimiento a dichos mandatos, la Comisión de Asuntos Jurídicos y Políticos celebró una sesión el 13 de noviembre de 2012 RES.2288 (XXXVII-O/07) titulada: Acceso a la Información Pública: Fortalecimiento de la Democracia. 22 ORGANIZACIÓN DE LOS ESTADOS AMERICANOS, ASAMBLEA GENERAL. Actas y Documentos, OEA/Ser.P/XXXVIII-O.2, 14 de octubre de 2008, volumen 1, p Resolución AG/ RES.2418 (XXXVIII-O/08) titulada Acceso a la Información Pública: Fortalecimiento de la Democracia. 23 CONSEJO PERMANENTE Principios y recomendaciones preliminares Ibid. 24 ORGANIZACIÓN DE LOS ESTADOS AMERICANOS, ASAMBLEA GENERAL. Actas y Documentos, OEA/Ser.P/XLI-O.2, 24 de octubre de 2011, volumen 1, p Resolución AG/RES.2661 (XLI-O/11) titulada Acceso a la Información Pública y Protección de Datos Personales. Esta es la primera vez que en el título de la resolución aparece mencionado el tema de la protección de datos personales. 25 CONSEJO PERMANENTE Comparative study Ibid. 26 ORGANIZACIÓN DE LOS ESTADOS AMERICANOS, COMITÉ JURÍDICO INTERAMERICANO. Informe Anual del Comité Jurídico Interamericano a la Asamblea General 2012, OEA/Ser.Q, CJI/ doc.425/12, 10 de agosto de 2012, p. 43. Documento CJI/RES.186 (LXXX-O/12). 27 El texto oficial de la resolución AG/RES.2727 (XLII-O/12) titulada Acceso a la Información Pública y Protección de Datos Personales se puede encontrar en la página resoluciones-declaraciones.asp

11 para considerar el tema. Como producto de las discusiones que se produjeron en el ámbito de esta Comisión, la Asamblea General, en 2013, le dio un nuevo mandato al Comité Jurídico Interamericano, esta vez, formular propuestas a la Comisión de Asuntos Jurídicos y Políticos sobre las distintas formas de regular la protección de datos personales incluyendo un proyecto de ley modelo sobre protección de datos personales, tomando en cuenta los estándares internacionales alcanzados en la materia. 28 Debemos poner de relieve que la Asamblea General, al otorgar este nuevo mandato, no ha tenido como intención solicitar como única alternativa la preparación de una ley modelo sobre la materia, sino la formulación de propuestas sobre las distintas formas de regular la protección de datos personales. Entre estas diversas formas se hace mención expresa a un proyecto de ley modelo, pero el Comité Jurídico Interamericano bien podría referirse a otras posibles formas de regulación, como por ejemplo, un conjunto de principios más desarrollados que los propuestos en 2012, una guía legislativa, e incluso, aunque es poco previsible, una convención interamericana. Creemos, por las discusiones que se han llevado a cabo hasta el momento en el seno del Comité Jurídico Interamericano, así como entre este Órgano y expertos de otros organismos internacionales, que el camino que seguirá el Comité Jurídico es el de la propuesta de una guía legislativa orientadora para que sobre esta base los Estados miembros de la Organización adopten eventualmente legislación interna en la materia. Este es pues el mandato más reciente que se ha generado en el seno de la Asamblea General y el más reciente que ha recibido el Comité Jurídico Interamericano. Este Órgano, en su período ordinario de sesiones correspondiente a marzo de 2014, tuvo ante sí un primer informe presentado por el relator del tema, sin embargo no finalizó la consideración del mismo. Teniendo en cuenta que el próximo período ordinario de sesiones del Comité Jurídico tendrá lugar sólo en agosto de 2014, y que el próximo período ordinario de sesiones de la Asamblea General se celebrará dos meses antes, en junio de 2014, todo hace prever que la Asamblea renovará el mandato al Comité Jurídico y éste preparará un informe final para que sea considerado por la Asamblea General en junio de Por mucho tiempo el tema de la protección de datos personales, en el marco de la OEA, ha estado ligado al del acceso a la información pública. Es más, es sólo después de varios años que la Asamblea General decidió incluir en el título de sus resoluciones la referencia a la protección de datos personales junto al del acceso a la información, lo que demuestra que poco a poco ha venido ganando más importancia e interés la temática que ahora nos ocupa. La redacción de la Ley Modelo Interamericana sobre Acceso a la Información Pública y su Guía de Implementación en 2010 cerró una etapa muy importante en el estudio de este tema en el seno de la Organización. Hoy en día la atención se está centrando más en el 28 El texto oficial de la resolución AG/RES.2811 (XLIII-O/13) titulada Acceso a la información pública y protección de datos personales se puede encontrar en la página resoluciones-declaraciones.asp Debemos tener en cuenta que la Asamblea General se reúne regularmente una vez al año, en el mes de junio, y el Comité Jurídico Interamericano lo hace dos veces por año, en los meses de marzo y agosto.

