Categoría Top Descargas
Iniciar sesión Registrarse Subir

Analisis Comparativo Legislaciones Proteccion de Datos y Habeas Data

July 5, 2017 | Autor: Lester Ramirez | Categoría: Honduras, Protección de Datos Personales
Share Embed
Laporkan tautan ini


Descripción

Análisis Comparativo de Legislaciones Sobre Protección de Datos Personales y Hábeas Data

Consultoría: Elaboración del Anteproyecto de Ley del Hábeas Data en Honduras

Dr. Lester Ramírez Irías 21 de enero de 2014 Tegucigalpa, M.D.C

Índice Acrónimos................................................................................................................................................................................. 2 Resumen Ejecutivo ............................................................................................................................................................... 3 I.

Introducción .................................................................................................................................................................. 7

II.

Metodología ................................................................................................................................................................... 8

III.

El Derecho Fundamental a la Protección de Datos Personales ..................................................... 9

1.

Los Principios Armonizados de Protección de Datos Personales ..............................................11

2.

Del Derecho a la Intimidad al Derecho a la Protección de Datos Personales .......................12

3.

Hábeas Data y el Derecho de Protección de Datos Personales ....................................................14

4.

La Importancia de una Ley de Protección de Datos Personales en Honduras ....................16 4.1.

El Estado como garante de Derechos y Libertades ..................................................................16

4.2. Protección de datos mejora la competitividad y brinda seguridad a consumidores e inversionistas ..........................................................................................................................................................17 IV.

Desarrollo Internacional del Derecho a la Protección de Datos Personales.........................18

1.

El Derecho Internacional de los Derechos Humanos ........................................................................19

2.

Europa: El Epicentro del Derecho a la Protección de Datos Personales .................................20

3. El Derecho a la Protección de Datos Personales desde la óptica de la Organización de los Estados Americanos ..............................................................................................................................................22 V.

Análisis de Legislaciones y Prácticas Iberoamericanas ........................................................................23 1.

Colombia- Ley General de Protección de Datos Personales ..........................................................25

2. Costa Rica- Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales .........................................................................................................................................................................28 3. España- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. .............................................................................................................................................................................32 4.

México- Ley Federal de Protección de Datos Personales en Posesión de los Particulares 36

5.

Uruguay- Ley 18.331 de Protección de Datos Personales y Acción de Habeas Data........39

VI.

Resumen de Buenas Prácticas a ser considerados en la Legislación Hondureña ..............40

VII.

Conclusiones y Recomendaciones ..............................................................................................................41

Bibliografía .............................................................................................................................................................................43

1

Acrónimos AGPD CEDH IAIP LTAIP IFAI LOPD OCDE OEA ONU PRODHAB RIPD TEDH TICs UE

Agencia Española de Protección de Datos Convención Europea de Derechos Humanos Instituto de Acceso a la Información Pública Ley de Transparencia y Acceso a la Información Pública Instituto Federal de Acceso a la Información y Protección de Datos Personales Ley Orgánica de Protección de Datos de Carácter Personal de España Organización para la Cooperación y Desarrollo Económico Organización de Estados Americanos Organización de las Naciones Unidas Agencia de Protección de Datos de los Habitantes de Costa Rica Red Iberoamericana de Protección de Datos Tribunal Europeo de Derechos Humanos Tecnologías de la Información y Comunicación Unión Europea

2

Resumen Ejecutivo El nombre y los apellidos, la fecha de nacimiento, la edad, el sexo, la dirección postal o de correo electrónico, el número de teléfono, el número de identidad, la matrícula del carro y muchos otros datos que se usan a diario constituyen información valiosa que permite identificar a las personas, ya sea directa o indirectamente. Dónde residen, qué bienes adquieren, dónde los compra, cuál es su historial clínico, los préstamos que obtiene y su perfil en una red social son información que dicen todo sobre las personas. En ese sentido, los datos personales en la era de la información son sumamente importantes, pues describe a las personas, sus preferencias, capacidades y habilidades. Ante la falta de una normativa clara y con aplicación en Honduras, tanto al sector público como privado, en muchas ocasiones se recogen datos personales de carácter sensible sin el consentimiento de sus titulares y sin los debidos estándares de seguridad. Asimismo, una vez recogidos, se tratan y se transfieren a terceros para fines mercantiles o se desconoce el destino o uso que tendrá estos datos personales –algo especialmente riesgoso considerando el clima de inseguridad ciudadana. Por otro lado, las personas desconocen sus derechos al acceso a sus propios datos personales, a la rectificación de cualquier dato erróneo o desactualizado, a la eliminación y menos aún al derecho de oposición que pueden ejercitar al enterrarse que sus datos personales fueron recolectados sin su consentimiento informado. Si bien, la Ley de Transparencia y Acceso a la Información Pública (LTAIP) y su Reglamento, establecen las bases administrativas para garantizar y regular la protección de datos personales, el ordenamiento jurídico y diseño institucional actual no toma en cuenta las bases de datos de titularidad privada y tampoco le otorga suficientes facultades y capacidades regulatorias al Instituto de Acceso a la Información Pública (IAIP). En América Latina, la protección de los datos se encuentra íntimamente vinculada al concepto de hábeas data. A diferencia de las leyes de protección de datos, el hábeas data no exige que las entidades públicas o privadas protejan por su iniciativa los datos personales que procesan, sino que sólo requiere que la persona agraviada, tras presentar una denuncia ante la justicia, obtenga acceso y la capacidad de rectificar todo dato personal que pueda atentar contra su derecho a la privacidad. Una garantía de esta índole opera cuando ya la lesión ha sido ocasionada; cuando la persona no ha recibido un préstamo bancario, ha perdido alguna oportunidad de empleo o de interacción social. Asimismo, este mecanismo puede no otorgar un recurso legal a una persona agraviada si sus datos personales han sido transferidos fuera del país. El derecho fundamental a la protección de datos “es la capacidad que tiene el ciudadano o la ciudadana para disponer y decidir sobre todas las informaciones que se refieran a él o a ella.” Este derecho se traduce en el poder de disposición y control que faculta al titular de sus datos personales a decidir cuáles de sus datos proporciona a un tercero. Es decir, es el derecho que tiene

3

toda persona a conocer y decidir, quién, cómo y de qué manera recaba y utiliza sus datos personales. El ejercicio del derecho a la protección de datos personales de manera efectiva, incluye tanto el acceso a la información asentados en archivos, bases de datos, registros públicos o privados, así como también de la posibilidad de actualizar, rectificar, eliminar u oponerse. De esta manera, la protección de datos, establece normas sobre las modalidades de tratamiento de datos personales, se concreta en poderes de intervención: la tutela es dinámica, y sigue a los datos durante su circulación. Los poderes de control e intervención, además, no pertenecen sólo a las personas directamente interesadas, sino que son confiados a una autoridad garante e independiente. ORIGENES Y DESARROLLO DOCTRINAL Los primeros esbozos y aproximaciones del derecho a la protección de datos personales devienen del reconocimiento del derecho fundamental a la vida privada y familiar - “derecho a ser dejado solo”. Con la Carta de los Derechos Fundamentales de la Unión Europea del 2000, se da un importante viraje al concebir la protección de datos personales como un derecho fundamental, autónomo e independiente del derecho a la vida privada y familiar. Dicha autonomía tiene diversas consecuencias, por ejemplo, una infracción del derecho de protección de datos puede afectar otros derechos y libertades diferentes a la privacidad como, entre otros, el buen nombre, el debido proceso, el honor, el trabajo. Asimismo, la protección de datos personales se amplía a cualquier naturaleza de información sobre la persona (privada, sensible, semiprivada y pública), lo cual implica que toda clase de dato personal debe ser tratado debidamente. ANALISIS COMPARATIVO La protección de datos personales cuenta con regulaciones específicas en diversas partes del mundo que han obedecido a diferentes motivaciones acordes con la realidad socio-económica, política y jurídica de cada país o región. Es posible identificar modelos de regulación basados en distintos enfoques y perspectivas, ya sea enfatizando el derecho a la protección de datos como un derecho fundamental o protegiendo los derechos de los consumidores. De los cincos países analizados (Colombia, Costa Rica, España, México y Uruguay), la Ley Orgánica de Datos de Carácter Personales de España es la que más vigencia tiene (14 de enero de 2000) y ha servido de fuente de derecho y de desarrollo institucional para los países latinoamericanos. La de México, es la que más se asemeja al diseño institucional actual, donde el ente regulador del acceso a la información ha de jugar un rol protagónico en la protección de datos. Por otro lado, la legislación costarricense presenta elementos innovadores en torno a la búsqueda de sostenibilidad financiera del órgano de control, la Agencia de Protección de Datos de los Habitantes de Costa Rica.

4

Todas las legislaciones analizadas comparten en cierta medida similares objetivos, ámbitos de aplicación, principios y derechos garantizados, pues responden al espíritu garantista de la tradición de Europa Continental. La gran diferencia recae en la figura de la autoridad u órgano de control que difiere en nombre, diseño institucional, localización dentro del aparato administrativo del Estado y en las competencias o facultades que el legislador le ha otorgado. Las autoridades reguladoras nacionales son las instancias de competencia administrativa, que intervienen una vez el titular no ha obtenido respuesta por parte de la entidad pública o privada responsable del tratamiento de los datos personales o actúan conformen a las anomalías que han encontrado a través del control que realizan. Dichas autoridades regulatorias tienen la capacidad de imponer sanciones, según la gravedad de la infracción. Asimismo, las legislaciones permiten que una vez evacuada la instancia administrativa, la persona interesada presente acción judicial. En ese sentido, las leyes de protección de datos personales vienen a completar los vacíos que deja la garantía de hábeas data. CONCLUSIONES La regulación sobre la protección de datos personales que está desarrollándose en América Latina, responde a varias razones: una, y probablemente la más efectiva, es la que impone la globalización económica, en virtud de la cual resulta imprescindible buscar un equilibro entre los intereses económicos -que cada vez más exigen mayores transferencias internacionales de datos, a la par que un tratamiento adecuado de ellos, pues su protección constituye un derecho fundamental de la persona- para que el desarrollo del comercio internacional sea compatible con una adecuada protección de la privacidad en lo que respecta a los datos personales. El resultado de este ejercicio comparativo fue poder identificar el procedimiento de protección de datos que mejor se aplica al contexto jurídico e institucional de Honduras, descrito brevemente así: a) El Titular que desee ejercitar cualquiera de los derechos que la Ley le confiere (Habeas Data), podrá iniciar el ejercicio correspondiente directamente con el Responsable del Tratamiento (entidad pública o privada) que tenga o almacene supuestamente sus datos. b) Si el Responsable del Tratamiento ignora o niega al Titular su petición, el Titular podrá acudir al IAIP. c) Ante el IAIP el procedimiento se inicia con una solicitud de protección de datos personales la cual se tramitará en términos de Ley y será resuelta según se acrediten o no, los extremos solicitados. Esto es, el Titular deberá acreditar que sus derechos AREO (acceso, rectificación, eliminación u oposición) no le fueron respetados y esto puede ser desde una negativa formal, hasta ignorar totalmente la solicitud correspondiente. d) El IAIP tiene que otorgar al Responsable del Tratamiento, los derechos de la garantía de audiencia previa y de legalidad, esto es, de que pueda defenderse y ofrecer las pruebas de descargo correspondientes.

5

e) El procedimiento concluye después de las argumentaciones y pruebas que presente el Responsable del Tratamiento y el IAIP dictará una resolución, bien sea a favor o en contra del Titular reclamante. f) Se le concederá a quien resulte responsable de la infracción, un plazo perentorio para satisfacer la petición del Titular y en su caso, la falta de cumplimiento podría ocasionar la imposición de multas severas en su contra. Como reflexión final en general en América Latina, hace falta una nueva cultura y más educación; en este sentido no sólo es suficiente la aprobación de un marco normativo específico, se considera necesario incidir en el marco regulatorio de la educación de cada país, e incluir este derecho en la currícula, en los planes y programas de estudio.

6

I.

