Intimidad personal e interoperabilidad: el reto de proteger al individuo sin debilitar el gobierno electrónico

Transcripción

1 Intimidad personal e interoperabilidad: el reto de proteger al individuo sin debilitar el gobierno electrónico Roberto Laguado Giraldo Suárez Beltrán Abogados-Consultores Bogotá Colombia 1

2 B-BI-BII y Protección de Datos Personales 2

3 Un modelo contaminante las tecnologías de la información y de la comunicación asumieron con frecuencia características de tecnologías sucias, aproximándose más bien al modelo de las tecnologías industriales contaminantes 3

4 Límite entre lo público y lo privado Sociedad de la Información Sociedad del control y la vigilancia 4

5 Aspectos Perceptibles Una relación desabalanceada Aspectos Imperceptibles

6 Límites entre el derecho a la información y la privacidad individual Toda la información n puede estar a disposición n de todos, o debemos distinguir entre información n disponible y no disponible? 6

7 Límites entre el derecho a la información y la privacidad individual Datos Personales Sensibles Datos Personales no sensibles 7

8 Niveles de protección legal de los datos Mayor grado de privacidad Necesidad de Protección Legal

9 Panorama Internacional de Protección de Datos Personales OCDE Directrices que Regulan la Protección de la Privacidad y el Fruto Transfronterizo de Datos Personales Declaración sobre Flujo de Datos Transfronterizos Inspiran la producción normativa en Latinoamérica 9

10 Panorama Internacional de Protección de Datos Personales Estados Unidos Esquema de autoregulatorio y sectorial (Consumidor, Cámaras de Vigilancia) Acuerdos contractuales Efectos del 11 de Septiembre han reducido la privacidad del ciudadano Autocontrol empresarial en lugar de norma generales Safe Harbor 2000 (EEUU UE) Privacy Act 1974 que requiere actualización 10

11 Panorama Internacional de Protección de Datos Personales Comunidad Europea Directiva Sobre Tratamiento de Datos Personales 95/46/CE Catálogo de principios Restricción al flujo transfronterizo de datos con países no comunitarios: nivel adecuado de protección so pena de sanciones. GT29- Governanza. Verifica el cumplimiento de la Directiva y acredita niveles adecuados de terceros países. Conformado por los Directores de Oficicinas de PDP. 11

12 Panorama Internacional de Protección de Datos Personales Latinoamérica Ausencia de instituciones protectoras de datos personales, poniendo en cabeza de los jueces la tutela y garantía a las libertades individuales asociadas a la protección de datos personales. Enfasis en el dato crediticio, el derecho al olvido, el control del dato personal. Alcance diferente del habeas data, respecto de su oportunidad, objeto, sujetos activos y pasivos. 12

13 Panorama Internacional de Protección de Datos Personales Latinoamérica Interpretaciones diferentes sobre la procedencia del consentimiento para la recolección y cesión de datos. Diferente alcance del concepto de datos sensibles : Tales como. ( ) y en general Taxativos Enunciativos En ocasiones se exige consentimiento Rigor y procedencia de sanciones diferentes. 13

14 Panorama Internacional de Protección de Datos Personales Latinoamérica Avances regulatorios Desarrollo Constitucional masivo Chile (1999) y Argentina (2001) normas generales no sectoriales. Éste último país es el único latinoamericano que ha sido certificado por el GT29 (UE). 14

15 Panorama Internacional de Protección de Datos Personales Latinoamérica Uruguay (2004), Perú (2001), México (2001), Panamá (2002) ha regulado los datos comerciales y crediticios Colombia: generaba esperanza. Finalmente ley crediticia (2007) 15

16 Safe Harbor Contratos Certificación del GT29 16

17 Límites del e-gov e ante los datos Restricción a la recolección y tratamiento de datos personales 1.Debe mediar el consentimiento del titular, salvo: 1.1 Los datos son obtenidos de fuentes de acceso público irrestricto; 1.2 Se recolecten para el ejercicio de funciones propias de las entidades públicas o en virtud de un deber legal; 1.3 Se trate de listados cuyos datos personales se limiten a los siguientes: nombre, documento de identidad, régimen y categoría de responsabilidad tributaria, seguridad social o previsional, profesión u ocupación, fecha de nacimiento y domicilio; 1.4 Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento o; 1.5 Su titular los haya hecho públicos previamente.