12 IX ANUÁRIO DE DIREITO INTERNACIONAL desarrollo de algún instrumento en el tema de la protección de datos personales cuya evolución seguramente seguirá las mismas etapas que siguió el tema del acceso a la información pública, culminando en un instrumento de naturaleza jurídica. Existen pues cuatro documentos de referencia importantes y que consagran la visión que sobre la protección de datos personales tiene la OEA. El primero de ellos, el documento elaborado por el Comité Jurídico Interamericano en 2000 y cuya versión revisada 2 se aprobó en También debemos tener en cuenta los dos documentos presentados por el Departamento de Derecho Internacional en 2010 y 2012 en respuesta a sendos mandatos de la Asamblea General de la Organización. Pero quizás el documento más importante es el que aprobó el Comité Jurídico Interamericano en 2012, y que contiene una propuesta de principios sobre privacidad y protección de datos personales en las Américas. Teniendo en cuenta el rol que juega este Comité en la Organización y la autoridad jurídica que ostenta en el Hemisferio, podemos decir que este instrumento incorpora estándares internacionales que deberán ser considerados como referentes concretos necesarios para cualquier esfuerzo de codificación ya sea a nivel internacional como interno en los países de la región. 30 Ahora examinaremos con detenimiento estos principios luego de introducir algunos conceptos básicos relativos a esta temática. 4. Entendiendo los conceptos básicos de la protección de datos personales Antes de entrar al tratamiento más específico de la protección de datos personales, es importante hacer alusión a la conceptualización de los términos básicos que vamos a emplear. En ese sentido, será importante comprender el significado de lo que es un dato de carácter personal, entender lo que estamos hablando cuando nos referimos al tratamiento de dichos datos personales, quiénes son la persona interesada, la persona responsable y el prestador de los servicios de tratamiento, qué es al aviso de privacidad, y qué entendemos por datos sensibles. Datos de carácter personal: La definición más aceptada y la que recoge la Declaración de Madrid referida anteriormente es que un dato de carácter personal es cualquier información concerniente a una persona física. Esta persona física debe ser identificada o debe poder ser identificada a través de los medios que puedan ser razonablemente utilizados para tal efecto. El concepto de dato de carácter personal es pues amplio entendido como cualquier tipo de información referida a la persona de que se trate. Entre otras cosas, le dan identidad, la describen, precisan su origen, edad, lugar de residencia, trayectoria académica, laboral o profesional. También pueden describir aspectos más sensibles como su forma de pensar, estado de salud, características físicas, ideología o vida sexual, entre otros. Algunas legislaciones sin embargo han sido ambiguas a este respecto o han incorporado en sus definiciones los datos de entidades jurídicas determinadas o determinables. Tratamiento de datos personales: Siguiendo también la Declaración de 30 Hemos sostenido en otras oportunidades que el Comité Jurídico Interamericano, siendo un Órgano colegiado cuyos miembros son juristas de la más alta experiencia en el Hemisferio, y además son elegidos por la Asamblea General de la OEA, representan la doctrina internacional más calificada en la región, y por ende, sus informes y resoluciones pueden ser considerados como fuente auxiliar del derecho internacional.

