Derechos digitales

De Wiki Causas Comunes
Revisión del 18:01 4 ago 2020 de ValeLisciani (discusión | contribuciones) (Legislación argentina actual)
(dif) ← Revisión anterior | Revisión actual (dif) | Revisión siguiente → (dif)
Info-wiki.png Para editar la Wiki, sumar, corregir, aclarar ...
  1. CREAR cuenta.
  2. Una vez creada la cuenta, presionar EDITAR en la sección correspondiente.
  3. MODIFICAR/AGREGAR texto.
  4. GUARDAR cambios
  5. VER más detalles sobre la edición, ACÁ

Problemática / Causa Común

Protección de Datos Personales en Argentina

Contexto

En un contexto económico caracterizado por la avidez creciente en la adquisición, consumo y difusión de información generada por las tecnologías de la información y comunicación, la Argentina tiene un trazado disperso, una combinatoria de normativas parciales, que proporciona una protección de insuficiente. La falta de una normativa específica que sistematice e incorpore nuevos abordajes, deja mucho margen librado a la interpretación en un momento histórico donde esta información adquiere valores económicos y políticos de suma relevancia.

La ley de datos personales vigente la Argentina tiene 20 años de antigüedad. Fue sancionada 4 años antes de la proliferación de Facebook y 7 años antes de Twitter. Desde entonces, se realizaron al menos 85 modificaciones (a través de decretos o resoluciones), las cuales desdibujaron su objetivo original[1], subordinando cada vez mas la autoridad de aplicación al poder ejecutivo, hasta quedar en manos del Jefe de Gabinete de Ministros en el 2017.

La ley actualmente vigente no contiene precisiones ni salvaguardas para de “datos biométricos” y “datos genéticos”. En general, su redacción es poco clara en materia de “datos sensibles” y omite el impacto que las tecnologías de recopilación y almacenamiento de información tienen para el ejercicio de actividades de perfilamiento y vigilancia.

Asimismo, no cuenta con disposiciones que expresamente extiendan la protección de la ley a los metadatos (origen, destino, duración, fecha, hora y ubicación de las comunicaciones) que revelan tanto o más acerca de nosotros que el propio contenido de las comunicaciones, violando la privacidad de los individuos.

Además, el abordaje que la ley actual hace en materia de “bases de datos” no se adecúa a los avances tecnológicos y no incluyen la "disociación de datos" ni los “incidentes de seguridad de datos personales”. Tampoco incorpora lo que en la actualidad se conoce como "derecho al olvido", ni se habla de las circunstancias específicas en que puede resultar procedente.

El marco normativo actual es restrictivo y no habilita determinadas circunstancias para el consentimiento tácito. En otras palabras, no distingue entre diversos tipos de abuso en la utilización de información personal de un posible "interés legítimo", compatible con el flujo de datos que el desarrollo de una economía digital requiere.

En suma, la legislación es incompleta, ambigua, centralista, flexible en exceso con derechos fundamentales y restrictiva en exceso con aspectos propios de la economía del conocimiento y el devenir de la industria del software.

Datos biométricos

Cuando una muestra biométrica es sacada de una persona, los datos que se extraen de ella son analizados y convertidos en una plantilla que se almacena en una base de datos o en un objeto de posesión del individuo (como una tarjeta inteligente). De esta manera, una muestra biométrica puede ser comparada con las plantillas almacenadas con el fin de identificar al individuo. La pregunta es, si los datos biométricos no deberían ser considerados “datos sensibles”, considerando que según la definición de la ley argentina, se considera dato sensible los “datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.”

En cuanto a las fotografías, resulta indudable que de la exhibición de nuestro rostro puede determinarse a qué etnia pertenecemos. También, en algunos casos, será posible identificar la religión que profesan, como sucede con el caso del uso del hijab, algo que sería visible en una foto. Por otro lado, se debe tener presente que las tecnologías de reconocimiento facial poseen un grado de confiabilidad bastante cuestionable. Debido a la variabilidad con que se manifiestan diversos factores que influyen en la captación de la imagen, existe el riesgo de que la identificación o la verificación realizada por el sistema de reconocimiento no sea la correcta.

El Reglamento General sobre Protección de Datos de la Unión Europea ubica a los datos biométricos -en tanto identifiquen de manera unívoca a una persona- dentro del apartado dedicado al tratamiento de categorías especiales de datos personales (art.9), nombre utilizado por la normativa para designar a los datos sensibles.

La caracterización de los datos biométricos como datos sensibles provee a aquéllos de fuertes restricciones en lo que respecta a su utilización por parte de terceros. En ese sentido, podría decirse que la regla general es la prohibición de todo tipo de tratamiento de datos sensibles. Esta lectura encuentra su apoyo en dos disposiciones que se encuentran en el art. 7 de la ley argentina de protección de datos personales. La primera, presente en el inc.1, establece que “ninguna persona puede ser obligada a proporcionar datos sensibles”. La segunda se encuentra en el inc. 3 cuando se dispone que “queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles”.

