La protección a los datos personales como una política pública federal en México

Texto completo

(1)

(2) INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY ESCUELA DE GRADUADOS EN ADMINISTRACIÓN PÚBLICA Y POLÍTICA PÚBLICA, CAMPUS CIUDAD DE MÉXICO. La Protección a los Datos Personales como una Política Pública Federal en México. ~ TECN()LóGICO •. Rosario Leonor Quiroz Carrillo. DE "'10NTERREY •. Instituto Federal de Acceso a la Información Pública charo_quiroz®hotmail.com. BIBLIOTECA. --"'·r.,s.,. .5.g¡:¡:t!fTFifü~: : .1:~ ~ l e ,:·',·. "'l'. Proyecto de Investigación Aplicada. Maestría en Administración Pública y Política Pública Asesor Miguel Ángel Valverde Loya. Marzo, 2009.

(3) Resumen ejecutivo. El presente trabajo aborda la problemática actual que enfrenta el tratamiento de los datos personales en México por parte del sector público y privado e intenta brindar alternativas para implementar una política pública que sea capaz de proteger dichos datos conforme a los principios que rigen internacionalmente. Para lo anterior se analizan en el primer capítulo los antecedentes del derecho a la intimidad y a la privacidad y en este último caso se analiza en específico la protección de datos personales como un derecho humano de conformidad con la regulación internacional en la materia. En el segundo capítulo se exponen los diferentes modelos de protección adoptados por la OCDE, el APEC y la Comunidad Europea. Asimismo, se hace un análisis de los avances en América Latina al respecto. En el tercer capítulo se aborda el régimen de protección de datos personales en el ámbito constitucional, federal y estatal vigente en México para los datos en poder del sector público. Se expone también el incipiente régimen de protección en poder de determinados sectores privados como el financiero, salud, protección al consumidor y derechos de autor. Se hace especial énfasis en que este régimen implica que en México exista un tratamiento y protección distinto para los datos personales del individuo, dependiendo si los tiene el sector público o el sector privado, cuando se supone que al tratase del mismo dato debería tener el mismo nivel de protección como sucede en otros países. Otro problema del régimen actual en el sector privado es que se están dejando de proteger los datos personales que no están incluidos en ninguna regulación, provocando también que la protección de la misma persona sea distinta, dependiendo de que empresa o sector tenga sus datos personales. La heterogeneidad anterior implica inseguridad jurídica para la protección de un derecho humano y por tanto se resalta la importancia de que no exista regulación distinta ni protección distinta dependiendo si el dato personal lo tiene el gobierno federal, el estatal o determinada empresa o sector. Por tanto, se proponen en el capítulo cuarto, tres alternativas para la implementación de una política pública en la materia en México. Se inicia exponiendo el modelo de la.

(4) Comunidad Europea como estándar ideal pues en el mismo se protegen bajo los mismos principios, procedimientos y sanciones los datos personales no importando si los posee el sector público o privado. Este modelo evita que los datos personales del mismo individuo estén sometidos a diversa protección, lo cual le facilita el ejercicio de su derecho incluso ante la misma autoridad. Como segunda alternativa se propone un modelo híbrido aprovechando la plataforma de protección de datos personales que actualmente existe en México en el sector público federal y estatal. El requisito de esta propuesta es que aun cuando se implemente la protección en regulación distinta para sector público y privado, se sigan los mismos principios adoptados internacionalmente en los modelos expuestos en el capítulo segundo. Asimismo, este modelo implica realizar mejoras para hacer homogénea la protección de los datos en los órdenes de gobierno federal y estatal. La tercer propuesta implica como ideal, el establecer una política pública federal a través de la emisión de una Ley Federal de Protección de Datos Personales para el sector privado en donde se sigan los principios adoptados internacionalmente no importando el sector empresarial de que se trate. El modelo anterior ha sido ya propuesto por algunos diputados en la presente legislatura; sin embargo se ha presentado resistencia por parte de determinadas empresas del sector privado, por lo que se propone una alternativa intermedia que es la regulación sectorial obligatoria. En caso de que esta alternativa siguiera presentando resistencia por parte de algunos sectores, se propone la auto regulación por sector o por empresa de conformidad con el modelo del APEC. Esta alternativa sería un primer paso en México para proteger los datos personales en el sector privado, sin embargo se debe considerar únicamente como un primer paso y sólo con el fin de introducir la cultura de protección en las empresas para después dar el siguiente paso hacia un modelo obligatorio. Finalmente, se expone la alternativa de dejar las cosas como están la cual implicaría como mínimo realizar mejoras y homogeneizar la regulación sectorial ya existente. Se concluye el trabajo resaltando la importancia de dar publicidad entre la población de la existencia y el ejercicio del derecho de protección de datos, no importando el modelo de protección que se lleve a cabo..

