Sumario:
I. Introducción. II. Directiva 95/46/CE del Parlamento de Europa y del Consejo.
III. La nueva Propuesta de la Unión Europea. IV. Protección de datos personales en el entorno
digital. V. Ley 25.326 de Protección de
los Datos Personales. VI. Realidad Argentina. VII. A modo de conclusión.
Por Matilde S. Martínez (*)
I.
INTRODUCCIÓN
La
recopilación de datos de carácter personal siempre fue un peligro para las
libertades individuales, pero ese
peligro se profundizó promediando el siglo XX, con los avances tecnológicos y
telecomunicaciones, especialmente con la era informática. La aparición del
fenómeno informático y su vertiginosa evolución generan una nueva forma de poder,
-el poder informático- Este nuevo poder no es indiferente al derecho, que debe
adoptar, por un lado, la postura de legitimarlo en virtud de los beneficios que
proporciona y por otro lado, una postura contenedora debido a los peligros que
implica para los derechos individuales. En esta actitud de contención se
generan nuevos instrumentos jurídicos tendientes a la protección de las
personas frente a los abusos de este nuevo poder. Opina PUCCINELLI que se
produjo “acaso el nacimiento de una nueva rama del derecho, el derecho de la
protección de datos”.[1]
En
el año 1968 en la Conferencia Internacional de Derechos Humanos realizada en
Teherán (ONU) se declaró la preocupación sobre los riesgos de violación de los
derechos, que implicaba el avance científico y tecnológico.[2]
Luego se instrumentaron otros documentos relativos a la protección de los
derechos y libertades individuales, hasta que comienza el movimiento
legislativo de protección de los datos de carácter personal, primero en Europa,
Estados Unidos, Latinoamérica y el resto del mundo.
II.
DIRECTIVA
95/46/C.E. DEL PARLAMENTO DE EUROPA Y DEL CONSEJO
En
la Unión Europea se adopta la Directiva 95/46/CE del Parlamento de Europa y del
Consejo, del 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, con el objeto de que los Estados miembros
garanticen, con arreglo a las disposiciones de la Directiva, “la protección de
las libertades y los derechos fundamentales de las personas físicas, y en
particular, el derecho a la intimidad, en lo que respecta al tratamiento de los
datos personales”.[3]
Pero
la informática sigue avanzando, internet apenas era conocida en 1995 y hoy, a
través del ciberespacio, también tenemos los buscadores, las redes sociales, el
“cloud computing” o computación en la nube, los nuevos servicios y aplicaciones
inteligentes, que implican un enorme peligro para la protección de datos
personales y la privacidad.
Por
ello, ahora, la discusión y el reto, es si
la protección de la privacidad es un obstáculo para el desarrollo de las
tecnologías, la productividad, la competitividad y consecuentemente cual debiera
ser el alcance de la legislación acerca
de estos nuevos fenómenos informáticos.
III.
LA
NUEVA PROPUESTA DE LA UNION EUROPEA
La
Unión Europea adoptó la Directiva 2002/58/CE del Parlamento Europeo y del
Consejo de 12 de julio de 2002[4]
relativa al tratamiento de los datos personales y a la protección de la
intimidad en el sector de las comunicaciones electrónicas, modificada por la Directiva 2009/22/CE [5]relativa
al servicio universal y los derechos de los usuarios en relación con las redes
y los servicios de comunicaciones electrónicas, por la que introducen algunos avances sobre
protección en las temáticas señaladas, con el alcance de los objetivos de la
Directiva 95/46/CE, y por las que se establecen normas para garantizar la
seguridad de las comunicaciones; confidencialidad; régimen de comunicaciones no
solicitadas; sanciones que aplicarán los Estados miembros. Tales Directivas se
encuentran en pleno vigor y los Estados miembros deben adoptar las disposiciones necesarias para dar cumplimiento
a las garantías y derechos establecidos
en estas.
No
obstante ello, la Comisión Europea, ha elaborado una Propuesta de Reglamento
del Parlamento Europeo y del Consejo, del 25 de enero de 2012,[6] relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos. Mantiene básicamente la estructura de protección de
datos personales que la Directiva 46/95/CE, a la que reemplazará una vez que
sea aprobada. No obstante ello, incorpora importantes fortalezas a la
protección de los datos personales y la privacidad, siendo digno de destacar
aquellas inherentes al entorno digital y las nuevas tecnologías.