13 Madrid, el tratamiento de los datos personales es cualquier operación o conjunto de operaciones que se aplique a los datos de carácter personal. Entre estas operaciones podemos incluir la recolección de los datos, su conservación, utilización, revelación, transferencia o eliminación. El concepto de tratamiento contiene pues una gran variedad de acciones ya sean individuales o compuestas. Por otro lado, dicha operación o conjunto de operaciones puede ser o no automatizada, es decir, la protección de los datos personales no se limita únicamente a situaciones en que se emplea la tecnología. El tratamiento de los datos personales puede a su vez incluir la transferencia ya sea a nivel nacional como internacional y puede ser efectuado tanto por entes públicos como privados. En general, el concepto de tratamiento es clave ya que quien trata datos personales, trata datos ajenos, no propios, y su uso debe ser hecho con un estricto respeto por los derechos del interesado y por su poder de disposición. El interesado, la persona responsable y el prestador de servicios de tratamiento: En el tratamiento de datos personales incluida su transferencia nacional e internacional, hay tres sujetos que cobran relevancia. El primero de ellos es el interesado que según la Declaración de Madrid es la persona física cuyos datos de carácter personal son objeto de tratamiento o transferencia. Se trata pues del titular de los datos. Por otro lado la persona responsable, según la misma Declaración, es la persona física o jurídica, pública o privada que, sola o en compañía de otros, toma las decisiones sobre el tratamiento. Es interesante notar que algunas legislaciones, como lo hemos visto anteriormente, tienen leyes separadas para los datos tratados por el Estado y aquellos tratados por entidades privadas. Sin embargo, creemos que debe existir, al menos de forma elemental, un cuerpo de principios único aplicable a ambos. También se debe señalar que la persona responsable es distinta al prestador de servicios de tratamiento que es la persona física o jurídica que lleva a cabo el tratamiento de datos de carácter personal por cuenta de la persona responsable pero que no toma las decisiones sobre la operación. Tener en cuenta esta diferenciación será importante al momento de establecer las responsabilidades del caso. El aviso de privacidad: Se trata de un documento físico, electrónico o en cualquier otro formato generado por la persona responsable y que es puesto a disposición del interesado previamente o en el momento del tratamiento de sus datos personales. Este aviso de privacidad, como veremos después, debe contener una serie de requisitos e información que garanticen los derechos del titular de los datos personales. Los datos sensibles: Según la Declaración de Madrid, los datos sensibles son aquellos datos de carácter personal que afectan a la esfera más íntima del interesado y cuya utilización indebida puede dar lugar a una discriminación ilegal o arbitraria, o conllevar un riesgo grave para el interesado. La propia Declaración señala que pueden ser considerados sensibles aquellos datos de carácter personal que puedan revelar aspectos como el origen racial o étnico, las opiniones políticas o las convicciones religiosas o filosóficas, y los datos relativos a la salud o a la sexualidad, entre otros. La extensión de los aspectos variará de legislación en legislación, pues algunas incluyen además de forma taxativa las actividades sindicales y los antecedentes penales. En todo caso, se considera que se deben

14 IX ANUÁRIO DE DIREITO INTERNACIONAL fijar condiciones adicionales para el tratamiento de datos de carácter personal considerados sensibles, tales como el consentimiento explícito para su divulgación (no siendo suficiente el consentimiento tácito como en algunos casos) o la existencia de una prohibición general contra el tratamiento de estos datos a menos que exista una excepción en la ley que si lo permita. Uno de los principios adoptados por el Comité Jurídico Interamericano se refiere específicamente a los datos sensibles, estableciendo que cierto tipo de información, teniendo en cuenta su sensibilidad y en contextos particulares, es especialmente susceptible de causar daños materiales a las personas si se hace mal uso de ellos. Añade el Comité Jurídico que las personas o entidades encargadas de la información deberían adoptar medidas de privacidad y de seguridad que sean acordes con la sensibilidad de los datos y su capacidad de hacer daño a los individuos sujetos de la información. Sobre la base de estos conceptos introductorios analizaremos ahora una propuesta de principios sobre la temática. 