Legislación actual y organismos de regulación

Estado legislativo actual

  • Constitución Nacional (arts. 18, 19, 43)
  • Ley 25.326 de Protección de Datos Personales
  • Dto. Reglamentario 1558/2001
  • Ley 26.388 Reforma del código penal en materia de delitos informáticos
  • Código Civil (arts. 51, 52, 53, 55, 71, 1738, 1740, 1770)
  • Ley 26.951 (Registro No Llame)
  • Ley 27.078 de Tecnologías de la Comunicación y la Información
  • Disposiciones de la Dirección Nacional de Protección de Datos Personales
  • Constituciones Provinciales

DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES

La Dirección Nacional de Protección de Datos Personales (PDP) es el órgano del gobierno de la República Argentina encargado del control de la Ley de Protección de datos personales (ley 25.326) sancionada en el año 2000, durante el gobierno de Fernando de la Rua y reglamentada en el año 2001 con el decreto 1558/01 en cumplimiento de la Ley Nº 25.326 para la efectiva protección de los datos personales. Es un organismo que tiene a su cargo el Registro Nacional de las Bases de Datos.

Registro Nacional de Bases de Datos

Objetivos: Es el medio que la ley otorga para conocer y controlar a los registros, archivos, bases o bancos de datos que traten datos personales.El acceso para consultar el registro es público y gratuito[2]. Por medio de él todas las personas podrán conocer qué tipo de información es la que maneja cada base de datos y quién es el responsable de la misma. De esta manera, la inscripción significará para las bases de datos cumplir con el requisito de licitud que exige la Ley Nº 25.326 (art. 3º y 21 inciso 1). Los particulares podrán acudir a la DNPDP a efectos de conocer qué bases de datos pueden tener sus datos, quién es el responsable, y luego acudir a dichos registros, archivos, bases o bancos de datos para corregir, suprimir o rectificar el asiento.[3]

Responsables

Datos personales.png


El plazo para realizar el registro es hasta el 28 de febrero de 2019 en el caso de los responsables de Bases de Datos Personales Públicas, y hasta el 31 de octubre de 2019 en el caso de responsables de Bases de Datos Personales Privadas.[4]

Proyecto de ley presentado por el ejecutivo

El intento más serio de modificación de la Ley de Datos Personales, fue impulsado por el poder ejecutivo en el 2016, a través de una convocatoria abierta a actores provenientes del sector privado, del ámbito académico y la sociedad civil, para debatir y repensar el contexto legislativo, con la finalidad de elaborar una nueva versión de la Ley existente de Datos Personales. Luego de la elaboración de varios documentos, en donde se recopilaron los aportes y los comentarios recibidos, en el año 2018 el ejecutivo presentó el anteproyecto en el congreso.[5] El mismo perdió estado parlamentario en el mes de febrero del año 2020, y se encuentran pocas noticias o informes que den cuenta de los motivos por los cuales no se llegó a debatir. [6]

Para elaborar el anteproyecto se tuvieron en cuenta las siguientes regulaciones a nivel internacional:

  • El Reglamento (UE) 2016/679, el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108)
  • El Convenio sobre la Ciberdelincuencia (Convención de Budapest)
  • La Ley Federal de Protección de Datos Personales en Posesión de los Particulares de los ESTADOS UNIDOS MEXICANOS
  • La Ley de Protección de Datos Personales Nº 29.733 de la REPÚBLICA DEL PERÚ
  • La Ley Estatutaria 1581 de 2012 de la REPÚBLICA DE COLOMBIA
  • La Ley de Protección de Información Personal y de Documentos Electrónicos de CANADÁ (Personal Information Protection and Electronic Documents Act - PIPEDA)
  • Los Estándares de Protección de Datos Personales para los Estados Iberoamericanos (Red Iberoamericana de Protección de Datos) y el Informe del Comité Jurídico Interamericano sobre Privacidad y Protección de Datos Personales

Críticas al proyecto

Inclusión de figura de consentimiento tácito

El proyecto admite que el consentimiento pueda ser otorgado de manera tácita. Así, se diferencia de la actual ley, que solo permite el consentimiento “expreso”. Si bien entendemos que la introducción de esta figura responde a un intento de promover el libre flujo de datos que el desarrollo de una economía digital requiere, no debemos olvidar que la protección de datos personales asumió como meta principal el resguardo del individuo. Es por ello que las disposiciones deben ser redactadas con sumo cuidado, a fin de evitar abusos por parte del sector más poderoso en la relación jurídica.