Introducción

En Honduras, durante los últimos 30 años se ha visto todo un desarrollo institucional y jurídico en torno a los derechos humanos que ha permitido avanzar en materia constitucional y así regular la intromisión discrecional del Estado en las libertades civiles y políticas de los ciudadanos. Sin embargo, aún no existe un control claro y específico respecto a la vida privada de las personas y su interacción con las tecnologías de la información, y las nuevas formas de relacionamiento que esto conlleva tanto en el sector público como el privado. En América Latina, la protección de los datos se encuentra íntimamente vinculada al concepto de hábeas data –fenómeno que no es compartido en el contexto europeo o anglosajón. En el caso hondureño, la Constitución Política de 1982 en su artículo 182 reconoce la garantía de Hábeas Data, como el derecho que tiene toda persona de acceder a la información sobre sí misma o sus bienes en forma expedita y no onerosa, ya esté contenida en base de datos, registros públicos o privados y, en el caso de que fuere necesario, actualizarla, rectificarla y/o suprimirla. El recurso de hábeas data, al ser un instrumento o un mecanismo de garantía procesal a favor de personas que han sufrido un menoscabo en su ámbito de intimidad, se considera un derecho procesal reactivo frente a una lesión ya ocasionada. Una garantía de esta índole opera cuando ya la lesión ha sido ocasionada; cuando la persona no ha recibido un préstamo bancario, ha perdido alguna oportunidad de empleo o de interacción social. Es decir, tal como se encuentra actualmente la garantía constitucional, el elemento preventivo no se ha considerado. Ante la falta de una normativa clara y con aplicación en Honduras, tanto al sector público como privado, en muchas ocasiones se recogen datos personales de carácter sensible sin el consentimiento de sus titulares y sin los debidos estándares de seguridad. Asimismo, una vez recogidos, se tratan y se transfieren a terceros para fines mercantiles o se desconoce el destino o uso que tendrá estos datos personales –algo especialmente riesgoso considerando el clima de inseguridad ciudadana. En general, los titulares desconocen sus derechos al acceso a sus propios datos personales, a la rectificación de cualquier dato erróneo o desactualizado, a la eliminación y menos aún al derecho de oposición que pueden ejercitar al enterrarse que sus datos personales fueron recolectados sin su consentimiento informado. Si bien, la Ley de Transparencia y Acceso a la Información Pública (LTAIP) y su Reglamento, establecen las bases administrativas para garantizar y regular la protección de datos personales, el ordenamiento actual no toma en cuenta las bases de datos de titularidad privada y tampoco le otorga suficientes facultades y capacidades regulatorias al Instituto de Acceso a la Información Pública (IAIP).

7

Ante una garantía constitucional de hábeas data que actúa de manera reactiva –una vez que la violación se ha consumido- y el vacío legislativo e institucional en términos de prevención de posibles violaciones contra la intimidad de las personas a través de sus datos personales. Ante los riesgos, ya no latentes, pero reales en términos de recolección, uso y transferencia de datos sin consentimiento y sin adecuadas garantías de seguridad del sector público y privado. Sumado al desconocimiento generalizado que existe por la población de sus derechos y de las obligaciones que deben cumplir las entidades que realizan un tratamiento de datos personales; hoy por hoy, una ley de protección de datos y hábeas data es una necesidad para Honduras, si realmente pretende ser un Estado de Derecho y un país competitivo en términos económicos. El presente trabajo tiene cuatro grandes objetivos. El primero, busca introducir el tema de la protección de datos personales en el rol que tiene el Estado como garante de derechos fundamentales -“la persona humana es el fin supremo de la sociedad y del Estado”. Para tal fin, se presentaran algunos riesgos de la falta de protección de datos personales por el Estado y los abusos que se pueden cometer por el mismo sector público como empresas mercantiles. Después de desarrollar y analizar los elementos teóricos conceptuales, el segundo objetivo, buscará hacer una revisión de la evolución del derecho. Para tal fin, se documentará los orígenes normativos, los enfoques jurídicos de Europa Continental y países anglosajones, y los intentos de desarrollar estándares internacionales –en ausencia de una ley modelo. Como tercer objetivo, se brindará un análisis comparativo de cinco países iberoamericanos que tienen legislación sobre protección de datos personales o hábeas data, a saber: Colombia, Costa Rica, España, México y Uruguay. Se enfatizará en la estructura de las leyes, los derechos y obligaciones, el ente regulador y algunas buenas prácticas que han de ser consideradas para el contexto hondureño. El cuatro objetivo, ará un recuento de la temática desarrollada y presentará una serie de conclusiones y recomendaciones aplicables al contexto institucional y normativo de Honduras, prestando especial atención a las oportunidades que existen para el IAIP en convertirse en la Autoridad de Protección de Datos; responsable de promover y garantizar el derecho fundamental de protección de datos personales y ejercer la vigilancia de la legislación que se ha de desarrollar en un futuro cercano.

II.

Metodología

Al ser un estudio aproximativo, pues en Honduras no se había realizado una investigación relacionada con el estado de la protección de datos, el trabajo se basó en dos actividades primordiales: 1) Revisión documental (fuentes secundarias), y 2) Entrevistas a profundidad (fuentes primarias). El cuadro abajo presentado, enlista las fuentes y personas entrevistas.

8

Tabla 1 Fuentes Consultadas- Análisis Comparativo de Legislaciones Sobre Protección de Datos Personales y Hábeas Data Revisión documental : véase Sección “Bibliografía“)

  

 



Entrevistas a profundidad: participación multidisciplinaria y multisectorial



 

 

Trabajos académicos. Informes de organismos gubernamentales que promueven o regulan la protección de datos a nivel iberoamericano Análisis jurídicos desarrollados por instancias que estudian el fenómeno y realizan incidencia regional en la temática (por ejemplo, la Red Iberoamericana de Protección de Datos). Revisión de legislación y los avances en materia del derecho supranacional europeo. acceso a información documental que el IAIP compartió relacionada al impacto que tendría la reforma constitucional del Hábeas Data en la LTAIP Proyecto de Decreto de la Ley de Protección de Datos Personales en Posesión de los Particulares que el Diputado Augusto Cruz Asensio presento a consideración del Congreso Nacional en octubre de 2011 Jorge Madariaga, Decano de la Facultad de Derecho de la Universidad Nacional Autónoma (UNAH) y referente nacional en derecho y su vinculación con las nuevas tecnologías de la información. Víctor Molina, Secretario de la Facultad de Derecho de la UNAH con estudios de postgrados sobre el tema de protección de datos. Tania Sagastume, Superintendente de Valores en la Comisión Nacional de Bancos y Seguros (CNBS) y tiene bajo se ámbito de competencias la regulación de las centrales de riesgos y el manejo de la Central de Información Crediticia. Leo Valladares, participe activo en la formulación de la LTAIP y coordinador del Centro de Estudios e Investigaciones del IAIP Entrevistó a informáticos del Banco Ficohsa y Bac Honduras que manejan bases de datos.

Sin embargo, el estudio no solamente utilizó las técnicas de investigación aplicables a investigaciones jurídicas como el análisis comparativo o el análisis de contenido, sino que se complementó con técnicas como el análisis institucional y de contexto (PNUD, 2012). Esto vino a complementar los elementos formalistas del estudio jurídico con elementos de teoría de las organizaciones y el neo-institucionalismo, que toman en cuenta las reglas informales que inciden en el comportamiento de las personas y de las organizaciones.

III.

El Derecho a la Protección de Datos Personales

Derivado de la potencial agresividad que representa el uso de las nuevas tecnologías de la información hacia los derechos de las personas -específicamente en relación con el uso de su información personal-, surge “el derecho a la protección de datos personales”; considerado un derecho de la cuarta generación o derechos de la sociedad del conocimiento.

9

Según la Agencia Española de Protección de Datos (2011), el derecho fundamental a la protección de datos “es la capacidad que tiene el ciudadano o la ciudadana para disponer y decidir sobre todas las informaciones que se refieran a él o a ella.” Este derecho se traduce en el poder de disposición y control que faculta al titular de sus datos personales a decidir cuáles de sus datos proporciona a un tercero. Es decir, es el derecho que tiene toda persona a conocer y decidir, quién, cómo y de qué manera recaba y utiliza sus datos personales. Este nuevo derecho implica la libertad que tiene toda persona para elegir qué desea comunicar, cuándo y a quién, manteniendo el control personal sobre la propia información.1 El ejercicio del derecho a la protección de datos personales de manera efectiva, incluye tanto el acceso a la información asentados en archivos, bases de datos, registros públicos o privados, así como también de la posibilidad de actualizar, rectificar, eliminar u oponerse.2 

  

Derecho de acceso: La persona posee un poder de disposición o decisión acerca de la información que le concierne. Este poder de decisión conlleva necesariamente el derecho a conocer si dicha información está siendo objeto de tratamiento, así como el alcance de dicho tratamiento. El derecho de acceso tiene una doble acepción: por una parte implica el conocimiento por el titular de la efectiva existencia de un tratamiento de sus datos; por otra, supone un derecho a conocer, si el tratamiento se está llevando a cabo, las circunstancias esenciales relacionadas con aquél. Derechos de rectificación: prerrogativa del titular a que se modifiquen los datos que resulten ser inexactos o incompletos. Derecho de eliminación: derecho del titular que da lugar a que se supriman o eliminen los datos que resulten ser inadecuados o excesivos. Derecho de oposición: prerrogativa que consiste en solicitar el cese del uso de datos personales para determinada finalidad, como podría ser la publicidad o prospección comercial. En otras palabras, es la facultad que tiene el titular de los datos personales en mantener en reserva su información personal.

De esta manera, la protección de datos, establece normas sobre las modalidades de tratamiento de datos personales, se concreta en poderes de intervención: la tutela es dinámica, y sigue a los datos durante su circulación (Rodatá, S., 2005). Los poderes de control e intervención, además, no pertenecen sólo a las personas directamente interesadas, sino que son confiados a una autoridad garante e independiente.

1

Para mayor información sobre el carácter fundamental y autónomo, ver sentencia 292/2000 del Tribunal Constitucional Español, disponible en el sitio oficial de Internet del Tribunal Constitucional de España en el vínculo: http://www.tribunalconstitucional.es/es/jurisprudencia/Paginas/Sentencia.aspx?cod=7467 2 En el contexto normativo mexicano, estas cuatro acciones o dimensiones del derecho fundamental a la protección de datos personales, se les conoce como Derechos ARCO (acceso, rectificación, cancelación y oposición). En el caso, hondureño, la garantía constitucional del hábeas data utiliza el término “eliminación” en vez de cancelación de datos personales, por ende cualquier instrumento jurídico que se desarrolle tendrá que estar en armonía con la disposición constitucional.

10

1. Los Principios Armonizados de Protección de Datos Personales De acuerdo con los “Estándares Internacionales sobre Protección de Datos Personales y Privacidad. Resolución de Madrid de 2009”,3 los principios que configuran el derecho a la protección de datos personales son los siguientes: a) Principio de lealtad y legalidad: los tratamientos de datos personales se deberán realizar de manera leal, respetando la legislación nacional aplicable y los derechos y libertades de las personas. b) Principio de finalidad: el tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades determinadas, explícitas y legítimas de la persona responsable. La persona responsable se abstendrá de llevar a cabo tratamientos no compatibles con las finalidades para las que hubiese recabado la información personal, a menos que cuente con el consentimiento inequívoco del titular.4 c) Principio de proporcionalidad: el tratamiento de datos personales deberá circunscribirse a aquéllos que resulten adecuados, relevantes y no excesivos en relación con las finalidades previstas. d) Principio de calidad: el responsable del tratamiento deberá asegurar en todo momento que los datos de carácter personal sean exactos, así como que se mantengan tan completos y actualizados como sea necesario para el cumplimiento de las finalidades para las que sean tratados. La persona responsable deberá limitar el periodo de conservación de la información personal tratada al mínimo necesario. De este modo, cuando los datos de carácter personal hayan dejado de ser necesarios para el cumplimiento de las finalidades que legitimaron su tratamiento deberán ser cancelados o convertidos en anónimos. e) Principio de transparencia: toda persona responsable deberá contar con políticas transparentes en lo que a los tratamientos de datos personales que realice se refiere. La persona responsable deberá facilitar a los interesados, al menos, información acerca de su identidad, de la finalidad para la que pretende realizar el tratamiento, de los destinatarios a los que prevé ceder los datos de carácter personal y del modo en que los interesados podrán ejercer los derechos de acceso, rectificación, cancelación u oposición.

3

La Resolución de Madrid de 2009 es el intento más reciente que se ha hecho para desarrollar estándares internacionales para la protección de la privacidad, en relación con el tratamiento de datos de carácter personal. Estos estándares fueron acogidos en la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad. Para mayor información, véase: http://www.privacyconference2009.org/home/indexides-idweb.html 4 En términos jurídicos la persona responsable del tratamiento se le conocer como “Responsable del Tratamiento”. Se considera Responsable del Tratamiento la persona natural o jurídica, pública o privada, que por sí misma o en conjunto con otros, decida sobre la base de datos y/o el tratamiento de los datos.

