Principios y Recomendaciones

Transcripción

1 Principios y Recomendaciones Protección n de Datos Personales John M. Wilson Oficial Jurídico Principal Departamento de Derecho Internacional

2 Antecedentes Procesales Asamblea General: Desde 1996 estudios sobre los marcos existentes en acceso a la información y protección de datos personales Comité Jurídico Interamericano: Estudios protección de datos, informes, cuestionario y resolución

3 Antecedentes Procesales Acceso a la Información: Principios, Recomendaciones, Ley Modelo; Guía de Implementación; Programa Interamericano Protección de Datos: Solicito el presente Estudio de Principios y Recomendaciones sobre protección de datos personales

4 Antecedentes Tecnológicos Avances Tecnológicos: Computación, Internet, comercio electrónico, medicina, biotecnología Colección, Almacenamiento, transferencia, divulgación Incremento significativo en el procesamiento de los datos personales Crecimiento exponencial cada año

5 Antecedentes Legislativos Avances Legislativos: La legislación se basa en el derecho de la persona a la privacidad El origen del derecho a la privacidad varia región por región Tratamiento de la protección de datos varia país por país Tres tipos de legislación prevaleciente

6 Alternativas Legislativas Tres tipos de legislación prevaleciente Sistema Europeo: Sistema más estricto de regulaciones estatales Sistema Estadounidense: Autorregulación de las entidades privadas Habeas Data: Acceso a la información personal en manos del gobierno

7 Balance entre objetivos PROTECCIÓN derecho de privacidad FOMENTO comercio electrónico

8 Sistema Europeo Derecho Humano: El Consejo de Europa Reconoce la Privacidad como un Derecho Humano Derecho: Declaración Universal de Derechos Humanos Derecho: Pacto Internacional de ONU sobre los Derechos Civiles y Políticos Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques

9 Sistema Europeo Derecho a privacidad cubre todo aspecto Procesamiento de datos por el gobierno y entidades privadas Convenio del Consejo de Europa para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal Directiva sobre protección de datos de la Unión Europea

10 Directiva de la Unión Europea Derecho: Reconoce el derecho de los particulares a la privacidad Estándar: Establece el nivel estándar de la protección de datos para los miembros de la Unión Europea Aplicación Extraterritorial: permite transferencia de datos personales sólo cuando el país garantice un nivel de protección adecuado [de los datos]

11 Sistema de Estados Unidos Derecho: origina de la interpretación de la Constitución en la jurisprudencia de las cortes Corte Suprema ha declarado que la Constitución protege el interés de las personas de evitar la divulgación de sus asuntos personales Corte Suprema ha declarado que la privacidad no es absoluta. El interés de la persona a la privacidad se debe balancear con el interés público

12 Interés Publico INDIVIDUO derecho de privacidad PUBLICO interés s colectivo

13 Sistema de Estados Unidos Protección se limita a los datos procesados o en custodia del gobierno federal No abarca los datos procesados o en custodia de la entidades privadas Auto regulación por parte de los sectores económicos

14 Safe Harbor Sistema Voluntario al cual las empresas privadas se pueden apegar Certifica que la entidad privada establece un nivel adecuado de protección de los datos personales Requerido para las empresas que reciben datos personales de la Unión Europea Transferencias internacionales de datos personales

15 America Latina: Habeas Data Habeas Data: Acción ante el sistema judicial Permite protección de la imagen, privacidad, honor, etc., de la persona Mecanismo que otorga a la persona la facultad de detener el abuso de sus datos personales En general, permite a la persona el acceso a la información personal en las bases de datos públicas y/o privadas

16 Habeas Data No exige que el gobierno o entidades privadas protejan los datos personales por iniciativa propia Requiere que la persona agraviada presente una denuncia ante el sistema judicial Requiere que este compruebe que el procesamiento de los dato personales fue indebido Reserva como recurso legal sólo para personas a las que se compromete su privacidad No otorga un recurso legal a una persona agraviada si sus datos personales han sido transferidos del país

17 Nueva Ley Mexicana Ley Federal sobre la Protección de los Datos Personales, julio de 2010 Nueva ley regula solo los datos en custodia de actores privados Ley de Transparencia regula datos en custodia del gobierno Instituto Federal de Acceso a la Información, cobra nuevas facultades sobre Datos Personales

18 Principios y Recomendaciones Fundamento en legislaciones existentes Documentos de principios de sociedad civil Estudios y resoluciones del Comité Jurídico Interamericano Instrumentos internacionales Jurisprudencia y resoluciones judiciales

19 Principio 1: Legitimidad y Justicia Legitimidad: procesamiento de los datos personales debe ser legal y legítimo Justo: procesamiento de datos personales debe ser justo Todo procesamiento de datos personales que da lugar a discriminación contra la persona es injusto

20 Principio 2: Propósito Especifico Los datos personales deben ser procesados con un propósito específico y explícito EL propósito debe ser acorde a las expectativas razonables y consentimiento de la persona afectada Consentimiento Explicito: 1) datos sensibles; 2) uso distinto de los datos