Al decir que la forma dependerá de “las circunstancias, el tipo de dato personal y las expectativas razonables del titular de datos”, la disposición incumple con su función de establecer una pauta clara que nos permita determinar con anticipación cuáles son los casos abarcados por una y otra categoría. De esta forma, es de prever que existirán interpretaciones en conflicto por parte del titular del dato y del responsable (o encargado), lo que puede dar lugar no solo a un aumento de la litigiosidad, sino también de desprotección del titular, que en muchos casos puede no tener cabal noción del consentimiento que –tácitamente– estaría prestando. [7]

Metadatos

Resulta conveniente incluir una disposición que expresamente extienda la protección de la ley a los metadatos, es decir, aquella información que se refiere al origen, destino, duración, fecha, hora y ubicación de las comunicaciones. El motivo es la importancia que revisten los mismos, en tanto permiten revelar tanto o más acerca de nosotros que el propio contenido de las comunicaciones. Así, a través de ellos se pueden establecer patrones de comportamientos, hábitos o relaciones, por lo que actualmente constituyen una de las formas más eficaces de violar la privacidad de los individuos. Si bien existe consenso en que los metadatos son datos personales en tanto permiten la identificación de una persona, no sería irrelevante su determinación expresa, a fin de ahuyentar eventuales interpretaciones restrictivas.

Tratamiento de datos con fines de seguridad pública o defensa nacional

Por la sensibilidad del tema, debería sancionarse una ley específica que regule de modo integral el tratamiento de datos por parte de las fuerzas de seguridad, al estilo de la Directiva 680/16 de la Unión Europea. [7]

Amplio poder por parte del estado

Tal como está formulado el proyecto de ley, el Estado gozará de amplia discrecionalidad para tratar los datos de las ciudadanas y los ciudadanos que posea en sus bases, en tanto la noción de "interés legítimo" adolece de la suficiente vaguedad como para justificar diversos tipos de utilización de información personal. En definitiva, el proyecto sigue tratando con excesiva deferencia los diversos manejos que el Estado puede realizar con nuestra información personal. Esto resulta preocupante, ya que se corre el riesgo de perder la oportunidad de establecer límites más claros y estrictos a un sujeto como el Estado, que lleva a cabo diariamente operaciones de tratamiento de datos masivas y de gran impacto en las personas.

La propuesta suprimió el derecho de toda persona a exigir, en casos de valoraciones automatizadas, la intervención humana en la toma de decisiones, así como a expresar su punto de vista o impugnar la decisión. Estos derechos estaban consagrados en el anteproyecto (art. 32 anteproyecto, versión final).[7]

Incluir los datos biométricos como datos sensibles

El proyecto no incluye a los datos biométricos como datos sensibles, apartándose de este modo de los Estándares. Los datos biométricos –en tanto puedan caracterizar inequívocamente a una persona– gozan de especial importancia, debido a que su utilización implica no solamente una invasión a la privacidad sino también al cuerpo de las personas.[7]

Principio de finalidad

El proyecto considera que el principio de finalidad también es respetado en el caso de "fines que pudieron ser, de acuerdo al contexto, razonablemente presumidos por el titular de los datos" (art. 6, proyecto de ley).

Esta última disposición es sumamente problemática en tanto su vaguedad habilita nuevamente un manejo discrecional por parte del responsable, quien no solamente podrá usar los datos para los fines que haya establecido expresamente sino también ampararse en otros fines que, según él, el titular pudiera de manera razonable haber presumido. Por otro lado, se perjudica el derecho del titular a conocer cómo serán tratados sus datos, ya que no podrá confiar en que su información será manejada solo para aquellos fines que le fueron comunicados explícitamente sino también para cualquier otro propósito que se crea él debió conocer.[7]

Perspectiva de género

Respecto de las definiciones incorporadas: El art. 2 del anteproyecto no incluye dentro de sus definiciones cuestiones vinculadas con la definición de datos sensibles vinculados a las víctimas de violencia de género, asi también como los datos biométricos y genéticos

Tomar como datos sensibles aquellos vinculados con las víctimas de violencia de género: si bien la imagen es un dato personal protegido por permitir la identificación de la mujer, al tratarse de un supuesto de violación de datos personales enmarcado en un contexto de violencia de género que además expone la vida sexual de la misma debiera considerarse a nuestro criterio dato sensible para brindar mayor nivel de protección.

Se propone la incorporación de un capítulo especial que recepte la realidad de las mujeres en nuestro país. Sin duda que los casos que se presentan a diario en distintas dependencias policiales o judiciales requieren de una coordinación institucional que impone en muchos casos guardar/ceder/comunicar datos, por lo que es importante medir especialmente cómo se deben concretar dichas acciones con el objetivo de garantizar la privacidad de las mujeres que acuden a las instituciones al mismo tiempo que se facilite el proceso de atención integral.

Asimismo, resulta fundamental establecer pautas tanto sobre la información que se le debe brindar a las víctimas al momento de recabar sus datos, esto es, qué datos le serán solicitados, con qué finalidad (atención primaria, asistencia médica, persecución del delito), como se almacenarán, los datos del Delegado de protección como así también mecanismos ágiles para la cancelación de dichos registros. Esta cuestión cobra especial importancia dado que se da con frecuencia el caso de mujeres que han sido víctimas de violencia y resuelto el problema no desean permanecer en los ficheros oficiales, manifestando su deseo de cancelación de esos datos e incluso de oposición a su tratamiento.