(5) SUMARIO. Introducción Capítulo l. La protección a los datos personales, un derecho humano. 4. A. B.. 4. Derecho a la intimidad Derecho a la protección de los datos personales. 6. Capítulo II. La protección a los datos personales en el ámbito internacional. 19. A.. 20 24 31. Lineamientos de la OCDE Marco de privacidad del APEC Marco de la Comunidad Europea A vanees en América latina. B.. c. D.. 44. Capítulo III. La protección a los datos personales en México. 47. A.. 1) Régimen Constitucional 2) Régimen Federal 3) Régimen Estatal. 47 47 52 61. Régimen vigente en el sector privado. 66. Régimen vigente en el sector público. B.. 1) Sector Financiero a) Secreto bancario y secreto fiduciario b) Secreto fiscal e) Disposiciones aplicables al Buró de crédito 2) Sector Salud 3) Protección al consumidor 4) Ley Federal del Derecho de Autor Capítulo IV. Alternativas para la implementación de una política pública de protección de datos personales en México. A. B. C.. 66. 67 68 68. 69 70 71. 71. El estándar ideal el modelo europeo Propuesta de regulación para el sector público Propuesta de regulación para el sector privado. 76. 1) Ley Federal de Protección de Datos Personales 2) La adopción de regulación legislativa sectorial 3) Dejar las cosas como están, pero implementar mejoras 4) Publicidad de la existencia y ejercicio del derecho. 80 86 88 91. Conclusiones Fuentes de información. 73 74. 92 97.

(6) Acrónimos utilizados. APEC. Foro de Cooperación Económica Asia Pacífico. ARCO. Acceso, rectificación, corrección y oposición de datos personales. CNBV. Comisión Nacional Bancaria y de Valores. CNSF. Comisión Nacional de Seguros y Fianzas. CONAMED Comisión Nacional de Arbitraje Médico CONDUSEF Comisión Nacional para la Protección y Defensa de los Usuarios de los Servicios Financieros CONSAR. Comisión Nacional de Ahorro para el Retiro. EUA. Estados Unidos de América. IF Al. Instituto Federal de Acceso a la Información Pública. LAI. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. OCDE. Organización para la Cooperación y el Desarrollo Económicos. ONU. Organización de las Naciones Unidas. PROFECO. Procuraduría Federal de Protección al Consumidor. SIC's. Sociedades de Información Crediticia.

(7) Introducción Para delimitar el campo de estudio del presente trabajo, es importante definir lo que se considera dato personal. Este término proviene de los vocablos latinos datum que significa, "lo que se da" y del adjetivo persona/is que implica aquello "perteneciente o relativo a la persona"; de ahí que esta expresión es utilizada para definir toda aquella información concerniente a los individuos. A finales del siglo pasado el fenómeno de la globalización, los avances tecnológicos y el desarrollo de la comunicación vía electrónica hicieron patente la importancia de. regular el tratamiento de esta información ante el daño potencial que representa la manipulación y transmisión no autorizada de los datos de las personas, por lo que en el ámbito internacional, la protección de datos personales ha cobrado cada vez más importancia en diversos instrumentos internacionales y en organismos como. la. Organización para la Cooperación y el Desarrollo Económicos -OCDE- y el Foro de Cooperación Económica Asia Pacífico -APEC-; así como en la normativa que rige a la Comunidad Europea. No se puede dejar de lado que el objeto del Derecho de Protección de Datos Personales es salvaguardar la integridad de las personas a través del establecimiento de reglas para la recolección, procesamiento, tratamiento y conservación de sus datos personales, por lo que al ser la protección de la persona su razón de ser, este derecho ha sido reconocido como un derecho fundamental en la regulación internacional. Aún cuando el antecedente internacional de este derecho fundamental es de los años setenta, en nuestro país es de nuevo desarrollo por lo que se busca proponer opciones que den viabilidad a una política pública encaminada a la protección de la persona en relación con el tratamiento de su información, utilizando como marco los principales instrumentos internacionales de derechos humanos que reconocen el derecho a la vida privada. Desgraciadamente en México y en otros países latinoamericanos no existe una cultura de protección a esta información por parte del sector público, del sector privado y de la sociedad, por lo que nos hemos convertido en paraísos para las empresas que se dedican a vender este tipo de datos y también se ha convertido en un factor de inseguridad.

(8) pues la privacidad de las personas es vulnerada no sólo con fines mercadotécnicos, sino también como insumo para la delincuencia. El objetivo fundamental del presente trabajo, será exaltar la importancia en la vida de las personas de que sus datos sean protegidos por el Estado, proponer reformas para ampliar el ejercicio del derecho actual en México que es aplicable sólo en el sector público y proponer un esquema viable para que se expanda este derecho de manera homogénea a gobiernos locales y al sector privado. Lo anterior se logrará analizando en pnmer lugar la protección de los datos personales como un derecho humano; en segundo, la experiencia internacional en el desarrollo de este derecho; y finalmente los avances en México, para culminar con las alternativas para implementar una política pública en nuestro país. En cuánto a la importancia de que nuestros datos personales sean protegidos, sería interesante preguntarse ¿Qué hace una institución -pública o privada- con mis datos? ¿Cómo los usa? ¿Los resguarda? ¿Qué medidas de seguridad aplica para proteger mi información? ¿Comparte mis datos con alguien? ¿Con quién? ¿Por qué? Desagraciadamente en México, muy pocas son las personas que se hacen estas preguntas por lo que no ha sido la sociedad quien ha impulsado al Estado para que se encargue de salvaguardar el ejercicio de este derecho fundamental; sin embargo, en el sector público existe ya regulación al respecto, además de interés en el tema tanto del poder legislativo como del ejecutivo, por lo que se debe aprovechar esta oportunidad para proveer a México de una política pública en la materia. Cabe aquí hacer la reflexión de que se requiere mayor conciencia social sobre lo que implica que nuestros datos personales circulen en un mundo globalizado, en la Internet, entre empresas y entre instituciones gubernamentales sin nuestro consentimiento. Se debe informar a la sociedad que un tercero no autorizado por el titular de los datos no debería tener acceso a ellos pues eso impacta directamente a la privacidad a la que como individuos tenemos derecho. Así, representa una imposibilidad tratar de regular la materia cuando se conjuga la falta de conciencia social al respecto y la apatía que por muchos años demostró el gobierno, lo cual ha aprovechado muy bien el sector privado para no regularse pues considera. 2.