5. Los principios aprobados por el Comité Jurídico Interamericano Como habíamos señalado anteriormente, en marzo de 2012 el Comité Jurídico Interamericano aprobó una Propuesta de Principios de Privacidad y Protección de Datos Personales en las Américas, documento que fue puesto a la atención de la Asamblea General de la OEA. Así, sobre la base de su trabajo previo en la materia, el Comité Jurídico propuso 12 principios con el objetivo de evitar daños a las personas derivados de la obtención o uso incorrecto o innecesario de datos personales e información personal. Para ello se basó en tres fundamentos importantes, a saber, la importancia de la privacidad personal como un derecho humano fundamental; la importancia de la libertad de expresión y de opinión y del libre flujo de la información entre fronteras; y, la emergencia de una economía de la información global basada en el desarrollo de nuevas formas de información digital y de tecnología de la comunicación. El Comité Jurídico Interamericano estableció asimismo que estos 12 principios están interrelacionados y deben interpretarse como un conjunto global. Los doce principios que desarrolla el Comité Jurídico están referidos a los propósitos legítimos y justos, la claridad y el consentimiento, que sean pertinentes y necesarios, al uso limitado y la retención, al deber de confidencialidad, a la protección y seguridad, a la fidelidad de la información, al acceso y corrección, a la información sensible, a la responsabilidad, al flujo transfronterizo de información y la consecuente responsabilidad, y a la publicidad de las excepciones. Para efectos metodológicos, y evitar ser repetitivos, vamos a tratar el contenido de estos principios en la siguiente sección en la que intentaremos además sistematizar la importante experiencia internacional señalada anteriormente y exponer las bases para una propuesta general sobre el contenido de una eventual guía legislativa en materia de protección de datos personales. Debemos señalar que esta propuesta está dirigida a aplicarse a la protección de los datos personales tanto en manos de entidades estatales como privadas, y tanto a los casos de datos

15 en formato electrónico como a los datos que no están en dicho formato. También están dirigidos a aplicarse en todo el proceso de tratamiento, desde su recolección hasta su eventual transferencia, sea esta dentro de las fronteras de un país como de manera transfronteriza. 6. Hacia un marco normativo en las Américas en materia de protección de datos personales Mucho se ha debatido el tema de cómo los foros y las Organizaciones Internacionales pueden coadyuvar con el desarrollo normativo interno en materia de protección de datos personales en los distintos países, en particular, en los países de nuestra región. Se han intercambiado ideas sobre la conveniencia o no de una convención interamericana sobre la materia, pasando por la redacción de principios básicos, hasta la posibilidad de contar con una Ley Modelo o una Guía Legislativa que incluya orientaciones concretas sobre cómo desarrollar dicha legislación interna o, en su caso, mejorarla. Como veíamos anteriormente, los diversos regímenes que co-existen actualmente en las Américas en materia de protección de datos personales, hace que se vea con cierto pesimismo la utilidad que podría tener una Convención Interamericana, instrumento jurídico que contendría una visión más bien rígida sobre la materia. Nosotros nos inclinamos, dada la complejidad del tema, por la posibilidad de que dentro del marco de la OEA se inicie un proceso de redacción de una Guía Legislativa lo suficientemente flexible que permita establecer una serie de estándares que sirvan de orientación para construir un conjunto normativo interno en los países de la región, contribuyendo también así a una paulatina armonización entre los distintos sistemas jurídicos en el continente. Mucho se ha debatido en la doctrina internacional y entre los académicos y expertos en la materia sobre cuáles serían estos principios básicos. Diversos foros internacionales ya han adoptado los principios que consideran apropiados. Su número varía, así como su nomenclatura. En las próximas páginas intentaremos dar nuestra visión de cuáles podrían ser los principios aplicables a nuestra región. Nuestro aporte consistirá principalmente en agruparlos metodológicamente de tal manera de identificar únicamente aquellos que son esenciales y lo suficientemente generales como para tener una aplicación flexible a las realidades y necesidades propias de cada país. Cuando analizamos los principios ya adoptados en diversos foros internacionales vemos que algunos de estos se interrelacionan de tal manera que recogen conceptos múltiples que, a su vez, se vuelven a diseminar en varios de ellos. Nuestra propuesta pues busca mayor claridad y simplicidad en la formulación de tal manera de contribuir a un debate más fructífero. En efecto, hemos identificado hasta siete principios que desarrollaremos a continuación. A pesar de las diferencias que ya advertimos anteriormente con relación a los regímenes existentes en Europa, Estados Unidos y América Latina, estos principios fundamentales, aunque con otra nomenclatura u otra presentación, han servido hasta ahora de base para la implementación de legislación sobre la protección de datos personales en todo el mundo.