11

f) Principio del consentimiento: dado que el derecho a la protección de datos consiste en el poder de decisión y control que goza la persona sobre el tratamiento de sus datos de carácter personal, el consentimiento se sitúa como la manifestación de este poder decisorio y pos consecuencia como causa principal legitimadora del tratamiento de los datos personales. Este consentimiento debe caracterizarse por ser previo, libre, inequívoco, informado y por último, puede ser revocado por el titular o su representante en cualquier momento, no pudiendo exigirse para esa revocación más requisitos que los que fueron necesarios para la previa prestación del consentimiento. g) Principio de responsabilidad: la persona responsable deberá adoptar las medidas necesarias para cumplir con los principios y obligaciones establecidos en la legislación nacional aplicable. Como todo derecho tiene límites, en este caso, se define la seguridad del Estado, la prevención y persecución de los delitos serían objetivos que no podrían limitarse con el argumento de proteger los datos personales. No obstante, tales excepciones deberán ser contrastadas por principios tales como el de justicia, razonabilidad y transparencia administrativa, a los que habría que agregar el de proporcionalidad.

2. Del Derecho a la Intimidad al Derecho a la Protección de Datos Personales Con el derecho fundamental a la protección de datos, se ha llegado al límite de una larga evolución del concepto de privacidad, desde su definición original como “derecho a ser dejado solo” hasta el poder de controlar las informaciones que conciernen a cada uno y decidir las modalidades de construcción de su propia esfera privada (Rodatá, S., 2005). Antes del año 2000, el derecho de protección de datos personales desarrollado, especialmente aquel proveniente de Europa, se centró en establecer los requisitos que deben observarse en el tratamiento de los datos personales desde el prisma del derecho de la intimidad.5 Con la Carta de los Derechos Fundamentales de la Unión Europea del 2000, se da un importante viraje al concebir la protección de datos personales como un derecho fundamental, autónomo e independiente del derecho a la vida privada y familiar. Para poder comprender las diferencias que existen entre el derecho de protección de datos y el derecho a la intimidad, en palabras de Eduardo Gallardo (2009), el derecho de la protección de datos personales “confiere a su titular poderes de disposición y control sobre los propios datos 5

Ejemplo de esto queda evidenciado en lo que establece el Consejo de Europa en 1981 a través del artículo 1 del Convenio 108 donde menciona que la finalidad del convenio esa garantizar a las personas naturales “el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona (protección de datos).

12

personales”, mientras que el derecho a la intimidad “atribuye al individuo la facultad de reserva sobre los ámbitos, datos o informaciones íntimas, que es así mismo una forma de ejercitar la capacidad de disposición sobre la propia información”.6 En todo caso, la autonomía del derecho de protección de datos personales tiene diversas consecuencias entre las cuales se destacan las siguientes: 1. Aunque el derecho a la intimidad y el derecho a la protección de datos personales pueden verse involucrados en una misma situación, no toda lesión del derecho a la intimidad implica una afectación al derecho de protección de los datos personales, ni viceversa. En algunas circunstancias, por ejemplo, una infracción del derecho de protección de datos también puede afectar otros derechos y libertades de la persona diferentes a la privacidad como, entre otros, el buen nombre, el debido proceso, el honor, el trabajo. 2. La protección de datos personales se amplía a cualquier naturaleza de información sobre la persona (privada, sensible, semiprivada y pública), lo cual implica que toda clase de dato personal debe ser tratado debidamente.

Ilustración 1 Continuum del Derecho de Protección de Datos

PRIMERA GENERACIÓN 1970-2000 -Ligado fuertemente al Derecho a la Intimidad; el poder se limita a la exclusión de interferencias ajenas -Influenciado por el derecho a la vida privada y familiar -Referentes: Resolución 45/95 -ONU; Directiva 95/46/CE- Consejo de Europa, OECD

SEGUNDA GENERACIÓN 2000 - presente - Derecho a la Intimidad no es la máxima; Derecho a la protección de datos como derecho “autónomo” -No necesariamente al violentar el derecho a la protección de datos personales, se transgrede el derecho a la intimidad, y viceversa. Por ejemplo: el buen nombre, el debido proceso, el honor, el trabajo -Carta de Derechos Fundamentales de la Unión Europea (Art. 8)

Fuente: Elaboración propia

6

Se puede conceptuar el derecho a la intimidad como "la respuesta jurídica al interés de cada persona de lograr un ámbito en el cual pueda desarrollar, sin intrusión, curiosidad, ni injerencia de los demás, aquello que constituye su vida privada, es decir la exigencia existencial de vivir libre de un indebido control, vigilancia o espionaje".

13

3. Hábeas Data y el Derecho de Protección de Datos Personales El hábeas data es un mecanismo que otorga a la persona la facultad de detener el abuso de sus datos personales, sólo en el caso que se comprometa o infrinja su privacidad.7 Por otro lado, el hábeas data no exige que las entidades públicas y privadas protejan por su iniciativa los datos personales que procesan, sino que sólo requiere que la persona agraviada, tras presentar una denuncia ante la justicia, obtenga acceso y la capacidad de rectificar todo dato personal que pueda atentar contra su derecho a la privacidad. Asimismo, este mecanismo puede no otorgar un recurso legal a una persona agraviada si sus datos personales han sido transferidos fuera del país. En consecuencia, la protección o garantía del hábeas data, para organismos como la OEA (2011), es más limitada que el enfoque garantista europeo.

Se debe tener muy en mente que el hábeas data no es, entonces, sino una garantía o mecanismo jurídico procesal que permite la defensa, la realización de derechos fundamentales, en este caso, el derecho a la intimidad, a la autodeterminación informativa contra el uso indebido por parte de terceras personas. 8 En el caso hondureño, la Constitución Política de 1982 en su artículo 182 reconoce la garantía de Hábeas Data, como el derecho que tiene toda persona de acceder a la información sobre sí misma o sus bienes en forma expedita y no onerosa, ya esté contenida en base de datos, registros públicos o privados y, en el caso de que fuere necesario, actualizarla, rectificarla y/o suprimirla.9 Esta garantía es conocida por la Sala de lo Constitucional de la Corte Suprema de Justicia, según los términos y procedimientos establecidos en la Ley Sobre Justicia Constitucional (Decreto Legislativo No. 244-2003), estableciendo en su artículo 40 que el “recurso de Hábeas Data será interpuesto ante la Sala de lo Constitucional de la Corte Suprema de Justicia cuando se haya agotado el trámite administrativo correspondiente.” Las interrogantes que surgen a partir de dicha disposición, es sí existe actualmente un trámite administrativo específico y ante qué instancia se debe iniciar dicha tramite: ¿ante la persona natural o jurídica responsable del tratamiento de los datos personales? o es, ¿ante la instancia estatal que ha de atender las solicitudes de protección de datos personales? 7

Literalmente, hábeas data significa: “debes tener los datos”. En América Latina, la protección de los datos se encuentra íntimamente vinculada al concepto de hábeas data. Según un estudio realizado por la OEA (2007), el principio surgió en respuesta al impacto negativo que emanó del uso de las computadoras sobre los derechos a la privacidad. La Constitución Brasileña de 1988 fue la primera a utilizar la expresión hábeas data. Para mayor información, véase: Comité Jurídico Interamericano de la OEA (2007) “Derecho de la Información: Acceso y Protección de la Información y Datos Personales en Formato Electrónico.” 70º Período Ordinario de Sesiones. San Salvador, El Salvador. 9 Reformado mediante Decreto Legislativo 237-2012, publicado en el Diario Oficial La Gaceta el 23 de enero de 2013. 8

14

Una regulación normativa del derecho a la autodeterminación informativa, en términos constitucionales, no puede quedar constreñida a garantizar el acceso a la jurisdicción, aun si resulta indispensable para atender a los estándares internacionales en la materia, así como ofrecer medios para garantizar que el procesamiento de datos personales sigue una serie de lineamientos de calidad y de control contra los abusos y el ejercicio abusivo de prerrogativas de vigilancia y perfilado de las personas en la sociedad moderna (OEA, 2007). Es por lo anterior que las denominadas “leyes de protección de datos personales de tercera generación” se orientan en el modelo institucional, donde, por medio de un órgano creado al efecto, se vela constantemente por tomar directrices y políticas que garanticen las condiciones de este tipo de tratamiento de datos en forma coherente con las expectativas de protección en el actual ambiente de desarrollo de la sociedad.

Ilustración 2 Las diferencias entre el Hábeas Data y el Derecho de Protección de Datos Personales

DERECHO DE PROTECCIÓN DE DATOS PERSONALES

HABEAS DATA Garantía constitucional que goza toda persona Para obtener acceso a la información; impedir su transmisión o divulgación; rectificar datos inexactos o erróneos; actualizar información, exigir confidencialidad y la eliminación de información falsa; respecto de cualquier archivo o registro, privado o público, que conste en medios convencionales, electrónicos o informáticos, que produzcan daño al honor, a la intimidad personal, familiar y a la propia imagen.

•Es el derecho que toda persona tiene a controlar sus datos personales que se encuentran registrados en bases de datos de entidades públicas o privadas, personas naturales o jurídicas. •Derecho fundamental que se “el poder de controlar las informaciones que conciernen a cada uno y decidir las modalidades de construcción de su propia esfera privada.” Rodotà, S. (2003)

Fuente: Elaboración propia

15

4. La Importancia de una Ley de Protección de Datos Personales en Honduras Hoy día, prácticamente para cualquier actividad se requiere brindar información personal. Se facilitan datos personales cuando se abre una cuenta bancaria o al realizar un trámite administrativo ante una dependencia gubernamental, cuando se gestiona un crédito comercial, cuando se participa en un censo poblacional o cuando se navega por Internet. Con esta información se logra desarrollar la vida cotidiana; se adquieren bienes y servicios, se obtienen créditos, se reciben servicios de salud y de educación. Hoy, la empresa privada así como órganos y entes públicos han instalado una estructura informática capaz de procesar y tener acceso a información confidencial de vital importancia para la intimidad personal y familiar, sin que exista un mecanismo claro que los proteja contra una posible manipulación de los datos personales que lesionen sus derechos. De tal manera, que el acceso ilegítimo a los datos personales afecta el derecho a la intimidad de todos y todas. Personas no autorizadas pueden utilizar o apropiarse de datos de sensibles, imágenes, y hasta de cuentas bancarias, ocasionando graves daños que abarcan múltiples facetas de la vida, tales como la reputación, la honra, la integridad física y financiera. Así, para prevenir y abatir, en la medida de lo posible, los riesgos asociados al desarrollo de las tecnologías de la información y a fin de salvaguardar y respetar las libertades y derechos de los usuarios, los actores involucrados -estados, gobiernos, instituciones educativas, académicos, industria, sociedad civil organizada y sociedad en general- deberán adoptar y consensar medidas preventivas y proactivas en materia de prevención, educación, legislación y ética profesional. Lo anterior, suena sencillo pero es un desafío complejo que involucra el consenso de todos los actores involucrados, a fin de hacer efectivas todas las acciones tendentes a proteger la información personal tratada por medio de las cada vez más apabullantes tecnologías de la información. En ese sentido, la presente sección viene a describir la importancia de una legislación de protección de datos desde dos ópticas, que en más de una ocasión tendrán intereses divergentes en torno al manejo de datos personales; por lo tanto, han de requerir de una normativa que brinde garantías, seguridad y promueva el flujo de información bajo esquemas de integridad, rendición de cuentas y transparencia.

4.1.