(9) afectados sus intereses comerciales con esta política pública. Sin embargo, el gobierno ya ha dado sus primeros pasos al respecto cuando en el 2003 se incluyó un capítulo destinado a la protección de datos personales en la Ley Federal de Transparencia y Acceso a la Información Gubernamental; desgraciadamente dicha protección sólo ampara a los datos personales en posesión de los poderes ejecutivo, legislativo, judicial y órganos autónomos. Para que el Estado cumpla con esta materia pendiente, es importante la conjunción de factores que ahora empiezan a darse como las presiones que países con un alto nivel de protección de datos personales empiezan a ejercer sobre las empresas trasnacionales para que se adecuen a dicha protección y de este modo puedan realizar sus transacciones comerciales con las mismas garantías; así como el interés del poder ejecutivo y legislativo para implantar una política pública al respecto que nos dé un nivel de protección adecuado de conformidad con los estándares internacionales. La coyuntura debe ser utilizada para exponer ante los actores todas las aristas que implica gozar con la protección a nuestros datos personales, como por ejemplo su relevancia en materia de seguridad pública, pues la delincuencia al tener fácil acceso a nuestra información facilita su ilegal objetivo; ejemplo de ello son los datos que circulan en los sistemas financieros, en los que si existiera mayor seguridad en su tratamiento se evitarían en gran medida la clonación de tarjetas y fraudes bancarios o las actuales llamadas simuladas de secuestros, en las que el delincuente tiene información privilegiada de nosotros, nuestra familia, trabajo e ingresos, por lo que le es más sencillo cumplir su objetivo de extorsión. La importancia de la protección de nuestros datos, es evitar que las personas a las que el titular de los datos personales no les consienta su uso y transmisión, no tengan acceso a los mismos, teniendo de este modo el individuo el control tanto de su información, como de quién la posee y para qué fines, lo que internacionalmente se denomina derecho a. la autodeterminación informativa. 1. 1. Derecho a la autodeterminación informativa es el derecho que tiene toda persona a conocer y decidir, quién, cómo y de qué manera recaba y utiliza sus datos personales. Al respecto ZÚÑIGA, Francisco ( 1997), "El derecho a la intimidad y sus paradigmas" en "Derecho a la autodeterminación informativa y acción Habeas Data en Jberoamérica", revista IUS et Praxis, año 3, número 1, Universidad de Talca, Chile, pp.288-289.. 3.

(10) Capítulo l. La protección a los datos personales, un derecho humano. A partir del siglo XVIII los derechos humanos comenzaron a estar presentes y a ser reconocidos en la normativa internacional y constitucional por lo que fueron alcanzando su consolidación como prerrogativas inherentes a todo ser humano. Los derechos civiles y políticos -o bien derechos de primera generación- y en particular, el reconocimiento de la libertad personal, incorpora el derecho a la intimidad de la persona como una prerrogativa objeto de tutela. Sin embargo, este derecho ha cambiado considerablemente en virtud del desarrollo tecnológico, en donde se han redimensionado las relaciones del hombre con sus semejantes, así como su marco de convivencia. Por ello, el reconocimiento del derecho a la intimidad luego de lograr su consolidación como un derecho fundamental, ha conquistado nuevos ámbitos de protección a la persona, principalmente porque los datos personales se han convertido en una práctica habitual de control y almacenamiento por parte de los sectores tanto públicos como privados en países desarrollados. Es por ello que el derecho a la intimidad -como derecho de primera generaciónha tenido que ir redireccionando su ámbito de protección, donde además de la facultad del individuo de rechazar invasiones a su ámbito privado, ahora supone el reconocimiento de un derecho de control y acceso de toda aquella información relativa a su persona. Por tal motivo, el uso y control sobre los datos concernientes a cada persona, ha sido reconocido ya no sólo como una mera prerrogativa, sino además como un derecho fundamentalmente protegido y garantizado por mecanismos de protección en materia internacional. Es por ello, que para entender la consolidación de la protección de datos personales como derecho fundamental, debe partirse de ciertos antecedentes para llegar así a su reconocimiento como un derecho autónomo en sede constitucional.. A.. Derecho a la intimidad. Una pnmera aproximación de protección en la esfera íntima de la persona se encuentra enunciada en el artículo 12 de la Declaración Universal de los Derechos. 4.