16 IX ANUÁRIO DE DIREITO INTERNACIONAL A. El principio de legalidad El principio de legalidad tiene como propósito orientar la base normativa de esta temática de tal forma de establecer que el tratamiento y la transferencia de los datos personales (medios utilizados, finalidad, entre otros) deben llevarse a cabo de conformidad con lo que establece la ley y los principios y normas reconocidos por el derecho internacional, con apego al principio de la buena fe y con respeto de los derechos del interesado. El primer principio establecido por el Comité Jurídico Interamericano establece que los datos personales y la información personal deben ser recopilados solamente por medios justos y legales. Creemos que nuestra propuesta anterior es más completa en la medida en que se refiere a todo el proceso de tratamiento y transferencia de datos, no únicamente a la recopilación, y determina mejor los términos utilizados por el Comité de justos y legales al proponer como referencia la ley, las normas y principios del derecho internacional, la buena fe y los derechos del individuo. La Declaración de Madrid por su lado, bajo el que denomina principio de lealtad, establece en la misma línea de ideas que el tratamiento de datos de carácter personal se deberá realizar de manera leal, respetando la legislación nacional aplicable y los derechos y libertades de las personas, de acuerdo a lo previsto en dicho Documento y con los fines y principios de la Declaración Universal de Derechos Humanos y del Pacto Internacional de Derechos Civiles y Políticos. En buena cuenta pues, lo que este principio persigue es que el tratamiento de datos personales se realice de conformidad con las normas que al afecto sean aplicables así como dentro de un marco de buena fe. B. El principio del consentimiento El principio del consentimiento debería orientar la normativa en el sentido de que el tratamiento de los datos personales así como su transferencia deben contar con el consentimiento otorgado por el titular de los datos o persona interesada, en el marco de algunos requisitos esenciales y salvo algunas excepciones que veremos a continuación. El Comité Jurídico Interamericano establece en el segundo de sus principios que, como regla general, los datos personales y la información personal solamente deben ser recopiladas con el conocimiento o el consentimiento de la persona a que se refieran. Nosotros creemos que no basta el conocimiento sino que el requisito del consentimiento debe estar presente en la mayoría de supuestos, salvo las excepciones establecidas claramente en la ley. El consentimiento, como nos lo informa la doctrina es, para estos efectos, la manifestación de la voluntad del titular de los datos mediante la cual se presta su aquiescencia para el tratamiento y transferencia de los mismos. En cuanto a los requisitos esenciales de la prestación de este consentimiento,

17 estos tienen que ver con la forma en que se presta dicho consentimiento y su validez jurídica en el sistema interno del país de que se trate, es decir, deberá haber una remisión a la normativa interna para mantener la simplicidad de la enunciación. No obstante, existen algunos temas básicos que podrían incorporarse al principio general. Así por ejemplo, que el consentimiento tenga que ser necesariamente expreso (en contraposición al consentimiento tácito) cuando se trate de la protección de ciertos datos financieros o patrimoniales, o en el supuesto del tratamiento de datos sensibles. Otro componente que podría incorporarse al principio general y que guarda relación con el tema de la prueba del otorgamiento del consentimiento es la exigencia de que éste sea previo, libre e inequívoco. Esto implica que el responsable tenga que adoptar los procedimientos oportunos para garantizar la gestión del consentimiento, de modo que pueda probar el cumplimiento de sus obligaciones. En el caso del consentimiento tácito, se podría establecer que el responsable puede probar su existencia mediante la puesta a disposición al interesado del aviso de privacidad respectivo. Por último, se podría establecer que no medie ninguna causa que afecte la manifestación de voluntad (error, mala fe, violencia o dolo). Ahora bien, también sería importante que quede contemplado que el consentimiento pueda ser revocado por el individuo en cualquier momento. Para dicha revocación no se pueden exigir más requisitos que los que fueron necesarios para la previa prestación del consentimiento, por ejemplo, utilizando los mismos medios. Al amparo de esta premisa, es necesario que el responsable establezca en el aviso de privacidad los mecanismos para que el titular pueda revocar dicho consentimiento. Estos mecanismos deben ser sencillos y gratuitos. Generalmente, en el caso particular de menores, las leyes establecen la edad mínima en que ellos pueden manifestar válidamente su consentimiento y en ese sentido, pueden consentir válidamente al tratamiento de sus datos. Este es un tema que adquiere relevancia por ejemplo en el uso de las redes sociales. Como señalamos