El Estado como garante de Derechos y Libertades

En el ejercicio de sus funciones las autoridades gubernamentales recaban una gran cantidad de datos personales de sus gobernados, información patrimonial, del estado de salud, incluso de su

16

vida familiar, entre otras. Además, el uso de tecnologías es más frecuente al momento de recabar y tratar los datos personales para la realización de trámites. Un tratamiento inadecuado de la información personal podría traducirse en usos que afecten la vida de las personas, exponiéndolos al riesgo de ser objetos de discriminación o hacerlos blanco de delitos graves como el secuestro o el robo de identidad. La persona debe poder decidir cuándo y dentro de cuáles límites sus asuntos de carácter personal pueden ser dispuestos públicamente, y esta posibilidad debe estar garantizada por las normas que el Estado crea y tiene la obligación de vigilar su cumplimiento. Más que cumplir con los instrumentos internacionales que el Estado de Honduras se ha adherido en materia de derecho a la intimidad y las disposiciones de la misma Constitución de 1982 en materia de honor, a la intimidad personal, familiar y a la propia imagen, los gobiernos están obligados a proteger el vasto cúmulo de información personal que tiene sobre sus gobernados, así como limitar la recolección de los datos personales a los supuestos previstos en la legislación vigente. Considerando los retos que implica el avance tecnológico, como las redes sociales –especialmente, en el caso de los menores de edad y en la protección de sus datos personales–, las estrategias establecidas en las políticas públicas no deben limitarse a fortalecer el ámbito legal, se requiere el trabajo conjunto de las instituciones académicas y educativas, organizaciones no gubernamentales, órganos garantes, padres de familia y autoridades.

4.2.

Protección de datos mejora la competitividad y brinda seguridad a consumidores e inversionistas

Inicialmente las leyes y regulaciones sobre privacidad estaban únicamente referidas al sector público, debido a que eran los gobiernos quienes mantenían la información personal sobre los individuos. Sin embargo, la utilización de informaciones personales es ahora no sólo un fenómeno entre el Estado y el ciudadano, sino que es cada vez más un tema que involucra al sector privado y a las empresas comerciales que recogen y utilizan la información de los individuos con fines comerciales, y por la naturaleza de estas operaciones esa información también pasa las fronteras de los Estados y se convierte en un fenómeno internacional.10 Tal como puede ocurrir en el sector público, los datos personales mantenidos en el sector privado pueden quedar sujetos a una recolección, uso o divulgación no autorizada, ya sea deliberada o accidentalmente, razón por la cual deben tomarse medidas para minimizar esta actividad.

10

Es justamente porqué la información personal puede ser de gran utilidad para el mercadeo y áreas de venta, que las empresas constantemente buscan, almacenan y transfieren información sobre las personas, ya sea a través de los métodos tradicionales o a través del Internet.

17

No obstante, la regulación de la protección de y acceso a datos personales debe permanecer sensibilizada a las necesidades de los sujetos a quienes se refieren estos datos, incluyendo entre ellos a los usuarios y consumidores, así como también las empresas comerciales y otras organizaciones involucradas. Estas necesidades no son necesariamente contradictorias. Por ejemplo, una de las características esenciales es la confianza que se debe sentir en la protección de la privacidad en línea, para asegurar el crecimiento del comercio electrónico. Los consumidores están preocupados sobre el derecho a la privacidad en un ambiente cada vez más interconectado electrónicamente, y las empresas comerciales desean asegurar su fiabilidad a los consumidores y evitar las interrupciones durante el flujo de datos transfronterizos. En otras palabras, la protección de datos es una cuestión de encontrar el equilibrio perfecto entre los derechos de los individuos a que sus datos personales permanezcan privados, y resguardar el libre flujo de información. Sin embargo, tal como ocurre con otros temas, los estados pueden no concordar donde yace el equilibrio adecuado, o si la protección de datos corresponde a una cuestión de derechos humanos o se inclina más hacia una cuestión económica. Sin embargo, las empresas hondureñas no pueden permanecer ajenas a la nueva realidad corporativa global, por ello aspectos como la protección de datos, el gobierno corporativo y los principios de accountability -no únicamente en términos de responsabilidad social empresarialdejaran de aparecer en horizontes lejanos y descontextualizados y se convertirán cada día más en parte de su realidad de negocio

IV.

Desarrollo Internacional del Derecho Fundamental a la Protección de Datos Personales

En su evolución, el Derecho Fundamental a la Protección de Datos Personales ha venido cobrando reconocimiento y relevancia internacional a medida que han avanzado las tecnologías de la información y comunicación (TIC), así como la evolución de la sociedad en sociedades digitales, donde existe un intercambio de información, ya sea público o de particulares a nivel global y por lo tanto, subsiste un tratamiento de datos personales tanto de órganos de gobierno como de particulares. En el mundo existen dos vertientes principales entorno a la protección de los datos personales, a saber: 1. Modelo de Europa Continental. Motivado en los derechos humanos –visión garantista-, busca proteger la información y la propiedad de la misma, mediante regulaciones estatales. La visión europea del derecho a la privacidad cubre todos los aspectos de la vida del individuo, lo que implica el procesamiento de datos personales por organizaciones gubernamentales y privadas.

18

2. Modelo de los Estados Unidos de América. Se motiva en limitar la comercialización indiscriminada de los datos de las personas mediante la autoregulación de las entidades privadas. La legislación específica sobre la protección de los datos personales se limita a los datos tratados o custodiados por el gobierno federal. En los casos en que quieran cumplir con directrices predeterminadas sobre el manejo de datos personales, los particulares pueden ampararse en una disposición de la Comisión Federal de Comercio (FCC, en sus siglas en inglés) por la que certifica que la entidad en cuestión establece un nivel adecuado de protección de los datos personales.11 Tabla 2 Particularidades del Modelo Europeo y Modelo Estadounidense en torno a la protección de datos

Modelo Europa Continental

Modelo de los Estados Unidos

•Se origina con los tratados internacionales en materia de derechos humanos. •Derecho a privacidad cubre todo aspecto de la vida de la persona. •Aplicable al tratamiento de datos para el sector público y sector privado. •Establece el nivel estándar de la protección de datos para los miembros de la UE. •Permite transferencia de datos personales cuando el país receptor "garantice un nivel de protección adecuado de los datos"

•Un derecho que se origina de la interpretación de la Constitución a través de la jurisprudencia de las cortes. •Protección se limita a los datos procesados o en custodia del gobierno federal. No es apliable a entidades privadas. •Auto-regulación por parte de los sectores economicos. •El interés de la persona a la privacidad se debe balancear con el interés público.

Fuente: Elaboración propia en base a análisis realizado por John M. Wilson, Oficial Jurídico Principal, OEA (2011)

1. El Derecho Internacional de los Derechos Humanos Un primer acercamiento en el plano internacional en torno al surgimiento del derecho a la protección de datos personales, aunque no relacionado con el uso de las tecnologías, se puede encontrar en el artículo 12 de la Declaración Universal de Derechos Humanos de 1948, el cual estipula que “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.” En términos parecidos, también se debe tener presente, el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos, el artículo 5 de la Declaración Americana de los Derechos y Deberes 11

Fuera de unas pocas leyes que tratan de la información personal financiera y médica, Estados Unidos no cuenta con una legislación que rija el procesamiento de datos personales por entidades privadas. Para mayor información véase: OEA (2011) Principios y Recomendaciones Preliminares sobre la Protección de Datos (La Protección de Datos Personales) preparado de conformidad con la resolución AG/RES. 2514

19

del Hombre de 1948 y el artículo 11 del Pacto de San José de Costa Rica; todas estas normas internacionales en materia de derechos humanos consagran la protección de la honra, reputación, y la vida privada y familiar, prohibiendo injerencias arbitrarias que bien pueden derivar del uso de la informática. La Resolución 45/95 de la Asamblea General de la ONU (14 de diciembre de 1990) - Principios Rectores para la Reglamentación de los Ficheros Computarizados de Datos Personales, sienta las bases mínimas sobre las que cada legislación nacional debe partir a la hora de reglamentar sobre la protección de los datos personales, específicamente los sistemas de datos personales en posesión de instituciones gubernamentales.

2. Europa: El Epicentro del Derecho a la Protección de Datos Personales Influenciada por la Declaración Universal de los Derechos Humanos, el Consejo de Europa adoptó el 4 de noviembre de 1950 en Roma, el Convenio para la Protección de los Derechos Humanos y las Libertades Fundamentales (más conocido como la Convención Europea de Derechos Humanos-CEDH). La CEDH no protege de forma autónoma la protección de datos; no obstante, proporciona una protección en el marco del artículo 8 donde se enuncia el “derecho a la vida privada y familiar, de su domicilio y correspondencia”, lo que llevaría al Tribunal Europeo de Derechos Humanos (TEDH), a expresar la existencia de un derecho a la protección de datos personales a través de la jurisprudencia que se iría desarrollando (García, A., 2012).12 Paralelo al desarrollo del derecho comunitario, en los años setenta, países europeos comenzarían a adoptar normas para protección del derecho a la intimidad en sus legislaciones, incluida la protección contra abusos en la recolección y tratamiento de datos personales.13 Por otro lado, países como Portugal, España y Austria, también incluirían la protección de los datos en sus constituciones políticas de finales de la década Ante una normativa diversa que existía en cada uno de los países de la Unión Europea y con el fin de lograr una libre circulación de datos personales entre los Estados miembros para no 12

Por ejemplo, en el caso Gaskin de 7 de Julio de 1989, concerniente al acceso de los datos sobre la estancia de un individuo durante su infancia en un orfanato, el Tribunal consideró necesario analizar el tipo de datos respecto de los que se planteaba la controversia, dado que, de la naturaleza y de las características de los mismos dependería, a su juicio, el grado de protección que se reconociera. De esta manera, se comenzaría a referirse a determinados datos personales como “datos sensibles”, como aquellos que afectan directamente al desarrollo de la personalidad, la cual forma parte de la vida privada de la persona (ideología política, datos médicos, religión, orientación sexual, etc.). 13 En 1970 el estado de Hessen (Alemania) aprobó la primera ley sobre la protección de datos personales en el mundo, seguidamente, Suecia (1973), Alemania (Ley Federal, 1977) y Francia (1978).

20

obstaculizar el mercado interior, el 28 de enero de 1981: Alemania, Francia, Dinamarca, Austria y Luxemburgo suscribirían el Convenio 108 sobre Protección de los Datos Personales con Respecto al Tratamiento Automatizado de Datos de Carácter Personal, el cual se considera el primer convenio internacional de protección de datos y viene a definir por primera vez primera vez el término “datos personales” como “toda información relacionada con una persona identificada o identificable”, que ha de servir de definición para las legislaciones nacionales que han de venir.14 Al ser un Convenio y no un Protocolo al CEDH, se dejó la posibilidad de que se adhirieran países no miembros del Consejo de Europa, como por ejemplo países no europeos de la Organización para la Cooperación y Desarrollo Económico (OCDE) o estados latinoamericanos que buscan la transferencia de datos personales en armonía con la normativa comunitaria europea, como es el caso de Uruguay que se convirtió en el primer país de la región que se adhirió al Convenio 108.15 En 1995, aparecería la primera norma comunitaria en materia de datos personales, la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. La Directiva 95/46/CE pasa a admitir la transferencia de datos personales a países de fuera de la Unión Europea sólo cuando el país afectado “garantice un nivel de protección adecuado de los datos” o si demuestra que los datos quedarán debidamente protegidos una vez que hayan sido transferidos. Por ello, no basta la sola legislación que plasme estos principios, sino que se establezcan los medios idóneos para su puesta en vigencia (por ejemplo, crear una autoridad reguladora nacional, implementar un catálogo de infracciones y sanciones, procedimientos administrativas y/o judiciales, medidas de seguridad, promoción de los derechos de los titulares de datos y de las obligaciones respecto de los bancos de datos, y sistemas de responsabilidad y reparación. Como anteriormente se mencionó, la Carta de Derechos Fundamentales de la Unión Europea de 2000 viene a romper el molde con respecto a la interpretación del derecho fundamental de protección de datos personales. Es de esta manera que en su artículo 8, reconoce el derecho a la protección de datos como un derecho fundamental y autónomo, distinto al derecho al a intimidad y la privacidad de las personas. En otro escenario, derivado de los trabajos de la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada el 5 de noviembre de 2009, se emitió la Declaración de 14

El Convenio 108 por primera vez define los datos personales como “toda información relacionada con una persona identificada o identificable”, que ha de servir de definición para las legislaciones nacionales que han de venir. 15 Véase: Decisión de Ejecución de la Comisión de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por la República Oriental del Uruguay en lo que respecta al tratamiento automatizado de datos personales del 21 de Agosto de 2012, enhttp://privacyconference2012.org/wps/wcm/connect/4f619a804c810ce58f1fcf5ecf671ba0/Adecuacin_U E.pdf?MOD=AJPERES

21

Madrid, que recoge la aprobación de Propuesta Conjunta para la Redacción de Estándares Internacionales para la Protección de la Privacidad y de los Datos de Carácter Personal. Al margen de su intención armonizadora en la emisión de instrumentos normativos nacionales como internacionales, es de resaltar la colaboración y adhesión consensuada de más de 50 países, que agrega un valor importante, puesto que se enfatiza la vocación universal de los principios y garantías que configuran el Derecho a la Protección de Datos Personales, y reafirma la factibilidad de avanzar hacia un documento internacionalmente vinculante.