(11) Humanos, aprobada en Nueva York en la Asamblea General de la ONU el 1O de diciembre de 1948: "Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su. domicilio o su correspondencia, ni de ataques a su honra o su reputación. Todo persona tiene derecho a la protección de la ley contra tales injerencias o ataques". 2 Esta Declaración fue concebida en 1948 como expresión de un ideal y ha sido un referente para los textos constitucionales de los Estados miembros; también se ha convertido en una base reconocida para establecer los pilares del sistema de protección de los derechos humanos. En el mismo sentido, el artículo V de la Declaración Americana de los Derechos y Deberes del Hombre, aprobada en la Novena Conferencia Internacional Americana de Bogotá, Colombia en 1948, establece: " ... toda persona tiene derecho a la protección de. la Ley contra los ataques abusivos a su honra, a su reputación y a su vida privada y familiar. "3 También se establece la protección a la intimidad en el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos,. 4. aprobado por la Asamblea General de la. ONU mediante Resolución 2200 A (XXI) de 16 de diciembre de 1966: "Nadie será objeto. de injerencias arbitrarias e ilegales en su vida privada, su familia, domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación... Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques" El Pacto de San José de Costa Rica, suscrito en la Conferencia Especializada Interamericana sobre Derechos Humanos en la ciudad de San José, Costa Rica, el 22 de noviembre de 1969 por los Estados parte de la Convención Americana sobre Derechos Humanos, prevé en su artículo 11 lo siguiente en cuanto a la protección de la honra y de la dignidad: "1. Toda persona tiene derecho al respeto de su honra y al reconocimiento de su. dignidad. 2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques 2. Declaración Universal de los Derechos Humanos, disponible en http://www.un.org/spanish/aboutun/hrights.htm 3 Declaración Americana de los Derechos y Deberes del I lombre, disponible en http://www.cidh.org/Basicos/Basicos l .htm 4 Pacto Internacional de Derechos Civiles y Políticos, disponible en http://www.unhchr.ch/spanish/html/menu3/b/a ccpr sp.htm. 5.

(12) ilegales a su honra o reputación. 3. Toda persona tiene derecho a la protección de la ley . .. .. contra esas ZYI.Jerencias o esos ataques.. ,,5. Finalmente vale la pena mencionar que en el artículo 16 de la Convención sobre los derechos del Niño, adoptada y abierta a la firma y ratificación por la Asamblea General en su resolución 44/25, de 20 de noviembre de 1989, se establece que: "Ningún niño será. objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia ni de ataques ilegales a su honra y a su reputación; y que el niño tiene derecho a la protección de la ley contra esas injerencias o ataques."6 En estos instrumentos internacionales podemos constatar la consagración del derecho a la intimidad, cuya protección se encuentra reconocida en la mayoría de las normas constitucionales. En nuestro país tal derecho se encuentra previsto en el primer párrafo del artículo 16 de la Constitución Política de los Estados Unidos Mexicanos en donde se prevé que "Nadie. puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal de procedimiento. "7 No obstante la regulación a la intimidad citada, la esfera íntima de la persona puede ser vulnerada en otros aspectos más específicos como lo pueden ser "sus datos personales". Así, la protección de datos de carácter personal se ha ido separando del derecho a la intimidad e incorporando y reconociendo de manera expresa como un derecho fundamental independiente principalmente en la normatividad del continente europeo, así como en los diversos textos constitucionales.. B.. Derecho a la protección de los datos personales. Es en 1967 cuando se da el primer paso para regular la protección de datos personales como un derecho humano independiente al de la intimidad. En este año el 5. Pacto de San José de Costa Rica, disponible en https://www.agpd.es/portalweb/intemacional/red iberoamericana/convenios/common/pacto san jose.pdf 6 Convención sobre los derechos del Niño, disponible en http://www.unhchr.ch/spanish/html/menu3/b/k2crc sp.htm 7. Constitución Política de los Estados Unidos Mexicanos disponible en http://www. diputados. gob.mx/LeyesBiblio/pdf/ l .pdf. 6.