anteriormente, también pueden existir excepciones al principio del consentimiento al tratamiento de datos y éstas deben estar determinadas claramente en la ley. En estos casos específicos, el responsable no tendría la obligación de obtener el consentimiento del titular ni tendría que probar que obtuvo de alguna manera dicho consentimiento. Entre estos casos, la doctrina y varias legislaciones nacionales se refieren a los casos en que los datos figuran ya en fuentes de acceso público; cuando existe una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; cuando el tratamiento es indispensable para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento según lo establece la ley, y siempre que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente; o cuando media resolución de una autoridad competente, entre otros. Por su lado, las excepciones al principio del consentimiento para los casos de transferencia nacional o internacional deben estar determinadas por ley o en un tratado internacional. Entre ellas, la doctrina y la legislación comparada cita los siguientes supuestos: cuando la transferencia es necesaria para la prevención o el

18 IX ANUÁRIO DE DIREITO INTERNACIONAL diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios necesarios; cuando es efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas; y, cuando es necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia, o si es necesaria para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, entre otros. Este principio pues pone de relevancia la necesidad de que el consentimiento sea el elemento que legitime el tratamiento de los datos personales, salvo limitadas excepciones establecidas claramente en la ley. C. El principio de finalidad El principio de finalidad es uno de los principios más fundamentales en el tratamiento de esta temática, no sólo por su importancia sino por su transversalidad con relación a los otros principios. Tal como se expresa en la Declaración de Madrid, el tratamiento de datos de carácter personal deberá limitarse al cumplimiento de las finalidades determinadas por la persona responsable. Esta finalidad o finalidades pues deben ser explícitas y estar determinadas al momento de obtenerse los datos para poder dar cumplimiento a este estándar. Por otro lado, dichas finalidades no pueden ser cualesquiera sino que deben enmarcarse dentro del principio de legalidad antes enunciado. El principio de finalidad contiene, a nuestro juicio, otro principio comúnmente llamado principio de proporcionalidad. Según dicho principio, los datos personales objeto de tratamiento deben ser necesarios, adecuados y relevantes con relación a las finalidades previstas. Es decir que pedir más datos personales de los que sean necesarios o pedir datos personales que nada tienen que ver con la finalidad para la que van a ser tratados supone que el tratamiento no resulte proporcional. Este principio supone también que el responsable deberá realizar esfuerzos para limitar el período de tratamiento de los datos a efecto que sea el mínimo indispensable para el cumplimiento de la finalidad. En esta línea de ideas, la Declaración de Madrid establece al respecto que el tratamiento de datos de carácter personal deberá circunscribirse a aquéllos que resulten adecuados, relevantes y no excesivos en relación con las finalidades previstas. En particular, la persona responsable deberá realizar esfuerzos razonables para limitar los datos de carácter personal tratados al mínimo necesario. De este modo, cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades que legitimaron su tratamiento, deberán ser cancelados o convertidos en anónimos. El Comité Jurídico Interamericano, en el primero de sus principios, establece que los datos personales y la información personal deben ser recopilados solamente para fines legítimos (principio de legalidad), y en el marco del tercer principio indica que los datos y la información deben ser verídicos, pertinentes

19 y necesarios para los fines expresos de su recopilación (principio de calidad y necesidad). También en el cuarto principio el Comité Jurídico se refiere una vez más a la finalidad al establecer que los datos personales y la información personal deben ser mantenidos y utilizados solamente de manera legítima no incompatible con el fin o fines para los cuales se recopilaron. Este requisito se cumple si el interesado brinda su consentimiento inequívoco para que la finalidad varíe a lo largo del tratamiento. El principio de finalidad brinda así el marco en el cual se puede legitimar el tratamiento de datos personales así como el alcance y los límites de dicho tratamiento en virtud de la necesidad, adecuación y relevancia de los datos. D. El principio de transparencia El principio de transparencia está relacionado con el deber de mantener al interesado informado de los fines para los que se recaba sus datos personales y, en todo momento, de la manera en que están siendo tratados sus datos. Por ejemplo, en cuanto a la finalidad, el Comité Jurídico Interamericano, en