18 Límites del e-gov e ante los datos Cesión de datos (interoperabilidad) 2. Los datos personales podrán cederse para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos. Podrá obviarse el consentimiento: 2.1 Cuando así lo disponga una ley; 2.2 Para el ejercicio de funciones propias de las entidades públicas o en cumplimiento de un deber legal; 2.3 Llevado a cabo directamente entre dependencias de entidades públicas de forma directa, en cumplimiento de sus respectivas competencias; 2.4 Se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados; 2.5 Disociaciando la información, de modo que los titulares de los datos sean inidentificables.

19 Límites del e-gov e ante los datos Restricción a la recolección y administración de datos personales sensibles 1. Ninguna persona puede ser obligada a proporcionar datos sensibles, 2. Está prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles, salvo los registros que las asociaciones religiosas, científicas y sindicales construyan para su desarrollo. 3. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento con el consentimiento de su titular o en las siguientes circunstancias: 3.1 El tratamiento sea necesario para salvaguardar la vida del interesado o de otra persona, en el supuesto de que el interesado esté física o jurídicamente incapacitado para dar su consentimiento, 3.2 El tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos,

20 Límites del e-gov e ante los datos 3. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento con el consentimiento de su titular o en las siguientes circunstancias: 3.3 El tratamiento sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, 3.4 Las necesarias para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos 3.5 Por motivos de interés público, 3.6 Cuando se trate de datos relativos a antecedentes penales o criminales, exclusivamente por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas y en estricto cumplimiento de las competencias específicas señaladas por dichas normas 3.7. Con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares, con el consentimiento de su titular. 3.8 Para el cumplimiento de un deber legal

21 Riesgos que enfrenta el e-gov ante una desbalanceada protección de datos personales 1. Ausencia de interoperabilidad local y supranacional Caso EEUU interoperabilidad de los sistemas de salud: National Health Information Network 21

22 Riesgos que enfrenta el e-gov ante una desbalanceada protección de datos personales 1. Ausencia de interoperabilidad local y supranacional Caso EEUU- EU: serán armónicos alguna vez? Un esquema de privacidad armónico constituye una expresión de interoperabilidad organizacional Proyecto E-ID de la Unión Europea Is it a citizen s right to have an e-id? or Is it a Government s right to profile EU citizens? 22

23 Riesgos que enfrenta el e-gov ante una desbalanceada protección de datos personales 2. Estancamiento o retroceso del desarrollo del E-gov JukiNet Japón: 3 años de litigio ( ) y oposición de la comunidad. Sistema de Salud - Australia: 6 años de retraso. Finalmente decidieron usar smart-cards. Administración de Seguridad Social- EEUU: el servicio volvió a hacerse por correo postal físico. NEIS (Sistema de educación escolar)-korea: huelgas de hambre por parte de ONG s. Sistema de la Superintendencia Nacional de Salud y del Sistema de Catastro Distrital de Colombia La Corte Constitucional ordenó reconstruirlos por violación a la intimidad (Sentencia T-729/02) 23

24 Riesgos que enfrenta el e-gov ante una desbalanceada protección de datos personales 3. Desconfianza por parte del cliente/ciudadano Además de la desconfianza generada por la corrupción el ciudadano debe poder estar tranquilo cuando suministra electrónicamente información para: Contratar con el Estado Cumplir obligaciones tributarias Votar Interactuar con el sistema de seguridad social Durante el censo 24

25 Caja de Herramientas para la Protección de Datos Personales 25

26 Rutina de Protección de Datos Personales 26

27 Interoperabilidad organizacional: fundamento en los principios Un consenso obviaría o reduciría las razones para regular la exportación de datos y facilitar la resolución de los problemas o conflictos de las leyes. Además, constituiría un primer paso hacia la elaboración de acuerdos internacionales vinculantes y más detallados. OCDE, Directrices que Regulan la Protección de la Privacidad y el Fruto Transfronterizo de Datos Personales

28 Los principios 1. Principio de finalidad de los datos 2. Principio de proporcionalidad y suficiencia de los datos 3. Principio de exactitud de los datos 4. Principio de conservación n de los datos 5. Principio de legitimación n para el tratamiento y consentimiento del interesado 28

29 Los Principios 6. Principio de información n y notificación 7. Principio de habeas data y participación individual: de acceso, rectificación n y cancelación de los datos. 8 Principio de Técnicas T y Salvaguardas de Seguridad y Confidencialidad 9. Principio de institucionalización n de la protección n de datos personales 10. Principio de Responsabilidad y Sanciones 11. Principio de salvaguardia equivalente en el flujo transfronterizo de datos personales 29

30 Interoperabilidad organizacional: fundamento en los principios 30

31 Conclusiones 31

32 Suarez Beltran Abogados Consultores Bogotá Colombia Roberto Laguado Giraldo 32