(13) Consejo de Europa constituyó una Comisión Consultiva para estudiar las tecnologías de la información y su potencial agresividad a los derechos de la persona, lo cual dio como resultado la Resolución 509 de 1968 sobre "los derechos humanos y los nuevos logros científicos y técnicos", 8 lo que sería conocido más tarde como "protección de datos". Posteriormente, la protección de datos personales se fue introduciendo en las Constituciones de diversos Estados, tal como Portugal en cuya Constitución de 1976, artículo 35, apartado 1, se insertó la siguiente disposición relativa a la utilización de la informática: "Todos los ciudadanos tendrán derecho a tomar conocimiento de lo que. conste en forma de registros mecanográficos acerca de ellos y de la finalidad a que se destinan las informaciones y podrán exigir la rectificación de los datos, así como su actualización. . . . No se podrá utilizar la informática para el tratamiento de datos. referentes a convicciones políticas, fe, religiosas o vida privada, salvo cuando se trate de la elaboración de datos no identificables para fines estadísticos". 9 Como se desprende de lo enunciado por el texto constitucional portugués, el reconocimiento a un derecho de manera expresa para acceder a toda la información concerniente a la propia persona, garantiza, a su vez, la facultad del propio sujeto a saber cuál será el uso y tratamiento que se haga de sus datos personales. Por otro lado, en España, en la Constitución de 1978 y dentro del apartado relativo a los derechos fundamentales, se reconoce en el artículo 18.4 que "La ley limitará el uso de. la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".'º Como se aprecia, es a partir de la década de los setentas que el derecho a la protección de datos personales se fue reconociendo en las normas fundamentales de países europeos, en donde se estableció el objetivo de este derecho; a saber, garantizar que terceras personas, bien se trate del sector público o del sector privado, que utilicen la 8. Resolución 509 disponible en http://assem bl y. coe. int/Main f.asp ?I ink=/Documents/ AdoptedT ext/ta 68/EREC 509. htm 9 Constitución de Portugal, artículo 35, apartado I disponible en http://turan.uc3m.es/uc3m/inst/MGP/conspor3.htm. °. 1. Constitución de España de 1978 disponible en http://europa.eu/scadplus/Jeg/es/lvb/l l 4012.htm y http://turan.uc3m.es/uc3m/inst/MGP/consesp2.htm. 7.

(14) información personal de sus clientes, afiliados, derecho-habientes o apoderados lo hagan con la confidencialidad que el propietario de la información necesita, de tal manera que el usuario no pierda el control de los mismos, y en todo momento sepa quién tiene sus datos, para qué los utiliza o a quién se los cede o comunica. En paralelo a la adopción de este derecho fundamental en los textos constitucionales de países europeos, se da otro gran paso en esta materia pues se genera el primer instrumento vinculatorio de carácter internacional en materia de protección de datos: el. Convenio 108 del Consejo de Europa de 28 de enero de 1981 para la protección de las personas respecto al Tratamiento Automatizado de Datos de Carácter Personal, en el que se reconoce la necesidad de conciliar los valores fundamentales del respeto a la vida privada y de la libre circulación de la información entre los pueblos. Esta norma es el resultado de la decisión del Consejo de Europa, ante el rápido avance en el campo del procesamiento electrónico de información y la aparición de las primeras bases de datos usadas por las grandes empresas y los gobiernos estatales, para otorgarles un marco legal con principios y normas concretos para prevenir la recolección y el tratamiento ilegal de datos personales. Por medio del Convenio 108 los países firmantes. 11. se comprometen a realizar las. reformas necesarias en su legislación nacional para implementar los principios contenidos en dicho instrumento; los cuales se refieren, en primer lugar, a que los datos personales deben recolectarse y tratarse con fines legítimos y no para propósitos distintos, que no deben conservarse más de Jo estrictamente necesario, de acuerdo con el fin para el cual fueron recolectados, que sean verdaderos y que no sean excesivos. Asimismo prevé que deberá garantizarse la confidencialidad de los datos sensibles y reconoce el derecho de los individuos para tener acceso y en su caso solicitar la corrección de sus datos. En su artículo l se establece que el fin del convenio es "garantizar, en el territorio. de cada Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su. 11. Estados miembros del Consejo de Europa en http://www.coe.int!f/ES/Com/ About Coe/Member states/default.asp Cabe mencionar que México participa como observador de este Consejo tanto en el Comité de Ministros como en la Asamblea Parlamentaria.. 8.

(15) derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona («protección de datos»). " 12 En su artículo 2, inciso a) define como datos de carácter personal, "cualquier. información relativa a una persona física identificada o identificable («persona concernida»)". Asimismo, define, en el mismo artículo, inciso c), lo que se considera «tratamiento automatizado», al respecto establece que "se entiende las operaciones .... efectuadas en su totalidad o en parte con ayuda de procedimientos automatizados: Registro de datos, aplicación a esos datos de operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión." Cabe mencionar que estas disposiciones del Convenio aplican a datos personales en poder del sector público y sector privado. 13 En el capítulo segundo, artículos 5 al 8 de este convenio se establecen los principios básicos que regirán la protección de datos, a saber: 1) Calidad de los datos:. 14. Los datos de carácter personal que sean objeto de un. tratamiento automatizado: a) Se obtendrán y tratarán leal y legítimamente; b) Se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades; c) Serán adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado; d) Serán exactos y si fuera necesario puestos al día; e) Se conservarán bajo una forma que permita la identificación de las personas. concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado. 2) Categorías particulares de datos: 15 Los datos de carácter personal que revelen el origen racial,. las opiniones políticas,. 12. las convicciones religiosas u otras. Convenio I 08 del Consejo de Europa de 28 de enero de 1981 para la protección de las personas respecto al Tratamiento Automatizado de Datos de Carácter Personal, disponible en h ttps ://www.agpd.es/portal web/ can aldocumen taci on/legi si aci on/uni on europea/ convenios/common/pd fs/ con v enio 108 consejo europa.pdf 13 Artículo 3, fracción l. 14 Artículo 5. 15 Artículo 6.. 9.