Legislación internacional

Diferencia entre EEUU y Europa

La protección de datos en Estados Unidos es diferente a la europea. La Ley CLOUD permite que las empresas proveedoras de servicios de Internet y otros medios electrónicos que tengan su sede en los EEUU, puedan almacenar y transmitir tus datos sensibles.

Por contra, en Europa sí que existen entidades públicas dedicadas a la protección de tus datos personales. La legislación europea sobre protección de datos te ampara tanto si eres europeo como si no, y solo recoge tus datos imprescindibles, o eso dicen.[8]

A diferencia de Europa, donde se están configurando los mecanismos necesarios para proteger la privacidad y los datos de los ciudadanos a través del RGPD, Estados Unidos está adoptando una actitud laxa respecto a las grandes compañías tecnológicas y de Internet que manejan enormes cantidades de datos personales, tales como Google o Facebook

En Estados Unidos no existe una legislación federal que proteja los datos de los usuarios y la privacidad equiparable al RGPD o la LOPD, sino más bien al contrario. Solo existen normativas sectoriales que regulan diferentes ámbitos como, por ejemplo, la Ley de Protección de la Privacidad de Menores de los Estados Unidos (COPPA), la Ley de Transferencia y Responsabilidad del Seguro Médico en EE. UU. (HIPAA) o la Ley de Cumplimiento Fiscal de Cuentas en el Extranjero (FATCA).

Es más, en vez de penalizar y controlar a las grandes empresas que tratan con multitud de datos, el Gobierno norteamericano prefiere colaborar con estos gigantes tecnológicos para poder recabar información y vigilar masivamente a empresas y ciudadanos. Un claro ejemplo es el hecho que, tal y como contábamos en el artículo sobre las peticiones de información que recibía Facebook por parte de los gobiernos, más del 50% de las solicitudes fueron realizadas por Estados Unidos.

Además, el Gobierno norteamericano no dispone de ninguna autoridad u organismo que vele por la privacidad y la protección de datos de los ciudadanos y si, finalmente, algún conflicto sobre esta temática llega a juzgados, las sanciones impuestas se deciden caso por caso, sin tener estipulado de antemano la gravedad de las acciones.

A diferencia de Estados Unidos, Europa se abastece de sus leyes para controlar el comportamiento de las grandes multinacionales, así como garantizar a través de autoridades la privacidad y la protección de datos de sus ciudadanos. Un claro ejemplo se puede desprender de la Declaración común del Grupo de Contacto de las Autoridades de Protección de Datos de Holanda, Francia, España, Hamburgo y Bélgica contra Facebook. En esta, se hace referencia a las medidas que han tomado las distintas autoridades tras que Facebook anunciara, en noviembre de 2014, una revisión global de su política de privacidad, su política de cookies y sus términos de uso. [9]

Las diferencias entre Europa y EEUU son enormes, tanto a nivel normativo como a nivel ideológico. Mientras que en Europa tendemos a confiar en el estado, en Estados Unidos se tiende a confiar en el individuo, intentando limitar al máximo el papel del estado y reservándolo para tasadas excepciones.

Europa EEUU
Ámbito legal de la proteccion de datos Directiva Europea (similar normativa en toda la UE). Futuro Reglamento (aplicación directa en todos los estados). Tanto para el sector público como el privado. Reconocido en muchas constituciones. Solo normativas sectoriales por sectores y/o empresas. No hay normativa de alcance general. Existe poca jurisprudencia.
Autoridad que vigile el cumplimiento de la proteccion de datos Agencias nacionales (AEPD), grupo UE de la Directiva, Agencia Catalana de Protección de Datos (ACPD) No hay
Alcance de la normativa Alcance general y por sectores específicos (sanidad, por ejemplo). Las excepciones están tasadas. Se resuelve caso por caso en los Tribunales.
Tipo de enfoque de la normativa Preventivo: evitar que se vulneren los derechos. Se resuelve todo en las cortes. Si es necesario, se compensa a posteriori.
A quien protege y que se protege? Se protege a todo ciudadano en la UE, sea ciudadano o no. Principalmente, la privacidad y los datos personales. Solo a ciudadanos americanos (recientemente se ha querido ampliar a ciudadanos europeos). Protección a los consumidores, sin entrar en materia.
Recogida de datos Solo se recogen datos cuando es necesario y aquellos imprescindibles. Se recogen datos cuando conviene a la empresa y/o el negocio.
Perspectiva de los ciudadanos Se confía en el Gobierno/Estado (un enfoque paternalista) Se confía en el Mercado (un enfoque liberal, el Mercado se autoregula)
Sanciones Tasadas (pueden ser muy elevadas), también puede incurrirse en delito por vía penal. Caso por caso (no hay sanciones tasadas ya que no existe normativa).