3. La Experiencia de los Estados Latinoamericanos A pesar que los Estados Miembros de la Organización de Estados Americanos (OEA) han reconocido en su ordenamiento continental el derecho a la privacidad16, a diferencia de lo que se ha venido desarrollando en Europa, la OEA aún carece de un tratado internacional que regule el derecho a la protección de datos personales –dado los contrastes que hay en tradiciones jurídicas, intereses políticos, desarrollo institucional y económico.17 La OEA ha venido trabajando en el “Proyecto de Convención Americana sobre Autodeterminación Informativa” desde 1997 –mismo año que inició el concluido proyecto de la Ley Modelo Interamericana sobre Acceso a la Información Pública de 2010-, que viene a plantear una regulación para la protección y movimiento internacional de datos, abordando temas como el derecho a la información en la recolección de los datos, el consentimiento del titular, la calidad, categorías, seguridad y cesión de los datos, los derechos y las garantías de las personas, el habeas data, las sanciones, los recursos, la agencia de protección de datos y el registro de datos.18 Como alternativa a la limitada producción normativa de la OEA, la Red Iberoamericana de Protección de Datos (RIPD) se ha venido configurando desde el 2003 como el principal promotor del derecho a la protección en los estados de tradición latina, al servir de foro integrador de diversos actores, tanto del sector público como privado, en la materia.19 A través del espacio de la 16

La Convención Americana de Derechos Humanos (Pacto de San José de Costa Rica), del 22 de noviembre de 1969, señala en su artículo 11, inciso 2, que “Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación.” 17 Actualmente el único documento referencial en la materia son los “Principios y Recomendaciones Preliminares sobre la Protección de Datos (La Protección De Datos Personales)” elaborado por el Departamento de Derecho Internacional de la OEA. 18 Este proyecto data de 1997 y se consolidó el 19 de noviembre de 2010, cuando fue expuesto ante la OEA y aprobado por este mismo órgano. En el 2011, se promulgó dicho documento a los países interesados bajo el código CP/CAJP-2921/10 rev.1. 19 La RIPD, surge con motivo del acuerdo alcanzado en el Encuentro Iberoamericano de Protección de Datos (EIPD) celebrado en La Antigua, Guatemala, del 1 al 6 de junio de 2003, con la asistencia de representantes de 14 países iberoamericanos. Esta iniciativa contó desde sus inicios con un apoyo político reflejado en la Declaración Final de la XIII Cumbre de Jefes de Estado y de Gobierno de los países iberoamericanos celebrada en Santa Cruz de la Sierra, Bolivia, 14 y 15 de noviembre de 2003.

22

RIPD, se ha brindado asistencia técnica en los procesos de promulgación de legislaciones nacionales como la de Argentina, Uruguay, Perú, Costa Rica, Nicaragua, y Colombia. A pesar de las legislaciones ocho leyes nacionales con que cuenta la región latinoamericana (véase Tabla 3, abajo), los procesos de formulación legislativa han tenido su propia dinámica que responden en gran medida a tres factores del contexto país: 1. Estabilidad política; 2. La inclusión del tema en la agenda pública como un problema social, y 3. El nivel de conocimiento de los actores formales e informales (presidente, ministros, legisladores, gremios, etc.) sobre la materia, los riesgos y la importancia de regular el tratamiento de datos personales por terceros.

Tabla 3 Leyes de Protección de Datos Personales en América Latina a octubre de 2013 Año

País

1999

Chile- Ley No. 19.628, Protección de la Vida Privada y Protección de Datos de Carácter Personal.

2000

Argentina- Ley 25.326, Protección de Datos (Habeas Data)

2008

Uruguay- Ley de Protección de Datos Personales y Acción de Habeas Data

2010

México- Ley Federal de Protección de Datos Personales en Posesión de los Particulares

2011

Perú- Ley No. 29733 Ley de Protección de Datos Personales

2011

Costa Rica- Ley No. 8968 Protección de la Persona frente al tratamiento de sus datos personales.

2012

Nicaragua- Ley No. 787, Ley de Protección de Datos Personales.

2012

Colombia- Ley Estatutaria Nº 1581 Ley General de Protección de Datos Personales

Fuente: Elaboración propia en base a datos de la Red Iberoamericana de Protección de Datos

V.

Análisis de Legislaciones y Prácticas Iberoamericanas

Habiendo hecho una revisión de la doctrina, los enfoques del derecho y su evolución, la presente sección se analizará cinco legislaciones referenciales que han de contribuir a sentar las bases para una ley de protección de datos personales y hábeas data en Honduras20, a saber:

20

Para conocer los insumos obtenidos del presenta análisis, véase el documento “Ante-proyecto de Ley de Protección de Datos Personales y Hábeas Data” que ha preparado el consultor.

23

1. Ley General de Protección de Datos Personales de Colombia; 2. Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales de Costa Rica; 3. Ley Orgánica de Protección de Datos de España; 4. Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México, y 5. e) Ley de Protección de Datos Personales y Acción de Habeas Data de Uruguay. Sumado al hecho que las cinco legislaciones provienen de países hispanohablantes –con tradiciones jurídicas similares-, también responden al enfoque continental europeo de interpretar el derecho de protección de datos personales como un derecho humano que debe ser reconocido tanto por el Estado, como por las personas naturales o jurídicas que son responsables del tratamiento o encargados del tratamiento de datos personales. De las cincos legislaciones, la Ley Orgánica de Datos de Carácter Personales de España es la que más vigencia tiene (14 de enero de 2000) y ha servido de fuente de derecho y de desarrollo institucional para los países latinoamericanos, especialmente en lo que concierne a la regulación. Como se podrá apreciar más adelante, las cinco legislaciones estudiadas comparten en cierta medida similares objetivos, ámbitos de aplicación, principios y derechos garantizados; mientras que la gran diferencia recae en la figura de la autoridad u órgano de control que difiere en nombre, diseño institucional, estructura interna, localización dentro del aparato administrativo del Estado y en las competencias o facultades que el legislador le ha otorgado. En gran medida las diferencias, se deben a la conformación de cada Estado y la interpretación que se le da a la función de regulador de datos personales, en los casos como España y México, responden a un modelo federal; mientras que en Colombia, Costa Rica y Uruguay se encuentran dentro de la órbita del poder ejecutivo, sin embargo, sus responsabilidades regulatorias y de sanción son similares. Las autoridades reguladoras nacionales son las instancias de competencia administrativa, que intervienen una vez el titular no ha obtenido respuesta por parte de la entidad pública o privada responsable del tratamiento de los datos personales o actúan conformen a las anomalías que han encontrado a través del control que realizan. Dichas autoridades regulatorias tienen la capacidad de imponer sanciones, según la gravedad de la infracción. Asimismo, las legislaciones permiten que una vez evacuada la instancia administrativa, la persona interesada presente acción judicial. En ese sentido, las leyes de protección de datos personales vienen a completar los vacíos que deja la garantía de hábeas data.

24

1. Colombia- Hábeas Data Financiero y Ley General de Protección de Datos Personales Mediante la Ley Estatutaria Nº 1266, conocida como Ley de Habeas Data Financiero, Colombia desarrolla un ordenamiento especial para hacer efectivo el derecho de hábeas data en las bases de datos con información financiera, crediticia, comercial, de servicios y la proveniente de terceros países.21 Como buena práctica, esta legislación dispone que los usuarios deberán valorar la información en las bases de datos en forma concurrente con otros factores o elementos de juicio que técnicamente inciden en el estudio de riesgo y el análisis crediticio, y no podrán basarse exclusivamente en la información relativa al incumplimiento de obligaciones suministrada por los operadores para adoptar decisiones frente a solicitudes de crédito. Por su parte, la Ley Estatutaria Nº 1581 o Ley General de Protección de Datos Personales, consagra la mayoría de los principios de administración de datos personales previstos en la Ley 1266 del 2008, pero le adiciona tres más: legalidad, libertad y transparencia. La Ley obliga a todas las entidades públicas y empresas privadas a revisar el uso de los datos personales contenidos en sus sistemas de información y replantear sus políticas de manejo de información y fortalecimiento de sus herramientas. Como entidades responsables del tratamiento deben definir los fines y medios esenciales para el tratamiento de los datos de los usuarios y/o titulares, incluidos quienes fungen como fuente y usuario. Por otro lado, los titulares tienen derecho a encontrar de manera ágil y sencilla los datos suministrados por ellos. Cualquier persona puede consultar de manera gratuita sus datos personales, al menos una vez al mes. En caso de no recordar haberse inscrito en una base de datos, la persona puede solicitar una prueba de la autorización inicial por la que fue inscrito y también puede retirar sus datos. El titular de los datos tiene derecho a que se le describa para qué y cómo será utilizada su información y también tiene derecho a la actualización, rectificación y supresión cuando lo considere oportuno. Las entidades que manejan bases de datos deben designar una persona para que asuma la función de protección de datos personales. Por su parte, el Reglamento (Decreto 1377 del 27 de junio de 2013), norma aspectos relacionados con la autorización del titular de la información para el tratamiento de sus datos personales, las políticas de tratamiento de los responsables y encargados, el ejercicio de los derechos de los titulares de la información.

21

La Ley Estatutaria Nº 1266, aclara que los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general aquellos datos referentes a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia de cuatro años, contados a partir de la fecha en que sean pagadas las cuotas vencidas, o sea pagada la obligación vencida. Vencido este tiempo, la información deberá ser retirada de las bases de datos por el operador (central de riesgos), de forma que los usuarios –que analizan riesgos y otorgan créditos- no puedan acceder o consultar dicha información.

25

En resumen, el sistema legal colombiano contempla entonces: acciones de tutela, acciones administrativas, un régimen general y un régimen sectorial de protección, y un órgano de control.

A. Órgano de Control La autoridad encargada de vigilar el cumplimiento de ambas leyes es la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio. De acuerdo a Pablo Felipe Robledo, Superintendente de Industria y Comercio de Colombia, desde el 2009 hasta mayo de 2013, se han realizado más de 1.200 investigaciones e impuesto más de 370 sanciones. Los hechos que han motivado las sanciones corresponden principalmente a la mala calidad de la información que manejan los operadores de las bases de datos, deficiencias de las empresas en la atención de las solicitudes por los titulares y los reclamos presentados, problemas en el acceso a la información por parte de los titulares de los datos, recolección de información sin consentimiento y la falta de cumplimiento de las instrucciones giradas por la Superintendencia de Industria y Comercio.22

B. Buenas prácticas 

Adecuación: Las entidades han de solicitar la autorización de los ciudadanos mediante los canales que usan habitualmente para comunicarse con ellos, como por ejemplo correos electrónicos, llamadas telefónicas, correos certificados y también se les permitió fijar avisos publicitarios en medios masivos. Si el titular de los datos no contesta las notificaciones dentro de 30 días hábiles no quiere decir que pierda el control sobre su información, esto solo supone que las entidades y empresas pueden seguir utilizando los datos hasta tanto el ciudadano manifieste lo contrario. Eso sí, las empresas y entidades solo pueden utilizar la información para los fines para los que inicialmente la recogió.



Aviso de privacidad: En los casos en los que no sea posible poner a disposición del Titular las políticas de Tratamiento de la Información, los Responsables deberán informar por medio de un Aviso de Privacidad al Titular sobre la existencia de tales políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales.



Protección de los derechos de los niños: Establece la protección datos relacionados con los derechos de los niños y adolescentes -esta categorización especial no está presente en las otras legislaciones estudiadas.



Normas Corporativas Vinculantes: mecanismo de certificación de buenas prácticas y procesos de autorregulación empresarial para un desarrollo más efectivo de la protección de datos.

22

Fuente: Entrevista en Revista Digital Ámbito Jurídico (http://www.ambitojuridico.com) del 14 de Mayo de 2013, en nota “Nueva Ley General de Protección de Datos Personales”.

26



Accesibilidad y gratuidad de los datos personales: Registro Nacional de Bases de Datos, es de libre consulta para los ciudadanos; no se paga, ni hay cuota para acceso a información.

C. Entrada en Vigencia Se estableció un régimen de transición de seis meses para que las personas reguladas se adecuaran a las disposiciones de la Ley).