(16) convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual -datos sensibles-, no podrán tratarse automáticamente a menos que el derecho interno prevea garantías apropiadas. 3) Seguridad de los datos:. 16. Se tomarán medidas de seguridad apropiadas para la. protección de datos de carácter personal registrados en ficheros -sistemasautomatizados contra la destrucción accidental o no autorizada, o la pérdida accidental, así como contra el acceso, la modificación o la difusión no autorizados. 4) Garantías complementarias para la persona concernida: 17 Cualquier persona deberá poder: a) Conocer la existencia de un fichero -sistema- automatizado de datos de carácter personal, sus finalidades principales, así como la identidad y la residencia habitual o el establecimiento principal de la autoridad controladora del fichero; b) Obtener a intervalos razonables y sm demora o gastos excesivos la confirmación de la existencia o no en el fichero automatizado de datos de carácter personal que conciernan a dicha persona, así como la comunicación de dichos datos en forma inteligible; c) Obtener, llegado el caso, la rectificación de dichos datos o el borrado de los mismos, cuando se hayan tratado con infracción de las disposiciones del derecho interno que hagan efectivos los principios básicos enunciados en los artículos 5 y 6 del Convenio; d) Disponer de un recurso si no se ha atendido a una petición de confirmación o, si así fuere el caso, de comunicación, de ratificación o de borrado, a que se refieren los párrafos b) y c). En el artículo 10 del Convenio se prevé que en la regulación de cada país se establezca un régimen sancionador para la infracción de estos principios; así como los medios de defensa adecuados para que los particulares puedan hacer valer sus derechos:. "Cada Parte se compromete a establecer sanciones y recursos convenientes contra las 16 17. Artículo 7. Artículo 8.. 10.

(17) infracciones de las disposiciones de derecho interno que hagan efectivos los principios básicos para la protección de datos enunciados en el presente capítulo. " Como puede observarse este convenio, recoge los principios básicos para la protección de datos personales y su transferencia internacional. Es un instrumento de carácter vinculante para los Estados miembro y con el mismo se pretende conciliar la protección a los datos personales sin sacrificar la libre circulación de dicha información entre los Estados. Después de este Convenio, el siguiente gran paso se da en la Organización de las Naciones Unidas a través de la Resolución 45/95 de la Asamblea General de 14 de. diciembre de 1990 por el que se establecen las Directrices de Protección de Datos. 18 En estas Directrices se establecen las garantías mínimas que deben prever las legislaciones nacionales en cuanto a la protección de los datos personales como un derecho humano, a saber: 1). Principio de legalidad y lealtad. 2). Principio de exactitud. 3). Principio de especificación de la finalidad. 4). Principio de acceso de la persona interesada. 5). Principio de no discriminación. 6). Limitación de la facultad para hacer excepciones. 7). Principio de seguridad. 8). Supervisión y sanciones, a través de una autoridad que deberá ofrecer garantías de imparcialidad, independencia y competencia técnica. 9). Flujo transfronterizo de datos basado en la similitud de las salvaguardas. 1O). Campo mínimo de aplicación general a todos los archivos informatizados públicos y privados.. Para facilitar su comprensión, a continuación se desarrolla brevemente el contenido de los citados principios: 18. Resolución 45/95 de la Asamblea General de la ONU, disponible en http://www.habeasdata.org/ONUDirectrices-para-la-regulacion-de-archivos-de-datos-personales-informatizados o en http:/lhidra5.ceca.es/2000/normafin/normafin.nsf/05fc 1a77748defaac 1256e63002de 1ec/f92922e4654df637 e 1 2571 fb0046253c?OpenDocument. 11.

(18) 1). Principio de legalidad y lealtad: La información relativa a las personas no debe ser recogida o procesada por métodos desleales o ilegales, ni debe ser utilizada para fines contrarios a los fines y principios de la Carta de Naciones Unidas.. 2). Principio de exactitud: Las personas responsables de la compilación de archivos, o aquellas responsables de mantenerlos, tienen la obligación de llevar a cabo comprobaciones periódicas acerca de la exactitud y pertinencia de los datos registrados y garantizar que los mismos se mantengan de la forma más completa posible, con el fin de evitar errores de omisión, así como de actualizarlos periódicamente.. 3). Principio de especificación de la finalidad: La finalidad a la que vaya a servir un archivo y su utilización en términos de dicha finalidad debe ser especificada, legítima y, una vez establecida, recibir una determinada cantidad de publicidad o ser puesta en conocimiento de la persona interesada, con el fin de que posteriormente sea posible garantizar que: a) Todos los datos personales recogidos y registrados sigan siendo pertinentes y adecuados para los fines especificados; b) Ninguno de los referidos datos personales sea utilizado o revelado, salvo con el consentimiento de la persona afectada, para fines incompatibles con aquellos especificados; c) El período durante el que se guarden los datos personales no supere aquel que permita la consecución de los fines especificados.. 4). Principio de acceso de la persona interesada: Cualquiera que ofrezca prueba de su identidad tiene derecho a saber si está siendo procesada información que le concierna y a obtenerla de forma inteligible, sin costos o retrasos indebidos; y a conseguir que se realicen las rectificaciones o supresiones procedentes en caso de anotaciones ilegales, innecesarias o inexactas, y, cuando sea comunicada, a ser informado de sus destinatarios.. 5). Principio de no discriminación: Sin perjuicio de los casos susceptibles de excepción restrictivamente contemplados en el principio 6, no deben ser recogidos datos que puedan dar origen a una discriminación ilegal o arbitraria, incluida la información. 12.