21 Principio 3: Procesamiento Limitado Limitado: procesamiento debe ser adecuado, relevante y no excesivo con relación al propósito y sólo la cantidad mínima de datos personales para cumplir con el propósito Necesario: personales sólo será necesario si el mismo contribuye directamente a la consecución del objetivo para el cual fueron obtenidos y procesados los datos

22 Principio 4: Transparencia procesamiento debe ser transparente: información sobre la identidad del controlador de datos propósito del procesamiento a quien se podrán revelar los datos personales cómo puede ejercer sus derecho la persona cualquier otra información necesaria para el procesamiento justo de los datos personales

23 Principio 5: Rendición de Cuentas El controlador es responsable de adoptar todas las medidas necesarias que imponga la legislación o autoridad competente El controlador tiene la obligación de demostrar que cumple con las directivas necesarias para proteger los datos personales Responsabilidad personal por incumplimiento

24 Principio 6: Condiciones Necesarias Consentimiento: consentimiento libre, inequívoco e informado de la persona antes de procesar sus datos personales Intereses: se deben balancear los intereses del de la persona afectada v. del procesador Condición: relación contractual; autoridad legal; circunstancias excepcionales

25 Principio 7: Revelación Limitada Comparición de Datos a terceros requiere la notificación a la persona interesada Establecimiento de protecciones en caso de transferencia a un tercero controlador de datos Relación contractual, respecto al marco normativo existente

26 Principio 8: Transferencia Internacional Las transferencias internacionales de datos personales sólo deberán efectuarse si el país receptor ofrece el mismo nivel de protección de los datos personales Factores para considerar: 1) la naturaleza de los datos; 2) el país de origen; 3) el país receptor; 4) el propósito para el cual se procesan los datos, y 5) las medidas de seguridad vigentes para la transferencia y el procesamiento de los datos personales

27 Principio 9: Derecho de Acceso derecho de la persona a solicitar y obtener la información sobre sus datos personales solicitar información sobre un dato personal específico y/o sobre cómo y por qué se procesa el dato personal transparencia señalado, toda la información que se suministre a la persona afectada debe ser clara y fácilmente comprensible

28 Principio 10: Derecho de Corregir La persona tiene derecho a solicitar que el controlador de datos corrija o suprima los datos personales que puedan ser incompletos, inexactos, innecesarios o excesivos Si los datos personales han sido divulgados a terceros, el controlador de datos debe también notificar a estos del cambio

29 Principio 11: Derecho de Objetar La persona podría objetar el procesamiento en los casos en que exista una razón legítima, como un perjuicio o angustia injustificada y sustancial Sólo puede objetar el procesamiento de sus propios datos personales No podrá objetar: si los datos son necesarios para cumplimiento de un deber impuesto por ley, para ejecución de una obligación contractual entre la persona y el controlador de datos, o si la consintió

30 Principio 12: Personalidad Las personas y sus representantes pueden ejercer el derecho de acceso, derecho de corrección y supresión y derecho de objetar el procesamiento de los datos personales El controlador de datos puede requerir que la persona suministre información razonable para determinar su identidad

31 Principio 13: Seguridad de los Datos El controlador y el procesador de datos deben tener las medidas técnicas y de organización para garantizar la integridad, confidencialidad y disponibilidad de los datos personales El controlador debe informar a la persona de toda violación de la seguridad que afecte sus derechos y toda medida que adopte para subsanar la violación

32 Principio 14: Confidencialidad Los controladores y los procesadores tienen el deber de mantener la confidencialidad de todos los datos personales Deber de confidencialidad se extiende hasta después de terminada la relación La confidencialidad puede ser supeditada por las cortes para proteger la seguridad pública, la seguridad nacional o la salud pública

33 Principio 15: Cumplimiento Para asegurar el cumplimiento y la aplicación de la protección de datos, los estados deben contar con una autoridad supervisora y establecer un recurso judicial Los controladores y procesadores de datos que no procesen conforme lo previsto en la legislación nacional podrían ser sujetos a responsabilidad administrativa, civil o penal

34 Medidas Proactivas Los estados pueden crear programas de capacitación, educación y conciencia pública para fomentar la comprensión de la legislación, los procedimientos y los derechos en materia de protección de los datos personales Los estados también pueden crear procedimientos operativos normalizados para los controladores de datos, a fin de prevenir, detectar y contener las posibles violaciones de la seguridad

35 Cooperación La cooperación entre las autoridades nacionales y las autoridades internacionales es parte esencial de la protección de los datos personales Los estados debe promover cooperación entre autoridades nacionales encargadas de la protección de datos personales, a nivel nacional e internacional para promover la protección

36 Conclusiones Los estados miembros debieran seguir estudiando el tema Comprometerse a salvaguardar el derecho a la privacidad de las personas Considerar la posibilidad de actualizar sus sistemas regulatorios de protección de los datos personales en base a los principios y recomendaciones del presente trabajo

37 Conclusiones Principios de protección de datos Recomendaciones de proteccion de datos Modelo para legislacion interna en materia de proteccion de datos Intrumento internacional para las transferencias transfronterizas Convenciones de DIPr

38