D. Retos para la privacidad Los retos identificados se refieren a: los mecanismos de priorización para ser más selectivos e investigar aquellas áreas que sean de mayor interés (Sistema Integral de Supervisión Inteligente) y relativo a las Normas Corporativas Vinculantes23. Tabla 4 Cuadro Resumen Ley General de Protección de Datos Personales de Colombia

Nombre:

Legislación y Datos Generales Ley Estatutaria Nº 1266, de 31 de diciembre de 2008 . Ley de Hábeas Data Financiero.24 Ley Estatutaria Nº 1581, de 17 de octubre de 2012, por la cual se dictan disposiciones generales para la protección de datos personales (Entrada de vigencia plena: 19 de abril de 2013) Total de artículos: 30 Reglamento Ley General de Protección de Datos Personales de Colombia- Decreto 1377 27.06.2013 Total de artículos: 28

Objeto

Artículo 1- Desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.

Alcance/Ámbito de Aplicación

Artículo 2 Datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada.  Se aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.  No será de aplicación: a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.

23

Fuente: Plenario V-Protección de Datos Personales en América Latina. Ampliando horizontes; 34ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, consultado en http://privacyconference2012.org/ 24 Regula el manejo de la información de carácter financiero, crediticio, comercial, de servicios y la proveniente de terceros países, contenida en bases de datos administradas por “agencias de información comercial” -en el caso hondureño, sería el Reglamento para la Autorización y Funcionamiento de las Centrales de Riesgo Privadas que emitió la CNBS el 11 de junio de 2013.

27

Estructura:

Ente Regulador: Enlaces Interés

de

b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control, del lavado de activos y el financiamiento del terrorismo. c) A las Bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia. d) A las bases de datos y archivos de información periodística y otros contenidos editoriales. e) A las bases de datos y archivos regulados por la Ley 1266 de 2008 f) A las bases de datos y archivos regulados por la Ley 79 de 1993. Título I - Objeto, Ámbito de Aplicación y Definiciones Título II - Principios Rectores Título III- Categorías Especiales de Datos Título IV- Derechos y Condiciones de Legalidad para el Tratamiento de Datos Título V- Procedimientos Título VI Deberes de los Responsables del Tratamiento y Encargados del Tratamiento Título VII- De Los Mecanismos de Vigilancia Y Sanción: Capítulo 1- De la Autoridad de Protección de Datos Capítulo 2- Procedimiento y Sanciones Capítulo 3- Del Registro Nacional De Bases De Datos Título VIII- Transferencia de Datos a Terceros Países Título IX- Otras Disposiciones Delegatura para la Protección de Datos Personales- Superintendencia de Industria y Comercio  Superintendencia de Industria y Comercio- http://www.sic.gov.co/es/proteccion-dedatos-personales  Centro de Estudios de Derecho, Justicia y Sociedad- http://www.dejusticia.org/  Observatorio Ciro Angarita Barón - Sobre la protección de datos en Colombia http://habeasdatacolombia.uniandes.edu.co/

Fuente: Elaboración propia

2. Costa Rica- Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales Costa Rica es el primer país de Centro América con un ordenamiento jurídico dedicado a garantizar el respeto al derecho a la autodeterminación informativa; es decir, el derecho a la intimidad personal en el marco de las tecnologías de información.25 Los objetivos de la autodeterminación informativa pueden resumirse en dos: 1) Convertirse en salvaguarda de la persona frente al creciente uso de las tecnologías para el tratamiento de datos personales y, 2) Crear posibilidades reales y efectivas de evitar la construcción de personalidades de cristal, transparentes a cualquier

25

La figura jurídica del derecho a la autodeterminación informativa surge a partir de la sentencia sobre la Ley de Censos de 1982 del Tribunal Constitucional Federal Alemán. En este fallo se sostiene la importancia de la protección del individuo frente a la recolección, almacenamiento, utilización y difusión ilimitada de sus datos personales.

28

uso y abuso, sin el conocimiento ni la voluntad del afectado o sin atender a algún interés general preponderante.26 En marzo de 2013, entró en vigencia el Reglamento a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, el cual vino a especificar que el régimen de protección de los datos de carácter personal, no aplicará a las bases de datos mantenidas por personas naturales o jurídicas, públicas o privadas, con fines exclusivamente internos, personales o domésticos, siempre y cuando éstas no sean de cualquier manera comercializadas. En ese sentido, la legislación solo regula las bases de datos que se comercializan y no aquellas que se encuentran en el ámbito privado con otros fines.

A. Órgano de Control En cuanto al alcance del ente regulador, la Agencia de Protección de Datos de los Habitantes (PRODHAB) accede a las bases de datos automatizadas o manuales, de organismos públicos o privados, conforme las acciones presentadas por personas que se consideran afectadas o cuando la misma PRODHAB se tenga evidencia de un mal manejo de datos personales en sistemas de información.27 Entre las atribuciones más importantes de esta Agencia, está el imponer las sanciones establecidas en el artículo 28 de la Ley a las personas que infrinjan las normas para la protección de los datos personales, y dar traslado al Ministerio Público de las que puedan configurar delito. Una falta gravísima puede acarrear la suspensión para el funcionamiento del fichero de uno a seis meses.

B. Buenas prácticas 

Promueve la autoregulación y gestión de la calidad: Como elemento innovador de la legislación costarricense es la promoción de la autorregulación por parte de los mismos responsables de las bases de datos a través de protocolos de actuación, los cuales deben ser inscritos, así como sus posteriores modificaciones, ante la PRODHAB. De esta manera, los responsables establecen y normalizan sus políticas, mecanismos de manejo y de seguridad de los datos, los cuales han de servir de instrumento de gestión interno y control de calidad, como a la vez, le servirá al regulador al momento de verificar el cumplimiento de la Ley y demás lineamientos técnicos que emita.

26

La legislación costarricense establece para todas aquellas organismos públicos o privados que recopilen datos personales, la obligación de informar a las personas titulares de dicho datos (fines, destinatarios, tratamiento de la información, las consecuencias de no suministrarla, etc.), la obligación de obtener el consentimiento expreso de la persona titular de los datos o de su representante, y los principios de calidad de la información para su recolección, almacenamiento o utilización. Véase, artículos 4 al 6- Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales. 27 Prodhab tiene la atribución de ordenar de oficio o a petición de parte la supresión, rectificación, adición o restricción en la circulación de las informaciones contenidas en los archivos o bases de datos cuando estas contravengan las normas de la ley. Así mismo, debe resolver los reclamos por las infracciones a las normas sobre protección de los datos personales, dictar las directrices necesarias, que deberán ser publicadas en el Diario Oficial La Gaceta de Costa Rica.

29



Sostenibilidad del Ente Regulador: Responsables del tratamiento pagan un canon anual por un monto de US$200; mientras que por cada venta de los datos personales de personas individualizables, se paga un canon que oscilará entre los US$0,25 y US$1. En el caso de contratos globales por número de consultas o de servicios en línea por número de aplicaciones se establecerá reglamentariamente un canon que no podrá ser superior al 10% del precio contractual.



Tipología de datos: a) Datos sensibles, aquellos que revelen el origen racial o étnico, opiniones políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, entre otros. b) Datos personales de acceso restringido, los que aun formando parte de registros de acceso al público, no son de acceso irrestricto por ser de interés solo para su titular o para fines de la Administración Pública; c) Datos personales de acceso irrestricto, lo contenidos en bases de datos públicas de acceso general. Se excluyen la dirección exacta de la residencia, la fotografía, los números de teléfono privados; y d) Datos referentes al comportamiento crediticio, los regulados por las normas del Sistema Financiero Nacional, que permitan garantizar un grado de riesgo aceptable por parte de las entidades financieras.



Estrategia de Comunicación: La Ley dispone que PRODHAB ha de elaborar y ejecutar una estrategia de comunicación dirigida a permitir que los administrados conozcan los derechos derivados del manejo.

C. Entrada en Vigencia A partir de la publicación de la Ley, y desde ese momento se establece un plazo máximo de 6 meses para la conformación e integración de la PRODHAB. Los sujetos obligados tuvieron un año contado a partir de la creación de la PRODHAB para adecuarse a la nueva legislación. Se dispuso que el Reglamento se emitiera 6 meses después de la conformación de la PRODHAB.

D. Retos para la privacidad Por otro lado, una disposición controversial es la figura del “superusuario” que introduce el Reglamento, el cual no se menciona en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales. De acuerdo al artículo 45 del Reglamento, la PRODHAB tendrá acceso irrestricto a todas las bases de datos registradas a través de su condición de superusuario. Con una clave de acceso remoto que el responsable del tratamiento otorgue al ente gubernamental, la PRODHAB podrá acceder en cualquier momento, sin notificación alguna. Indudablemente una disposición tan facultativa, genera un enorme riesgo de seguridad, pues dada las incipientes capacidades y los limitados controles del regulador, se pueden dar situaciones donde se acceda a bases de datos con la intención de extraer información sensible de las personas o de empresas privadas.

30

Entre los principales retos, dado lo novel que es la legislación, es la promoción del derecho en la ciudadanía, su relevancia y sus mecanismos de defensa; crear una cultura de conciencia entre los administradores de bases de datos y los titulares de los datos; generar alianzas estratégicas con el sector público y privado, y materializar una protección efectiva de modo que la misma no sea meramente formal28.

Tabla 5 Cuadro Resumen Legislación de Costa Rica Legislación y Datos Generales Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales -Ley No. 8968. (Entrada de vigencia: 05 de setiembre de 2011)- Total de artículos: 34

Nombre:

Reglamentación: Reglamento a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales. (En vigencia a partir del 05 de marzo de 2013)- Total de artículos: 90 Artículo 1.- Objetivo y fin: Garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad. Defender la libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a la persona o bienes.

Objeto

Alcance/Ámbito de Aplicación

El régimen de protección de los datos de carácter personal que se establece en esta ley no será de aplicación a las bases de datos mantenidas por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos, siempre y cuando estas no sean vendidas o de cualquier otra manera comercializadas Capítulo I -Disposiciones Generales Capítulo II-Principios y Derechos Básicos para la Protección de Datos Personales Capítulo III- Transferencia de Datos Personales Capítulo IV Agencia de Protección de Datos de Los Habitantes (PROHDAB) Capítulo V Procedimientos Capítulo VI Cánones Transitorios

Estructura:

Ente Regulador: Enlaces Interés

Artículo 2.-Datos personales que figuren en bases de datos automatizadas o manuales, de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos.

de

Agencia de Protección de Datos de los Habitantes (PRODHAB)- Ministerio de Justicia y Paz.  Ministerio de Justicia y Paz- http://www.mjp.go.cr/  Registro Nacional de Costa Rica- http://www.rnpdigital.com/index.htm  Sistema Costarricense de Información Jurídica- http://www.pgr.go.cr/Scij/

28

Fuente: Plenario V-Protección de Datos Personales en América Latina. Ampliando horizontes; 34ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, consultado en http://privacyconference2012.org/

31

3. España- Ley Orgánica de Protección de Datos de Carácter Personal Con la entrada en vigor de la Ley Orgánica 15/1999, denominada Ley Orgánica de Protección de Datos (LOPD), el 14 de enero de 2000, España adopta en su legislación nacional los requisitos exigidos por la Directiva 95/46/CE de la UE29. En el proceso, se convierte en el referente jurídico e institucional que ha de ser fuente para América Latina.30 La LOPD, regula el tratamiento de los denominados “Datos de Carácter Personal”, estableciendo las condiciones en que se debe tratar, recoger y ceder estos tipos de datos. 31 Entre otros asuntos, informa de los derechos del titular de los datos; define y califica los distintos tipos de datos, la calidad de los mismos; dicta las normas sobre creación de los ficheros (bases de datos automatizados o manuales)32 y el carácter obligatorio de declararlos ante la Agencia de Protección de Datos que corresponda. Cabe mencionar que sobre el responsable del tratamiento recaen los principales deberes establecidos por la LOPD. Entre otros debe: a) Inscribir los ficheros ante el Registro General de Protección de Datos; b) Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados; c) Garantizar el cumplimiento de los deberes de secreto y seguridad; d) Informar a los titulares de los datos personales en la recogida de éstos. Obtener el consentimiento para el tratamiento de los datos personales; y e) Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. La legislación española, incluye principios tales como el de calidad, que obliga a que los datos que sean tratados han de ser ciertos, verdaderos y no excesivos. Igualmente exige que sean actualizados. De la misma forma, se incluye el principio de pertinencia, el cual obliga a valorar los datos acorde con el ámbito y la finalidad para los que se obtuvieron. El tratamiento de datos personales se hace depender del consentimiento inequívoco de la persona titular.