(19) relativa a origen racial o étnico, color, vida sexual, opm1ones políticas, religiosas, filosóficas y otras creencias, así como la circunstancia de ser miembro de una asociación o sindicato. 6). Facultad para hacer excepciones: Las excepciones a los principios 1 a 4 solamente pueden ser autorizadas en caso de que sean necesarias para proteger la seguridad nacional, el orden público, la salud pública o la moralidad, así como, entre otras cosas, los derechos y libertades de otros, especialmente de personas que estén perseguidas (cláusula humanitaria), siempre que tales excepciones estén especificadas de forma explícita en una ley o norma equivalente promulgada de acuerdo con el sistema jurídico interno.. 7). Principio de seguridad: Deben adoptarse medidas adecuadas para proteger los archivos tanto contra peligros naturales, como la pérdida o destrucción accidental; como humanos, como el acceso no autorizado, el uso fraudulento de los datos o la contaminación mediante virus informáticos.. 8). Supervisión y sanciones: El derecho de cada país designará a la autoridad que, de acuerdo con su sistema jurídico interno, vaya a ser responsable de supervisar la observancia de los principios arriba establecidos. Esta autoridad ofrecerá garantías de imparcialidad, independencia frente a las personas o agencias responsables de procesar y establecer los datos, y competencia técnica. En caso de violación de lo dispuesto en la ley nacional que lleve a la práctica los principios anteriormente mencionados, deben contemplarse condenas penales u otras sanciones, junto con los recursos individuales adecuados.. 9). Flujo transfronterizo de datos: Cuando la legislación de dos o más países afectados por un flujo transfronterizo de datos ofrezca garantías similares para la protección de la intimidad, la información debe poder circular tan libremente como dentro de cada uno de los territorios afectados. En caso de que no existan garantías recíprocas, no deberán imponerse limitaciones indebidas a tal circulación, sino solamente en la medida en que lo exija la protección de la intimidad.. 10) Campo de aplicación: Los presentes principios deben hacerse aplicables, en pnmer. lugar, a todos los archivos informatizados públicos y privados; así como, mediante. 13.

(20) extensión optativa y sujeta a los ajustes correspondientes, a los archivos manuales. Pueden dictarse disposiciones especiales, también optativas, para hacer aplicable la totalidad o parte de los principios a los archivos relativos a personas jurídicas, especialmente cuando contengan alguna información relativa a individuos. Los principios citados de la Resolución 45/95 de la Asamblea General de la ONU por el que se establecen las Directrices de Protección de Datos, junto con los previstos en el Convenio 108 del Consejo de Europa, fueron un primer avance para intentar homologar las garantías mínimas de este derecho en diversos países. Sin embargo, los principios de la protección de los derechos y libertades de las personas y, en particular, del respeto a los datos personales, fueron superados por los contenidos en la Directiva 95/46/CE de 24 de. octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre circulación de estos Datos, 19 en donde se precisan y amplían los del Convenio 108 del Consejo de Europa para la protección de las personas. En los considerandos de esta directiva se reconoce que la protección a los datos personales es un derecho fundamental y que el mismo no debe ser visto como un obstáculo para el comercio internacional; si no al contrario, debe ser aprovechado como un mecanismo que contribuirá al progreso económico eliminando barreras que podrían generar garantías de protección heterogéneas en esta materia, tal como a continuación se muestra:. "(]) Considerando que los objetivos de la Comunidad definidos en el Tratado, tal y como quedó modificado por el Tratado de la Unión Europea, consisten en lograr una unión cada vez más estrecha entre los pueblos europeos, establecer relaciones más estrechas entre los Estados miembros de la Comunidad, asegurar, mediante una acción común, el progreso económico y social, eliminando las barreras que dividen Europa, fomentar la continua mejora de las condiciones de vida de sus pueblos, preservar y consolidar la paz y la libertad y promover la democracia, basándose en los derechos fundamentales. 19. Directiva 95/46/CE disponible en http://eurlex.europa.eu/smartapi/cgi/sga doc?smartapi !celexplus!prod! DocNumber&lg=es&type doc=Directive&an d oc= I 995&nu doc=46 o en http://derecho.eui.upm.es/DPDPF.pdf. 14.