Las
modificaciones en materia de tratamiento de datos expresadas por la Propuesta
de Reglamento del Parlamento Europeo y del Consejo indicada, en cuanto pretende
generar confianza en el entorno en línea como elemento esencial para el
desarrollo económico serán muy favorables para ser más efectivos tanto la
protección de datos, como el ejercicio de los derechos relativos a ellos. En
cuanto a las redes sociales será muy favorable, la obligación que establecerá a los responsables de tratamiento
mediante la privacidad en el diseño y por defecto, pues contrariamente al
diseño actual donde los usuarios deben configurar la privacidad, en el caso
deberán configurar lo que desean hacer público. En ello coincide con la
recomendación del Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE, en el Dictamen 5/2009 sobre redes sociales en
línea en cuanto propone que los Servicios de Redes Sociales funcionen
respetando los derechos y libertades de los usuarios, estableciendo plataformas
de privacidad en el diseño; advirtiendo
adecuadamente a los usuarios sobre los riesgos de los ataques a su intimidad;
recordando a los usuarios que poner en línea información y fotografías sobre
otras personas puede perjudicar su derecho a la intimidad y a la protección de
datos; garantizando los derechos de acceso, rectificación, cancelación y
oposición (derechos ARCO).
No
menos importante será el establecimiento del “derecho al olvido” tratado tanto
en la Propuesta de Reglamento señalada, como en el Dictamen del GdT del art. 29
mencionado. La reforma establece las condiciones en que se deberá llevar a cabo
la supresión de los datos personales de los interesados. Es decir que cuando los usuarios deseen que
sus datos se eliminen y no exista una causa legítima para conservarlos se
deberán suprimir.
El
refuerzo legislativo sobre protección de datos personales creará confianza en
los usuarios para acceder a servicios en línea lo que en definitiva beneficiará
el desarrollo y la economía digital.
Asimismo,
la Propuesta de Reglamento Europeo introduce modificaciones en materia de
consentimiento del interesado, es decir que en la directiva 95/46/CE establece
que el consentimiento dado por el interesado debe ser de “forma inequívoca”,
mientras que la nueva Propuesta en el art. 4.8, es aún más precisa
estableciendo: «consentimiento
del interesado»: como toda manifestación de voluntad, libre, específica,
informada y explícita, mediante la que el interesado acepta, ya sea mediante
una declaración ya sea mediante una clara acción afirmativa, el tratamiento de
datos personales que le conciernen.
Otra
cuestión es el derecho de información sobre los datos que se recaban, no
aquellos que proporcionamos vía Facebook, Twitter, Linkedin, a través de
formularios, otros., sino los metadatos que se obtienen de aquellos, o a través
del rastreo de la navegación, de servicios que nos ofrecen gratuitamente pero
que en realidad estamos pagando con nuestros datos y luego, los elaboran
mediante cálculos o deducciones, con la
finalidad de utilizarlos para armar modelos de negocios para acercarse cada vez
más a potenciales clientes ofreciendo productos o servicios que se aproximen lo
más posible a sus preferencias.
Esto
se puede lograr a través de Big data, lo que implica la
capacidad de procesar una gran cantidad de información; una necesidad de
procesar a gran velocidad la información y una gran cantidad de fuentes de
información.
Para
ello sería altamente positivo la utilización de protección de los datos desde
el diseño y por defecto, tal como lo establece la Propuesta de Reglamento
Europeo en su art. 23.2, en relación al responsable del tratamiento, quién
deberá implementar mecanismos para garantizar que por defecto solo sean objeto de tratamiento los datos
personales necesarios para cada fin específico y, especialmente, que no se
recojan ni conserven más allá del mínimo necesario para esos fines, tanto por
lo que respecta a la cantidad de los datos como a la duración de su
conservación.
Otra ventaja normativa que introduce la
Propuesta Europea es el derecho del interesado a la portabilidad de sus datos
de manera tal de poderlos transferir de un sistema de tratamiento electrónico a
otro. En tal caso el interesado podrá elegir aquella empresa que otorgue más
garantías a su privacidad y protección de sus datos personales.
Adicionalmente,
será de gran importancia la transparencia de la información y la comunicación
conforme lo establece la Propuesta de Reglamento Europeo, atento a que el
responsable del tratamiento de los datos personales deberá aplicar políticas
transparentes y de fácil acceso a los datos en forma inteligible, con lenguaje
sencillo, claro y al ejercicio de los derechos de los interesados.
IV.
PROTECCIÓN
DE DATOS PERSONALES EN EL ENTORNO DIGITAL
Empero,
la Propuesta de Reglamento Europeo que venimos analizando, aún se encuentra en
discusión entre los distintos Estados de la Unión Europea, motivo por el cual por el momento no se encuentra en vigor.
No
obstante ello, es sustancial entender el entorno digital para poder protegernos
de los riesgos, las obligaciones y las responsabilidades que nos presentan los
nuevos fenómenos informáticos.