29

Por su parte, el Reglamento de la Ley de Protección de Datos (R.D. 1720/2007), se viene implementando desde el 19 de abril de 2008. 30 Es oportuno mencionar que España ya había desarrollado en 1992 la Ley Orgánica de Regulación del Tratamiento Automatizado de Datos (L.O.R.T.A.D.) y en 1993, se crea la Agencia Española de Protección de Datos (A.E.P.D.). Con la adecuación a la Directiva 95/46/CE, vendría la Ley Orgánica de Protección de Datos (LOPD) 31 Datos de Carácter Personal son aquellos datos que hacen referencia a una persona física identificada o identificable tales como su nombres y apellidos, documento de nacional de identificación, dirección, imagen, voz, huella, etc. (Artículo 3. Definiciones; literal “a”) 32 El término “fichero”, según el literal “c” del artículo 3 de la LOPD, se refiere a “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.”

32

EL 19 enero de 2008 entró en vigencia el Reglamento de la LOPD –ocho años después de la entrada en vigencia de la Ley. El Reglamento dicta el cómo se debe proteger los datos de carácter personal.

A. Órgano de Control La Agencia Española de Protección de Datos (AEPD) es el ente que vela por el cumplimiento de la normativa sobre protección de datos personales, actuando para ello con plena independencia de las Administraciones Públicas. Básicamente la AEPD realiza cuatro grandes funciones: 1) Informar sobre el contenido, los principios y las garantías del derecho fundamental a la protección de datos; 2) Asiste al ciudadano a ejercitar sus derechos y a los responsables y encargados de tratamientos a cumplir las obligaciones que establece la LOPD; 3) Tutela al ciudadano en el ejercicio de los derechos de acceso, rectificación, cancelación y oposición cuando no han sido adecuadamente atendidos por los responsables de los ficheros; y 4) Garantiza el derecho a la protección de datos investigando aquellas actuaciones de los responsables o encargados de ficheros que puedan ser contrarias a los principios y garantías contenidos en la LOPD. Impone, en su caso, la correspondiente sanción. En su Memoria 2012 (AGPD, 2013), la AEPD, documenta las tendencias que se dan en España con respecto al uso de los derechos ARCO (acceso, rectificación, cancelación y oposición), donde las principales inquietudes de los ciudadanos son conocer qué datos suyos son objeto de tratamiento y, en mayor medida, conseguir su cancelación. Por sectores de actividad, las solicitudes de cancelación afectan, principalmente, a los ficheros de solvencia patrimonial y crédito (312) y a los de las empresas de telecomunicaciones (158). Respecto del derecho de acceso destacan las relacionadas con los historiales clínicos (126). En lo referente a la potestad sancionadora, en 2012 se dictaron un total de 896 resoluciones declarativas de infracción, de las cuales 863 tuvieron como destinatarios a responsables privados y 33 a Administraciones Públicas. De las 863 resoluciones declarativas de infracción que recayeron sobre el sector privado, 557 resoluciones culminaron con sanción económica, y 306 concluyeron en apercibimiento (amonestación)

B. Buenas prácticas 

Cooperación Internacional: La AEPD participa activamente en varios espacios internacionales, tanto a nivel europeo como iberoamericano33. Esto la ha convertido en un referente en

33

Entre algunos de estos espacios se encuentra el Consejo de Europa, Europol, Eurojust, Grupo de Telecomunicaciones Berlín, Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, Conferencia de Autoridades Europeas de Protección de Datos y la Red Iberoamericana de Protección de Datos.

33

materia de desarrollo institucional y jurídico34, además que ha liderado iniciativas internacionales de armonización como la Propuesta Conjunta para la Redacción de Estándares Internacionales para la protección de la Privacidad35. 

Promoción del Sistema de Gestión de la Seguridad de la Información (SGSI) en las organizaciones reguladas, basado en los estándares ISO/IEC 27001. Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.



Premios Protección de Datos Personales: - Premio Protección de Datos Personales de Comunicación: Reconoce los trabajos de medios y profesionales de la comunicación que promocionan el derecho fundamental y hayan contribuido a fomentar la concienciación tanto de los ciudadanos como de las entidades que manejan información personal. - Premio Protección de Datos Personales de Investigación: Premia trabajos de investigación, que versen sobre protección de datos personales desde un plano jurídico, económico, social o técnico, ya sea con un enfoque estrictamente teórico o a partir de experiencias concretas.



Proceso de adecuación y cumplimiento de la LOPD por el sector privado: - Auditoría inicial (diagnóstico): Se determinara el nivel de los datos a proteger, el tipo de soporte, se crea una lista de medidas preliminares, normativas, técnicas y organizativas, y se prioriza según los criterios de sanciones, inversión a realizar, recursos, tiempo - Adecuación: Implementar las medidas normativas, técnicas y organizativas, incorporando las medidas de mantenimiento y aportando la documentación asociada al proyecto. - Auditoría externa: Para comprobar que realmente funcionan las medidas que hemos adoptado. - Mejora continua y mantenimiento: Una vez la empresa se haya adaptado, se realizan revisiones y mejoras continuas para los cambios y nuevas situaciones que se producen en el entorno de la empresa.

34

Para conocer las publicaciones y normatividad que ha desarrollado la AGPD, véase: http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-ides-idphp.php 35 Derivado de los trabajos de la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada el 5 de noviembre de 2009, se emitió la Declaración de Madrid, que recoge la aprobación de Propuesta Conjunta para la Redacción de Estándares Internacionales para la Protección de la Privacidad y de los Datos de Carácter Personal.

34

C. Retos para la privacidad Dado el acceso digital por la población, los retos en España están más relacionados a los ciber riesgos como es el seguimiento de los hábitos de navegación a través de las cookies y el consentimiento informado que debe haber de los usuarios para su instalación; las quiebras de seguridad y la obligación de notificarlas; los desafíos para la protección de datos que implica el cloud computing, con un potencialmente elevado número de actores involucrados y la implicación frecuente de transferencias internacionales; o los riesgos del reconocimiento facial en los servicios online con la correspondiente legitimación, son algunos de ellos.

Tabla 6 Cuadro Resumen Ley Orgánica de Protección de Datos (LOPD)

Nombre:

Objeto

Alcance/Ámbito de Aplicación

Legislación y Datos Generales Ley: Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Total de artículos: 49 Reglamento: Real Decreto 1720/2007, de 21 de diciembre de 2013. Total de artículos: 158 Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. Aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. 

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal: a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho internacional público. c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.



El régimen de protección de los datos de carácter personal no será de aplicación: a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas. c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.



Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales:

35

a) Los ficheros regulados por la legislación de régimen electoral. b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública. c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas. d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes. e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerza y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia. Titulo I. Disposiciones Generales Título II. Principios de la protección de datos Título III. Derechos de las personas Título IV. Disposiciones sectoriales - CAPITULO I. Ficheros de titularidad pública - CAPITULO II. Ficheros de titularidad privada Título V. Movimiento internacional de datos Título VI. Agencia de protección de datos Título VII. Infracciones y sanciones Disposiciones Adicionales Disposiciones Transitorias

Estructura:

Ente Regulador: Enlaces Interés

de

Agencia de Protección de Datos (independiente a las Administraciones Públicas españolas).  Agencia de Protección de Datos (independiente a las Administraciones Públicas españolas). https://www.agpd.es/portalwebAGPD/index-ides-idphp.php.  Universidad Rey Juan CarlosProtección de Datos http://www.protecciondedatos.urjc.es/proteccion_de_datos/PD/index/index.php  Cuida tus Datos- http://www.cuidatusdatos.com/lopd/

4. México- Ley Federal de Protección de Datos Personales en Posesión de los Particulares En México, la normativa sobre protección de datos personales parte en el año 2002 con la Ley Federal de Transparencia y Acceso a la Información Pública. En esta legislación se establecieron principios en materia de protección de datos aplicables a las bases de datos de las Administraciones Públicas a nivel federal (artículos 3 y 20 al 26), concebidos como excepción al acceso a la información pública –esta particularidad es replicada por su homóloga hondureña. En el 2009, con la reforma constitucional al artículo 73 se establecieron los derechos ARCO y el derecho a la protección de datos se convierte en un derecho autónomo, separado del derecho a la intimidad. En el 2010, se aprobó la Ley Federal de Protección de los Datos Personales en Posesión de los Particulares (LFPDPPP) que viene a asegurar la protección y privacidad de los datos personales, así como regular el acceso, rectificación, cancelación y oposición del manejo de los mismos (Derechos

36

ARCO). Con posterioridad se aprobó el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, de 21 de diciembre de 2011. Tabla 7 Cuadro Resumen Ley Federal de Protección de Datos Personales en Posesión de los Particulares Legislación y Datos Generales Ley: Ley Federal de Protección de los Datos Personales en Posesión de los Particulares Total de artículos: 69

Nombre:

Reglamento: Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Total de artículos: 144 Objeto

Alcance/Ámbito de Aplicación

Estructura:

Ente Regulador: Enlaces Interés

de

Artículo 1.- La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Artículo 2.- Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de: I. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y II. II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial. Capítulo I - Disposiciones Generales Capítulo II- De los Principios de Protección de Datos Personales Capítulo III-De los Derechos de los Titulares de Datos Personales Capítulo IV-Del Ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición Capítulo VI-De las Autoridades Sección I - Del Instituto Sección II-De las Autoridades Reguladoras Capítulo VII- Del Procedimiento de Protección de Derechos Capítulo VIII-Del Procedimiento de Verificación Capítulo IX-Del Procedimiento de Imposición de Sanciones Capítulo X-De las Infracciones y Sanciones Capítulo XI- De los Delitos en Materia del Tratamiento Indebido de Datos Personales Transitorios Instituto Federal de Acceso a la Información y Protección de Datos- Entidad Federal 

Instituto Federal de Acceso a la Información y Protección de Datos (IFAI)http://inicio.ifai.org.mx/_catalogs/masterpage/ifai.aspx

37

A. Órgano de Control Con la LFPDPPP, el Instituto Federal de Acceso a la Información se le agrega el término “Protección de Datos”, convirtiéndose de esta manera en el Instituto Federal de Acceso a la Información y Protección de Datos; manteniendo su acrónimo original “IFAI”. El IFAI en la actualidad se le considera la autoridad garante a nivel federal y se le dota de facultades informativas, normativas, de verificación, resolutorias y sancionadoras (imposición de multas). En relación con las competencias del IFAI para con los datos personales en poder de los particulares, se determinó que éste tiene poderes de información (brindar apoyo técnico a los responsables), de prevención, de regulación (interpretar la Ley, establecer guías y políticas en el tema), de investigación y de resolución (atender denuncias, verificar la protección de derechos ARCO).

B. Buenas prácticas 

Referencia jurídica e institucional: Siendo que la legislación mexicana en materia de transparencia y acceso a la información –incluyendo la protección de datos personales en bases de datos públicas- ha sido fuente inspiradora para Honduras, se recomendaría tomar algunos elementos claves de la LFPDPPP para ser incluida en la ley hondureña.



Desarrollo normativo: El IFAI, al ser un ente federal conoce de la diversidad de normativa, interacciones y regulaciones que se realizan a nivel estatal.



Aviso de privacidad: El desarrollo de la regulación del aviso de privacidad genera confianza en los usuarios de servicios públicos como los consumidores.

C. Retos para la privacidad Uno de los más importantes se relaciona con el aspecto cultural y de promoción de la legislación. El IFAI realizó una encuesta en el 2012, donde se evidenció el poco conocimiento de la Ley. Sólo el 25% de los entrevistados ha escuchado hablar de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Entre los jóvenes el desconocimiento es mayor. El medio más común por el cual los entrevistados se enteraron de la existencia de la Ley fue la televisión, seguido de la radio e internet. Casi el 70 % de los entrevistados, no le incomodaba o le incomoda poco que se divulguen los datos relativos a sus enfermedades, a los medicamentos que toma, a sus creencias religiosas, a su origen racial o étnico. No obstante, los datos personales más mencionados y que más preocupa que se divulguen fueron: el nombre, la dirección y teléfono. Además de esos datos, los ingresos y el número de cuenta bancaria son los que más preocupación generan de ser divulgados.

38

Finalmente, dentro del sector privado, los bancos se posicionaron como los que mayor cantidad de datos solicitan; en el gobierno, las instituciones de salud y el Instituto Federal de Electoral ocupan los primeros lugares en requerimiento de información.