[10]

Reglamento general de Protección de datos (Europa)

El Reglamento General de Protección de Datos (RGPD) es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Entró en vigor el 25 de mayo de 2016 y fue de aplicación el 25 de mayo de 2018, dos años durante los cuales las empresas, las organizaciones, los organismos y las instituciones se fueron adaptando para su cumplimiento. Es una normativa a nivel de la Unión Europea, por lo que cualquier empresa de la unión, o aquellas empresas que tengan negocios en la Unión Europea, que manejen información personal de cualquier tipo, deberán acogerse a la misma. Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros.[11]

La legislación establece que toda organización que trabaje con datos de europeos deberá informar de manera "entendible" cuál es el fin con que se piden y eliminarlos cuando ese objetivo se haya cumplido. En algunos casos, algunas empresas decidieron extender esta medida a todo el mundo.

Este reglamento tiene que ser acatado por empresas como Facebook, Google, Twitter, Instagram y WhatsApp.

Cualquier empresa que recoja datos, guarde o almacene información de usuarios debe operar de acuerdo a las disposiciones de la GDPR. Esto impacta obviamente a muchas empresas en América Latina que tienen conexiones con Europa. También afecta en los casos de compañías que tengan servidores en el viejo continente, aunque sus usuarios estén en Argentina.[12]

California (EEUU)

La ley, que entra en vigor en 2020, ofrece a los consumidores un amplio control sobre sus datos personales. Les otorga el derecho de saber qué información recopilan compañías como Facebook y Google, por qué lo hacen y con quién la comparten. Los consumidores tendrán la opción de prohibir a las compañías tecnológicas que vendan sus datos, y los menores de 16 años podrán optar entre permitir o no recolectar su información.

Aunque no es tan estricto como los Requisitos Generales de Protección de Datos, las regulaciones expansivas de privacidad de la Unión Europea que entraron en vigencia el mes pasado, la ley de California proporciona algunas de las regulaciones más fuertes en el país.

Aunque la mayoría de los defensores de la privacidad apoyan la ley, algunos expresaron inquietudes. Las empresas de tecnología pueden, por ejemplo, “compartir” los datos de las personas incluso si un consumidor les prohíbe venderlos. Y la ley permite a las compañías cobrar precios más altos a los consumidores que optan por no vender sus datos.[13]

España

El nombre completo de la normativa actual es Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

Esta ley entró en vigor el 6 de diciembre de 2018, sustituyendo a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. El objetivo de la LOPDGDD es adaptar la legislación española a la normativa europea, definida por el Reglamento General de Protección de Datos (RGPD), vigente desde el 25 de mayo de 2018.

La finalidad de la LOPDGDD es proteger la intimidad, privacidad e integridad del individuo, en cumplimiento con el artículo 18.4 de la Constitución Española. Del mismo modo, regula las obligaciones del individuo en todo proceso de transferencia de datos para garantizar la seguridad del intercambio

Asimismo, otra de sus principales finalidades es establecer un marco legislativo para la protección de datos personales en Internet. En este sentido, incorpora puntos muy a tener en cuenta, como el derecho al olvido o a la portabilidad, además de cambios en la obtención del consentimiento para recoger y usar la información personal.

Consentimiento: debe ser libre, informado, específico e inequívoco. El consentimiento tiene que ser verificable y quienes recopilen información personal deben poder probar que el afectado les concedió su consentimiento.[14]

Canadá

Canada tiene dos leyes de protección de datos:

“The Privacy Act”, la cual legisla sobre como el gobierno federal debe manejar la información personal

“The Personal Information Protection and Electronic Documents Act (PIPEDA)”, la cual legisla sobre como el sector privado deben manejar la información personal.[15]

The Privacy Act

Se relaciona al derecho que tiene una persona a acceder y modificar la información personal que el gobierno de Canada tiene sobre ella. También aplica para el acceso a la información personal que recolecta el gobierno, a la hora de proporicionar servicios como por ejemplo:

  • Pensiones por edad
  • Seguros de empleo
  • Seguridad fronteriza
  • Seguridad pública
  • Cobro y reembolso de impuestos [15]

PIPEDA

Generalmente se aplica a la información personal que tiene el sector privado. No involucra a aquellas organizaciones que no tienen actividades con fines de lucro.

Cada provincia y territorio tiene sus propias leyes, las cuales aplican para las agencias provinciales de gobierno. En esos casos, aplican las leyes provinciales en vez de PIPEDA. Estas provincias son:

  • Alberta
  • British Columbia
  • Québec.[15]


Colombia

Colombia tiene un marco regulatorio bastante robusto en relación con los datos personales, enmarcado en su Constitución. Actualmente hay 24 leyes, 14 decretos en temas de internet, además de otras disposiciones de ciberseguridad, privacidad y de IT.

Hay unas básicas que hablan de datos personales, que traen el Habeas Data como derecho fundamental, como la Ley 1266 de 2008, que tiene el calculador de riesgo crediticio, la Ley 1273 que crea tipos penales a través de la información de datos, y la Ley 1581. Luego viene el decreto 1377 de 2013, que es la figura única de la SIC, una regulación mucho más específica en temas de Habeas Data.