Así,
Esther MITJANS PERELLO[7] considera
que las leyes de protección de datos han tratado de proteger a los ciudadanos,
pero no han estado diseñadas para “protegernos de nosotros mismos”, lo que hoy
es el reto de las redes sociales por ejemplo, pues los usuarios gestionan sus
propios riesgos a través de sus conductas o comportamientos, y a su vez generan riesgos a terceros, los aceptan, los
transfieren, pero también los pueden
limitar o minimizar, ejercen un papel activo porque es la característica
de la web 2.0, deben evaluar sus riesgos y asumir responsabilidades. Por otro
lado los operadores, proveedores también deben evaluar sus propios riesgos, es
decir, si se arriesgan a la posibilidad de someterse a acciones legales o si
prefieren obtener la confianza de los usuarios. Considera que las regulaciones
pueden provenir de la normativa jurídica del estado, de la gestión de los
operadores, de las aplicaciones tecnológicas del mercado, y las derivadas del
comportamiento de los usuarios. Es decir, que hay una concurrencia de normativas que
pueden concordar o no, entonces serán las regulaciones estatales las que
deberán establecer el equilibrio acerca de los riesgos para la privacidad.
Parte
de la base de la necesidad de existencia de transparencia, no obstante reconoce
que hay actores en el entorno digital como en las redes sociales donde no se da
transparencia alguna con la finalidad de eludir responsabilidades.
También
aclara la importancia del conocimiento del entorno digital, conocer los riesgos
que se corren dentro de este entorno, las obligaciones y responsabilidades a
las que se someten con sus conductas.
Además,
opina que la privacidad no tiene que ser un obstáculo para el desarrollo de las
tecnologías, pues la leyes pueden quitarse, cambiarse, reinterpretarse y las
tecnologías pueden ofrecer muy buenos servicios a los ciudadanos sin desproteger
los derechos y las libertades individuales.
V.
LEY
25.326 DE PROTECCIÓN DE LOS DATOS PERSONALES
La
Protección de los datos personales en Argentina tuvo su consagración con la
reforma de la Constitución Nacional del año 1994 con la incorporación del
instituto del hábeas data a través del art. 43, 3° párr., por el que se
establece que: “Toda persona podrá interponer esta acción para tomar
conocimiento de los datos a ella referidos y de su finalidad, que consten en
registros o bancos de datos públicos, o los privados destinados a proveer
informes, y en caso de falsedad o discriminación, para exigir la supresión,
rectificación, confidencialidad o actualización de aquéllos”.
Pasaron
varios años para que se sancionara la ley regulatoria de la garantía
constitucional, existieron varios proyectos hasta que finalmente se sancionó la
Ley 25.326[8] y
con posterioridad se dictó el Decreto 1558/2001[9],
reglamentario de dicha ley.
La
fuente tomada por el legislador para la redacción del texto legal, fue la Ley
Orgánica 5/1992 de Regulación del Tratamiento Automatizado de los Datos de
Carácter Personal de España, conocida comúnmente como LORTAD.[10]
La
ley 25.326 de Protección de los Datos Personales se encuentra integrada por
siete capítulos que tratan los siguientes temas: disposiciones generales que
abarca el objeto, siendo éste muy amplio en cuanto que será la protección integral de los datos
personales asentados en archivos, bancos de datos, u otros medios técnicos de
tratamiento de datos, sean éstos públicos, o privados destinados a dar
informes, para garantizar el derecho al honor y a la intimidad de las personas,
así como también el acceso a la información que sobre las mismas se registre,
de conformidad a lo establecido en el art. 43, párr. 3°, de la Constitución
Nacional. También se ocupa de las
definiciones utilizadas por la norma. Los principios generales relativos a la
protección de datos, la calidad de los datos, siendo éstos de fundamental
importancia ya que siempre deberán estar presentes en el tratamiento de datos
personales. Así, el art. 4 de la ley establece que 1. Los datos personales que
se recojan a los efectos de su tratamiento deberán ser ciertos, adecuados,
pertinentes y no excesivos en relación al ámbito y finalidad para los que se
hubieran obtenido. 2. La recolección de datos no puede hacerse por medios
desleales, fraudulentos o en forma contraria a las disposiciones de la presente
ley. 3. Los datos objeto de tratamiento no pueden ser utilizados para
finalidades distintas o incompatibles con aquellas que motivaron su obtención.
4. Los datos deben ser exactos y actualizarse en el caso de que ello fuere
necesario. 5. Los datos total o parcialmente inexactos, o que sean incompletos,
deben ser suprimidos y sustituidos, o en su caso completados, por el
responsable del archivo o base de datos cuando se tenga conocimiento de la
inexactitud o carácter incompleto de la información de que se trate, sin
perjuicio de los derechos del titular establecidos en el art. 16 de la ley.
Asimismo las prescripciones relativas al consentimiento, la información del
interesado, la licitud, cesión, transferencia internacional, y otros. Los
derechos de los titulares de datos, normas sobre usuarios y responsables de
archivos, registros y bancos de datos, sobre el control y las sanciones y la
acción de protección de los datos personales para los afectados.