5. Uruguay- Ley 18.331 de Protección de Datos Personales y Acción de Habeas Data El régimen de Protección de Datos Personales fue establecido en Uruguay por la Ley Nº 18.331 de Protección de Datos Personales y Acción de “Habeas Data” de 11 de Agosto de 2008. Dicha legislación indica en su artículo 1 que "el derecho a la protección de datos personales es inherente a la persona humana". La autoridad de control, es la Unidad Reguladora y de Control de Datos Personales (URCDP), la cual es un órgano desconcentrado de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) de Uruguay.36 Además de estar dirigida por un Consejo, compuesto por un Director Ejecutivo y dos miembros nombrados por el Poder Ejecutivo, la URCDP, también contempla el asesoramiento a través de un Consejo Consultivo integrado por cinco miembros, a saber: a) especialista en derechos humanos, nombrado por el Poder Legislativo (no puede ser un legislador en actividad); un representante del Poder Judicial; un representante del Ministerio Público; un representante del área académica Uruguay ha sido reconocido como país adecuado en materia de datos personales por la Unión Europea, y también ha sido el primer país en América Latina en ser invitado a adherir al Convenio 108 del Consejo de Europa. Por otro lado, algunas de las legislaciones latinoamericanas como la uruguaya, contemplan el mecanismo de habeas data, como una acción judicial. Es esta línea que tomará la legislación hondureña en la búsqueda de un equilibrio entre lo que ya establece la Constitución Política de 1982 y la propuesta de definir al IAIP como la instancia administrativa que asegurara el respeto del derecho a la protección de datos personales.

36

La AGESIC es un organismo que depende de la Presidencia del Uruguay y dentro de sus actividades torales se encuentran la de definir y difundir la normativa informática; desarrollar proyectos en Tecnologías de la Información y las Comunicaciones; asesorar en materia informática a las instituciones públicas del Estado, y capacitar y difundir en materia de Gobierno Electrónico, apoyando a la transformación y transparencia del Estado.

39

VI.

Resumen de Buenas Prácticas a ser considerados en la Legislación Hondureña

COLOMBIA

COSTA RICA

ESPAÑA

MÉXICO

URUGUAY













El Responsable del Tratamiento deberá conservar prueba de la solicitud y consentimiento, entregarle copia al Titular. Dedica un Título entero a los deberes del Responsable del Tratamiento y del Encargado del Tratamiento





Implementar y registrar “Protocoles de Actuación” (caso hondureño se llaman: Manual de políticas y procedimientos). Contempla propuesta de comunicación para la promoción del derecho Cánones para registro de Base de Datos









Derecho frente a la recolección. Consejo Consultivo que asesora a la Agencia de Protección de Datos. Datos relativos a bases de datos con fines de publicidad Datos relativos a la actividad comercial o crediticia. Desarrollo de disposiciones sobre Transferencia de datos personales





Durante recolección los cuestionarios deben incluir un aviso de privacidad con las advertencias sobre el tratamiento de datos Detalla los elementos mínimos que de la solicitud de acceso Denegación justificada al acceso, rectificación, eliminación u oposición.

 





Legislación y regulación esta adecuada con la de la UE Derecho frente a la recolección Disposiciones sobre las responsabilidades en el Tratamiento Datos relativos a las telecomunicaciones Datos relativos a bases de datos con fines de publicidad Datos relativos a la actividad comercial o crediticia

VII.

Conclusiones y Recomendaciones

1. La necesidad de una Ley de Protección de Datos Personales y Hábeas Data - A pesar que la intimidad está garantizada en la Constitución, esta provisión no se encuentra desarrollada en una ley especifica que regule la protección de datos personales. - Honduras es un Estado Miembro de las Naciones Unidas y OEA; Declaración Universal de Derechos Humanos, Pacto Internacional de Derechos Civiles y Políticos y la Convención Americana de Derechos Humanos - LTAIP, si bien no es una ley de protección de datos personales, per se, si regula esta materia en cuanto que el acceso a la información tiene que garantizar los datos personales de las personas (art. 24 y 25). 2. Fundamentos constitucionales para una Ley de Protección de Datos Personales y Hábeas Data - Artículo 59. La persona humana es el fin supremo de la sociedad y del Estado. Todos tienen la obligación de respetarla y protegerla. - Artículo 68. Toda persona tiene derecho a que se respete su integridad física, síquica y moral. - Artículo 76. Se garantiza el derecho al honor, a la intimidad personal, familiar y a la propia imagen. - Artículo 182; numeral 2: Hábeas Data como Garantía Constitucional 3. Reformas legales a considerar - Reforma Constitución de la República. Indicar que el Hábeas Data se regulará mediante una Ley, y que la Sala de lo Constitucional no tendrá que conocer de la garantía del Hábeas Data, debido a la carga que puede generar a la CSJ, la mora judicial que puede producir y el costo al Titular. En el caso del sector público, será lo contencioso administrativo. A nivel del sector privado, el juzgado de lo civil competente. - Reforma a la Ley sobre la Justicia Constitucional: Implicaría derogar el hábeas data del ámbito de la justicia constitucional y trasladarlo a un juzgado de menor rango. - Reforma a LTAIP: Reconocer nuevas atribuciones del IAIP, como autoridad responsable de la protección de datos a entidades privadas. Implicará modificar el nombre a Instituto de Acceso a la Información Pública y Protección de Datos Personales (IAIPP). 4. Buena gobernanza en la Protección de Datos

Promoción del Derecho

Capacidad técnica y regulatoria

Empoderamiento ciudadano

Sector Público

Personas /Titulares

Sector Privado Certificación de Bases de Datos

Capacitación

Atención a los Titulares

5. Claves de la Protección de Datos

Consentimiento Principios Seguridad

Deberes

Derechos Información

Excepciones

6. Elementos torales de una Ley de Protección de Datos y Hábeas Data a) Objeto: La protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. b) Los responsables en el tratamiento de datos personales, deben observar, entre algunos principios, el de legalidad, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad. c) Tratándose de datos personales sensibles (aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual), el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento. d) Establecer como obligación de los responsables en el tratamiento de datos personales, de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad37. e) Disponer que el titular de datos o su representante legal podrán solicitar al responsable de datos personales, el acceso, rectificación, cancelación u oposición respecto de los datos personales que le conciernen. f) Establecer al Instituto de Acceso a la Información Pública, tendrá por objeto difundir el conocimiento del derecho a la g) Establecer obligaciones a las empresas que cuenten con bases de datos que recaban información de datos personales de: Clientes, Proveedores, Empleados, etc. para que adopten medidas que garanticen que los datos personales estarán adecuadamente resguardados y que no se le dará uso distinto al autorizado por el dueño.

37

El aviso de privacidad ha de ser un documento físico, electrónico o en cualquier otro formato generado por el Responsable del Tratamiento y puesto a disposición del titular, previo al tratamiento de sus datos personales.

42

Bibliografía AGPD (2011) El derecho fundamental a la protección de datos: Guia para el Ciudadano. Consultada en https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/indexides-idphp.php (julio de 2013) AGPD (2013) Memoria AEPD 2012 https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/memori as/memoria2012/MEMORIA_2012_web.PDF Bauzá Reilly, M. () El actual Derecho a la Protección de Datos en América y Europa Chirino, A., (2012) La Ley de Protección de Datos de Costa Rica. Luces en las sombras. Revista Internacional de Protección de Datos Personales. No. 1 Julio - Diciembre de 2012. Facultad de Derecho; Universidad de los Andes. Bogotá, Colombia. Consultado en http://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/3_Alfredo-Chirino_FINAL1.pdf (julio, 2013) García, A (2012) La Influencia Europea en Materia de Datos Personales. Una Visión TeóricoConstitucional y Jurisprudencial. Revista Jurídica. Universidad Latina de América. Consultado en http://www.unla.mx/iusunla36/opinion/La%20Influencia%20Europea%20en%20Materia%20de%2 0Datos%20Personales.htm (julio de 2013) González Padilla, R. (2012) Protección de Datos Personales en Posesión de Particulares. Instituto de Investigaciones Científicas. Universidad Nacional Autónoma de México. Revista de Derecho Comparado, Año 2012; No. 20. México, D.F. Consultado en http://biblio.juridicas.unam.mx/revista/pdf/DerechoInformacion/20/art/art1.pdf (julio de 2013) IFAI (2004) Estudio sobre Sistemas de Datos Personales. Consultado http://inicio.ifai.org.mx/DocumentosdeInteres/sist_datos.pdf (agosto de 2013)

en

IFAI (2012) Encuesta Nacional sobre Protección de Datos Personales a Sujetos Regulados por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y Población en General. Secretaría de Protección de Datos Personales. Instituto Federal de Acceso a la Información Pública y Protección de Datos. Consultada en http://inicio.ifai.org.mx/EncuestaNacionaldeProtecciondeDatosPersonales2012/01ReportePoblaci on.pdf (octubre de 2013) INFODF (2011) Retos de la Protección de Datos Personales en el Sector Público. Consultado en http://www.infodf.org.mx/web/comsoc/campana/2012/LIbrodatosPweb.pdf (agosto de 2013) OEA (2007) “Derecho de la Información: Acceso y Protección de la Información y Datos Personales en Formato Electrónico.” 70º PERÍODO ORDINARIO DE SESIONES OEA San Salvador, El Salvador. OEA (2011) Principios y Recomendaciones Preliminares sobre la Protección de Datos (La Protección de Datos Personales) preparado de conformidad con la resolución AG/RES. 2514. Recuperado en http://www.oas.org/dil/esp/proteccion_de_datos_principios_preliminares.htm (julio, 2013) ONU (1997) Convenio 108 del Consejo de Europa para la Protección de Los Datos Personales con Respecto al Tratamiento Automatizado de Datos de Carácter Personal, consultado en http://conventions.coe.int/Treaty/EN/Treaties/Html/108.htm. Protocolo Adicional del 08 de noviembre de 2001, consultado en http://habeasdatacolombia.uniandes.edu.co/wpcontent/uploads/Protocolo-adicional-al-Convenio-108-2001.pdf

43

RIPD (2007) Directrices para la Armonización de la Protección de Datos en la Comunidad Iberoamericana. Consultado en http://inicio.ifai.org.mx/Estudios/Directrices_de_armonizacion.pdf (julio de 2013) Remolina Angarita, N. (2012) Aproximación constitucional de la protección de datos personales en Latinoamérica. Revista Internacional de Protección de Datos Personales. No. 1 Julio - Diciembre de 2012. Facultad de Derecho; Universidad de los Andes. Bogotá, Colombia. Consultado en http://habeasdatacolombia.uniandes.edu.co/?page_id=718 (junio de 2013) Rodatá, S. (2005) Democracia y protección de datos. Consultado en http://revistasonline.inap.es/index.php?journal=CDP&page=article&op=viewFile&path%5B%5D=6 90&path%5B%5D=745 (junio de 20013) Rodriguez, A. (2012) El reto de Costa Rica frente a la Institucionalización de la Agencia de Protección de Datos de los Habitantes (PRODHAB) con fundamento legal en la Ley N° 8968. Revista Electrónica de la Facultad de Derecho “Derecho En Sociedad”, No.3; Julio de 2012, Universidad Latinoamericana de Ciencia y Tecnología, San José, Costa Rica. Consultado en http://www.ulacit.ac.cr/files/revista/articulos/esp/resumen/62_f4.pdf (julio de 2013). UE (95) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, consultado en http://europa.eu/legislation_summaries/information_society/data_protection/l14012_es.htm Upegui Mejía, J., (2007) Diez ideas para un régimen de datos personales en clave latinoamericana. Universidad Nacional Autónoma de México. Instituto de Investigaciones Jurídicas. Revista de Derecho Comparado de la Información; Año 2007 Número 10, Julio-Diciembre. México. Consultado en http://www.juridicas.unam.mx/publica/rev/decoin/cont/10/art/art6.htm (julio de 2013) Zamudio Salinas, A., (2012) El Marco Normativo Latinoamericano y la Ley de Protección de Datos Personales del Perú. Revista Internacional de Protección de Datos Personales. No. 1 Julio Diciembre de 2012. Facultad de Derecho; Universidad de los Andes. Bogotá, Colombia. Consultado en http://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/ok3_Ma.-de-LourdesZamudio_FINAL.pdf (julio de 2013)

44

Lihat lebih banyak...

Comentarios

Copyright © 2017 DATOSPDF Inc.