En el mundo existen dos grandes legislaciones basadas en principios diferentes. Una es la europea, que está basada en un derecho fundamental como en Colombia, que es el derecho a la privacidad y el Habeas Data, derecho al buen nombre. La otra es la de EE.UU. que no deriva de un derecho fundamental, sino de la responsabilidad.[1]

Brasil

El día 14 de agosto de 2018, fue sancionada la Ley General de Protección de Datos Personales (LGPD o Ley 13.709/18), primera legislación específica sobre el tema en Brasil.

La LGPD reproduce puntos centrales de la General Data Protection Regulation (GDPR), rigurosa reglamentación europea, que entró en vigor el 25 de mayo de 2018 y obligó a las empresas a realizar cambios sustanciales en su forma de manejar datos personales.

“Aunque el Marco Civil (de internet - 2014) tiene muchas disposiciones que garantizan la protección de la privacidad de los usuarios, el texto se ha dejado de lado o ignorado, lo que ha llevado a la sociedad civil a proponer una ley específica con el objetivo de proteger los datos personales”. [16]

Chile

Durante el año 2018, mediante la modificación del artículo 19 Nº 4 de la Constitución, se constitucionalizó el derecho a la protección de datos personales, incorporándolo al catálogo de derechos fundamentales. La Ley 21.096 estableció que toda persona tiene derecho a la protección de sus datos personales y que el tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley.

En la actualidad, se encuentran en el Congreso Nacional más de cincuenta proyectos de ley que guardan relación con la regulación de la vida privada y la protección de datos personales, advirtiéndose, en consecuencia, que se trata de una materia que representa una preocupación de las autoridades gubernamentales y parlamentarias y que se materializa en una alta amenaza regulatoria.[17]

Ley 19629 de 1999 - Sobre protección de la vida privada

Ley 21096 - el 16 de junio de 2018 se publicó en el Diario Oficial la Ley Nº 21.096 que consagra el Derecho a la protección de datos personales, este proyecto de reforma constitucional ingresó al Congreso el 11 de junio de 2014 con origen en moción parlamentaria.

Uruguay

Ley 18331 del 2008 - Protección de Datos Personales y acción de Habeas Data

México

La Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), es un cuerpo normativo de México, aprobado por el Congreso de la Unión el 27 de abril de 2010, mismo que tiene como objetivo regular el derecho a la autodeterminación informativa. Esta Ley fue publicada el 5 de julio de 2010 en el Diario Oficial de la Federación y entró en vigor el 6 de julio de 2010. Sus disposiciones son aplicables a todas las personas físicas o morales, del sector público y privado, tanto a nivel federal como estatal, que lleven a cabo el tratamiento de datos personales en el ejercicio de sus actividades, por lo tanto empresas como bancos, aseguradoras, hospitales, escuelas, compañías de telecomunicaciones, asociaciones religiosas, y profesionistas como abogados, médicos, entre otros, se encuentran obligados a cumplir con lo que establece esta ley. LFPD Ley Federal de Protección de Datos. [18]

Nicaragua

En 2012 fueron aprobadas por la Asamblea Nacional de la República de Nicaragua, tanto la Ley No. 787, de 21 de marzo, de protección de datos personales (publicada en La Gaceta No. 61 del 29 de marzo del 2012), como el Reglamento de la citada Ley, mediante Decreto No. 36-2012, de 17 de octubre (publicado en La En En el artículo 8 de la citada Ley, se establece que sólo pueden ser obtenidos y tratados por razones de interés general en la Ley, o con el consentimiento del titular de datos, u ordenados por mandato judicial. También podrán ser tratados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares. Los datos personales relativos a los antecedentes penales o faltas administrativas sólo pueden ser tratados por las autoridades públicas competentes, en la esfera de sus competencias; igualmente, los datos personales relativos a la salud, en los hospitales, clínicas, centros y puestos de salud, públicos y privados, y los profesionales vinculados a las ciencias de la salud: sólo pueden ser los relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquellos, respetando el secreto profesional.Gaceta No. 200 del 19 de octubre de 2012).

Principios de tratamiento de datos personales:

  • Legalidad
  • Calidad
  • Transparencia
  • Limitación al plazo de conservación
  • Medidas de seguridad
  • Medidas de seguridad técnicas
  • Confidencialidad

Derechos de las personas sobre sus datos:

  • Acceso
  • Rectificación
  • Cancelación
  • Oposición

Consentimiento explícito, salvo excepciones:

En relación con el consentimiento, tal y como establece el artículo 6 de la Ley nicaragüense, “el titular de los datos deberá dar por sí o por su representante legal o apoderado el consentimiento para la entrega de los dato (..) el consentimiento deberá ser otorgado por escrito o por otro medio idóneo, físico o electrónico. Dicho consentimiento podrá ser revocado sin efecto retroactivo, por cualquiera de los medios permitidos por la ley.

No será necesario el consentimiento cuando

  • Exista orden motivada, dictada por autoridad judicial competente
  • Los datos personales se sometan a un procedimiento previo de disociación
  • Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable
  • Los datos se obtengan de fuentes de acceso público irrestricto y se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, y fecha de nacimiento.