su propuesta de principio segundo, establece que se deben especificar los fines para los cuales se recopilan los datos personales y la información personal en el momento en que se recopilen. Un corolario de este deber es que, en el caso de que estos datos provengan de una fuente ya pública, un tratamiento distinto a la finalidad para la cual se hicieron públicos ameritaría la obligación de información al titular de los datos. Así, en el caso de que un tercero intentara usar para fines comerciales la foto de una persona colgada en una red social. La Declaración de Madrid establece que toda persona responsable debe contar con políticas transparentes en lo que a los tratamientos de datos de carácter personal que realice se refiere, de lo que se extrae que el principio de transparencia si bien se relaciona estrechamente con el principio de finalidad, va más allá del mismo. En efecto, el principio de transparencia se materializa a través de un anuncio de privacidad, generado por el responsable, el cual debe ponerse a disposición del titular al momento de la recolección de los datos personales. Este aviso de privacidad es un documento físico, electrónico o contenido en cualquier otro formato, siempre que garantice el deber de informar al titular. Según la doctrina y la legislación comparada, el aviso de privacidad debe cumplir con algunos requisitos mínimos, entre otros, ser sencillo; ser expresado en lenguaje claro y comprensible; contener una estructura y diseño que facilite su entendimiento; contener la identidad y domicilio del responsable; contener la finalidad y las características principales del tratamiento de los datos, especificando las finalidades relativas al tratamiento para fines mercadotécnicos, publicitarios o de prospección comercial; contener las opciones y medios que el responsable ofrece a los titulares para limitar el uso o divulgación de los datos; contener los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición; contener el procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad; contener una cláusula en la que se indique si el

20 IX ANUÁRIO DE DIREITO INTERNACIONAL titular acepta o no la transferencia de sus datos; contener la identificación de los destinatarios a los que se prevé ceder los datos; entre otros. En buena cuenta, se puede dejar a la legislación interna la tarea de determinar dichos requisitos. Pero cabe notar que los ejemplos anteriores evidencian que el principio de finalidad y de transparencia no son lo mismo. En el tratamiento de este principio, la Declaración de Madrid se refiere a un caso específico que nos parece vale la pena señalar, y es que la claridad y sencillez de la información son requisitos que se hacen más necesarios en aquellos tratamientos dirigidos específicamente a menores de edad. En buena cuenta, este principio se orienta a establecer que la persona interesada debe contar con la mayor cantidad de información relativa al tratamiento de sus datos personales ya sea que estos hayan sido puestos a disposición voluntariamente por el titular o hayan sido obtenidos de alguna otra manera por el responsable. E. El principio de la calidad y necesidad de los datos El Comité Jurídico Interamericano estableció en su séptimo principio que los datos personales y la información personal deben mantenerse fieles y actualizados hasta donde sea necesario para los propósitos de su uso. Este principio está pues vinculado, en primer lugar, con la veracidad y exactitud con la que se mantienen los datos personales, de forma que se refleje fielmente y en todo momento la realidad de la información tratada. Un dato inexacto equivale a un dato falso por lo tanto estos deben ser exactos, completos, correctos y actualizados según se requiera para el cumplimiento de la finalidad para la cual son tratados. La doctrina ha señalado que se cumple con el principio de la calidad de los datos cuando éstos son proporcionados directamente por el titular, hasta el momento en que éste manifieste o acredite lo contrario, o bien hasta el momento en que el responsable cuente con evidencia objetiva que lo contradiga. De esto se deriva que cuando la información no proviene del titular de los datos, el responsable deberá asegurarse de manera proactiva de que aquella resulte exacta y actualizada. En ambos casos, y en la medida de lo posible, el responsable deberá adoptar las medidas razonables para que la información responda a esa veracidad mientras persiste en su tratamiento. F. El principio de responsabilidad El Comité Jurídico Interamericano en su décimo principio estableció que las personas o entidades encargadas de la información adoptarán las medidas correspondientes para el cumplimiento de dichos principios. Asimismo, en su décimo primer principio, señaló que los Estados miembros cooperarán entre sí en la creación de mecanismos y procedimientos que aseguren que aquellas personas o entidades encargadas de la información que operen en más de una jurisdicción puedan ser efectivamente hechas responsables por el cumplimiento de estos principios.