VI.
REALIDAD
EN ARGENTINA
La
ley Argentina de protección da datos personales no contiene ninguna norma
relativa a la administración informática en el ciberespacio.
Nuestra
situación al respecto es de un gran avasallamiento del uso indiscriminado de
nuestros datos personales en el espacio virtual, nuestros datos navegan ilegalmente y sin nuestro consentimiento.
Asimismo está a la orden del día la publicidad no solicitada tanto por correo
electrónico no deseado, como por llamadas telefónicas de marketing y ventas no
consentidas.
De
la misma manera podemos observar que al citar nuestro número de documento de
identidad en cualquier buscador aparecerán todos nuestros datos personales de
forma ilegal y con una bajísima calidad de los datos, pues algunos son
erróneos, otros desactualizados, incompletos, etc. No menor peligrosidad significan
para la privacidad los negocios basados
en inteligencia artificial, el rastreo de información a través de cookies, Big Data,
y otros similares.
Esto
está íntimamente ligado a un cambio de modelo económico que se centra cada vez
más en la productividad y la competitividad, pero ello no implica que se deje
de lado la protección de la privacidad. Sabemos que las leyes siempre llegan
detrás de las tecnologías o de los hechos.
No
obstante, para limitar estos abusos no es necesario que existan leyes específicas
para regular el entorno digital, tal como lo expresa Ricard MARTÍNEZ [11],
mientras no se dicte la legislación específica que regule estos nuevos
fenómenos informáticos se deben utilizar todas las regulaciones de protección
de datos de carácter personal y todos los principios generales del derecho
aplicables a la materia para tutelar los derechos y libertades individuales. Es decir que un modelo de economía centrado en
la productividad y la competitividad no deben significar la pérdida de estos
derechos fundamentales.
A
propósito de ello, cabe recordar que
nuestra Ley 25.326 de Protección de los Datos Personales y el decreto 1558/2001
crean el Órgano de Control que se denomina Dirección Nacional de Protección de
Datos Personales. Esta Dirección tiene las funciones que le fijan las normas.
En primer lugar deberá velar por el cumplimiento de las disposiciones de la
ley, y aplicar las sanciones civiles y penales. Entre otras funciones tendrá
las de asesorar a los usuarios acerca de sus derechos de defensa, recibir
denuncias de los afectados y aplicar las sanciones por violaciones a la Ley de
Protección de Datos Personales.
VII.
A
MODO DE CONCLUSIÓN
Considero
que el conocimiento del entorno digital y la concientización de los actores
como usuarios, proveedores, etc. acerca
de los riesgos y responsabilidades que asumen son fundamentales, pero no
fácilmente alcanzables. Existe un gran
desconocimiento por parte de los usuarios en el uso del entorno digital y sobre
todo de los riesgos que implica la información, fotografías, etc. que cuelgan
en las redes sociales, tanto propia como de terceros, no existe precisamente la
noción de peligro. Por ello, se hace necesaria una gran difusión sobre la
protección de datos personales, ello como se ha dicho en muchas ocasiones y en
algunos países se ha puesto en práctica, incluir el tema como asignatura en la
educación de todos los niveles de enseñanza. También los poderes públicos y
Asociaciones civiles deberían realizar
campañas de difusión sobre el entorno digital, los riesgos, obligaciones y
responsabilidades en diferentes ámbitos, dirigidas a menores, padres,
profesores y la ciudadanía en general.
También
se debe difundir la existencia de la autoridad de control de protección de
datos de carácter personal, donde los ciudadanos pueden efectuar las denuncias de
incumplimientos por parte de los responsables de tratamiento de datos personales.
Buenos
Aires, julio de 2013.
Publicado
en Microjuris: Cita: MJ-DOC-6339-AR
--------------------------------------------------------------------------------------------
(*)
Matilde Susana Martínez. Abogada.
Especialista Universitaria de Protección de Datos y Privacidad, egresada de la
Universidad de Murcia.
[1] Puccinelli, Oscar R. Tipos y subtipos de hábeas data en
América latina. http://www.editorialastrea.com.ar
[2] Altmark, Daniel
– Molina Quiroga, Eduardo, Hábeas Data. LL. 1996- A- 1554. P. 1557.
4 Diario Oficial
de la Comunidades Europeas. 31.7.2002. L.201/37
7
Profesora Titular de Derecho Constitucional de la Universidad de
Barcelona. Ex Directora de la Agencia Catalana de Protección de Datos. http://www.sicarm.es/servlet/vsicarm.servlets.Videos?METHOD=FLASH&video=umu08
10 Martínez, Matilde Susana. Hábeas Data
Financiero. Ediciones de la República. Diciembre 2009. P. 133
No hay comentarios:
Publicar un comentario