Autoridad competente: Conforme lo establecido en los artículos 28 y siguientes de la Ley, la autoridad competente en la materia es la Dirección de Protección de Datos Personales adscrita al Ministerio de Hacienda y Crédito Público. [19]

Historia de la privacidad

Esfera espacial: se consideraba que el derecho a la privacidad tenía por objeto los lugares que las demás personas no podían acceder ni tener conocimiento sin autorización de la persona titular del derecho. x ej, el domicilio, correspondencia, etc. (Amparados x la constitución)

Esfera de la conducta: se entendió que los comportamientos que no generaban daños a terceros pertenecían a la esfera íntima del individuo y por ende, no debían ser sancionados por el derecho. Desde este punto de vista, el derecho a la privacidad protegía la autonomía personal en la elección de planes de vida, evitando la intromisión estatal en asuntos que sólo atañen a la moral del individuo. Argentina ha consagrado este aspecto del derecho a la privacidad en el art. 19 de su Constitución, cuando establece que las “acciones privadas (...) están exentas de la autoridad de los magistrados”

Esfera de la información: Surge con la aparición de las nuevas tecnologías, y la avidez por la adquisición, consumo y difusión de información generada por las nuevas economías. Desde esta perspectiva, el derecho a la privacidad es el derecho a que toda información sobre la vida privada de una persona poseída por terceros -entre ellos, los Estados y las empresas- sea utilizada de una manera que no perjudique los intereses del titular de esa información . En Europa se utiliza el término “protección de datos personales” para designar este derecho, el cual es considerado como un derecho independiente, aunque sin dejar de reconocer su fuerte vínculo con la privacidad. actualmente cuenta con la ley 25.326 de protección de datos personales sancionada en el año 2000[20].

Casos

En contexto de COVID-19

En los hechos, la información sensible que involucra la vida privada de una persona poseída por terceros -entre ellos, el Estado y las empresas- se utiliza de formas que violan los artículos 18, 19 y 43 de la Constitución Argentina. Lo dicho se ve agravado por las “licencias” que muchos estados se están tomando en marco de la crisis sanitaria generada por el COVID-19. Para atender a la emergencia, el Ministerio de Salud argentino lanzó una app que accede al calendario, a los contactos, a la ubicación, fotos, archivos y datos multimedia, camara, microfono, información del WIFI, ID de dispositivo y datos de llamadas, entre otros. De esta forma, acopia información sensible sin explicar claramente su finalidad, se presenta como una herramienta de “autodiagnóstico” pero el volumen y la calidad de los datos que solicita exceden largamente ese fin.

SIBIOS

El Sistema Federal de Identificación Biométrica para la Seguridad (SIBIOS) fue creado por el decreto del Poder Ejecutivo Nacional Argentino número 1766/11, impulsado desde el Ministerio de Seguridad de la Nación en el 2011. [21]

Fue por eso que se fue cambiando el viejo DNI, aquella libretita verde, por una credencial. Para la renovación es necesario que los ciudadanos otorguen una copia de sus huellas dactilares y su rostro biométrico, osea una captura de los elementos que hacen que nuestra cara sea única. Con esa información más la del nuevo pasaporte con chip se nutre la base de datos de SIBIOS.

Activistas en derechos digitales han cuestionado ese sistema, por ejemplo, el fundador del Software Libre, Richard Stallman decidió no volver a Argentina porque en los controles migratorios exigen a los extranjeros que otorguen su huella dactilar; también el ciberactivista Julian Assange consideró que este país tiene la vigilancia más agresiva de América Latina.

Leandro Ucciferri, abogado del área digital de la Asociación por los Derechos Civiles, “el primer paso erróneo con SIBIOS es que fue introducido a través de un decreto. De esa forma se esquivó el debate público sobre qué significa implementar la biometría a nivel nación”.

Uno de los grandes problemas de SIBIOS, a decir de los investigadores, es que hay muy poca transparencia en torno a cómo se recolecta la información, cómo se almacena, cómo se utiliza, por quiénes, cuáles son sus logaritmos. A través de pedidos de información, la Asociación por los Derechos Civiles sólo ha podido acceder al nombre del fabricante y de la tecnología que se compró para operar el sistema. [22]

En Inglaterra, una de las democracias más vigiladas del mundo, en el año 2010 una ley obligó al estado a destruir todos los registros biométricos almacenados, derogando la ley del 2006 que creaba un registro nacional de identidad donde se almacenaban los datos de las tarjetas de identidad. Algunas de las razones de su fracaso fueron las inquietudes expresadas por organizaciones de derechos humanos, activistas, profesionales de seguridad informática y expertos en tecnología así como de muchos políticos y juristas. Muchas de las preocupaciones se centraron en las bases de datos que almacenaban los datos de las tarjetas de identidad, luego de que algunas dependencias estatales «perdieron” discos con datos pertenecientes a 25 millones de británicos. [23]

En Francia en marzo de 2012 se declaró inconstitucional la ley que establece que más de 45 millones de sus habitantes deberán digitalizar sus rostros y huellas dactilares en lo que se convertiría en la mayor base de datos de registros biométricos de aquel país. Los argumentos para tomar esa decisión fueron que la nueva ley viola los derechos fundamentales a la privacidad y presunción de inocencia.[24]

La identidad “positiva” de la biometría nos presenta a una herramienta eficaz para la prevención del delito. Pero luego de ser sometida a un examen de reconocimiento, otra identidad se nos revela. Esa identidad “negativa” nos dice que el uso de tecnologías biométricas presenta serios desafíos a los derechos de las personas, en particular el derecho a que sus datos personales sean protegidos.

En el caso de SIBIOS, el gobierno argentino ha creado un sistema que contiene las huellas digitales y fotografías de todas las argentinas y todos los argentinos. Este tipo de información puede ser utilizada de maneras que perjudiquen gravemente la privacidad, la intimidad y la libertad de expresión de las personas. Así, en nombre de una supuesta eficiencia, se pone en riesgo una de los objetivos principales de su ordenamiento jurídico: “asegurar los beneficios de la libertad, para nosotros, para nuestra posteridad, y para todos los hombres del mundo que quieran habitar en el suelo argentino”. [25]

Referencias

  1. https://www.letrap.com.ar/nota/2019-4-11-9-59-0-datos-personales-hacia-una-nueva-ley-con-viejas-manas
  2. https://web.archive.org/web/20110706083721/https://www.sitioseguro.jus.gov.ar/dnpdp/acceso/index.epl
  3. https://www.argentina.gob.ar/aaip/datospersonales/reclama
  4. https://www.ciberseguridadlatam.com/2018/10/25/argentina-sera-obligatorio-registrar-nuevamente-las-bases-de-datos/
  5. https://www.argentina.gob.ar/aaip/datospersonales/proyecto-ley-datos-personales
  6. https://www.infobae.com/politica/2019/09/21/expertos-en-proteccion-de-datos-piden-modificar-la-ley-corremos-el-riesgo-de-ser-manipulados-por-empresas-o-gobiernos/
  7. 7,0 7,1 7,2 7,3 7,4 https://adc.org.ar/wp-content/uploads/2019/06/044-analisis-inicial-del-proyecto-de-ley-de-proteccion-de-datos-personales-vol-1.pdf
  8. https://clickdatos.es/donde-hay-mas-garantias-de-proteccion-de-datos-en-europa-o-estados-unidos/
  9. http://www.mundolopd.com/lopd/diferencias-europa-eeuu-proteccion-de-datos/
  10. http://www.eljurista.eu/2015/04/26/comparativa-de-la-proteccion-de-datos-en-europa-y-en-estados-unidos/
  11. https://es.wikipedia.org/wiki/Reglamento_General_de_Protecci%C3%B3n_de_Datos
  12. https://tn.com.ar/tecno/f5/reglamento-general-de-proteccion-de-datos-europeo-como-afecta-en-argentina_87125
  13. https://cnnespanol.cnn.com/2018/06/30/california-ley-privacidad-internet-estricta-estados-unidos/
  14. https://protecciondatos-lopd.com/empresas/nueva-ley-proteccion-datos-2018/
  15. 15,0 15,1 15,2 https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/02_05_d_15/
  16. https://theword.iuslaboris.com/hrlaw/attachment_dw.action?attkey=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQJsWJiCH2WAWuU9AaVDeFgp5GbmSuRSLa&nav=FRbANEucS95NMLRN47z%2BeeOgEFCt8EGQbuwypnpZjc4%3D&attdocparam=pB7HEsg%2FZ312Bk8OIuOIH1c%2BY4beLEAefoze9tZrGCQ%3D&fromContentView=1
  17. https://iapp.org/news/a/el-nuevo-entorno-regulatorio-de-la-proteccion-de-datos-personales-en-chile/
  18. https://es.wikipedia.org/wiki/Ley_Federal_de_Protecci%C3%B3n_de_Datos_Personales
  19. http://legislacion.asamblea.gob.ni/normaweb.nsf/9e314815a08d4a6206257265005d21f9/e5d37e9b4827fc06062579ed0076ce1d
  20. https://adc.org.ar/wp-content/uploads/2019/06/030-desafios-de-la-biometria-para-la-proteccion-de-datos-05-2017.pdf
  21. https://es.wikipedia.org/wiki/Sistema_Federal_de_Identificaci%C3%B3n_Biom%C3%A9trica_para_la_Seguridad_(SIBIOS
  22. https://www.vice.com/es_latam/article/vbjmzj/tenemos-que-hablar-de-sibios
  23. https://www.anred.org/2013/07/01/sibios-vigilancia-masiva-en-la-argentina/
  24. https://www.anred.org/2013/07/01/sibios-vigilancia-masiva-en-la-argentina/
  25. https://adc.org.ar/wp-content/uploads/2019/06/030-desafios-de-la-biometria-para-la-proteccion-de-datos-05-2017.pdf