(21) reconocidos en las constituciones y leyes de los Estados miembros y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales; (2) Considerando que los sistemas de tratamiento de datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las personas físicas, respetar las libertades y derechos fundamentales de las personas fisicas y, en particular, la intimidad, y contribuir al progreso económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos; (3) Considerando que el establecimiento y funcionamiento del mercado interior, dentro del cual está garantizada, con arreglo al artículo 7 A del Tratado, la libre circulación de mercancías, personas, servicios y capitales, hacen necesaria no sólo la libre circulación de datos personales de un Estado miembro a otro, sino también la protección de los derechos fiindamentales de las personas; ... (] O) Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, así como en los principios generales del Derecho comunitario;. que, por lo tanto,. la. aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad. ". Independientemente de que los principios de esta Directiva serán motivo de análisis en el siguiente capítulo, era importante destacar lo previsto en estos considerandos, pues ubican el derecho a la protección a los datos personales como un derecho humano.. 15.

(22) Lo mismo ocurre con la Carta de Derechos Fundamentales de la Unión Europea 20 proclamada por el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea en Niza el 7 de diciembre del 2000; en donde se reconoce el derecho a la protección de datos como un derecho fundamental y autónomo, distinto al derecho a la intimidad y la privacidad de las personas. En su artículo 8 establece lo siguiente: J.. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3. El re!>peto de estas normas quedará sujeto al control de una autoridad independiente. " Los incisos 2 y 3 de este precepto delimitan el contenido esencial que debe revestir la legislación que regule el derecho fundamental a la protección de datos de carácter personal. Podemos diferenciar los requisitos de este modo: •. Los datos deberán ser tratados de modo leal. •. Los datos deberán ser tratados para fines concretos. •. El tratamiento deberá efectuarse sobre la base del consentimiento del interesado o como consecuencia de algún otro fundamento legítimo y previsto legalmente. •. Toda persona tendrá los derechos de acceso, rectificación y cancelación al tratamiento. •. Deberá existir una autoridad independiente encargada de velar por la garantía del derecho Todos los antecedentes citados, dan lugar a la actual legislación internacional en la. materia, por lo que las bases creadas desde 1948 en la Declaración Universal de los Derechos Humanos donde se prevé la protección a la intimidad como derecho humano, la Resolución 509 de 1968 del Consejo de Europa en donde se establece la protección de los datos personales como un derecho humano independiente al de la intimidad, los principios. °. 2. Carta de Derechos Fundamentales de la Unión Europea, disponible en http://www.europarl.europa.eu/charter/pdf/text es.pdf. 16.

(23) contenidos en el Convenio 108 del Consejo de Europa,. la Resolución 45/95 de la. Asamblea General de la ONU, la Directiva 95/46/CE de la Comunidad Europea y la Carta de Derechos Fundamentales de la Unión Europea, son el referente para cualquier país que pretenda implantar una política pública tendiente a proteger esta materia. Toda vez que el desarrollo de la protección de datos personales como derecho humano se dio, desde sus inicios, en mayor medida en Europa, los países latinoamericanos han tomado este modelo para tener avances, en este tema, por lo que se han buscado mecanismos de colaboración, sobretodo con España y Portugal, para implantar de manera exitosa esta experiencia internacional. Ejemplo de lo anterior es la Red Iberoamericana de Protección de Datos, creada en La Antigua, Guatemala en junio del 2003 por un acuerdo alcanzado por representantes de 14 países iberoamericanos, con el fin de generar intercambio de información y experiencias exitosas entre los países iberoamericanos en materia de protección de datos de carácter personal. Esta iniciativa contó desde sus inicios con apoyo político reflejado en la Declaración Final de la XIII Cumbre de Jefes de Estado y de Gobierno de los países iberoamericanos celebrada en Santa Cruz de la Sierra, Bolivia el 14 y 15 de noviembre de 2003, conscientes del carácter de la protección de datos personales como derecho fundamental, así como de la importancia de las iniciativas regulatorias iberoamericanas para proteger la privacidad de los personas. Desde entonces, la Red se ha convertido en un foro de promoción del derecho fundamental a la protección de datos en esta comunidad. La Red involucra a diversos actores sociales, tanto del sector público como privado y su objetivo primordial es que los países que en la actualidad constituyen la Red, entre ellos México, consigan el impulso y la experiencia necesaria para la implantación del derecho fundamental · a ·la · protección de · datos de carácter personal en sus gobiernos, a través de la instauración de una regulación normativa e institucional en esta materia. Con el fin de promover la homogeneidad en las regulaciones que buscan implantarse en Latinoamérica, la Red emitió las Directrices para la armonización de la. protección de datos en la comunidad iberoamericana, aprobadas el 09 de noviembre de. 17.

(24) 2007 en Lisboa, Portugal en el V Encuentro Iberoamericano de Protección de Datos organizado por la Comisión Nacional de Protección de Datos de Portugal. En la introducción de estas Directrices se establece claramente que la protección de datos personales es un derecho fundamental que debe ser reconocido por los poderes públicos y que este reconocimiento impactará de manera favorable el libre intercambio transfronterizo de la información que contiene datos de carácter personal entre países, asimismo destaca la importancia de generar criterios homogéneos con un contenido mínimo de garantía a este derecho: " ... es preciso que los poderes públicos adopten las medidas. necesarias para garantizar a las personas la salvaguarda del derecho fundamental, como garantía esencial del estado de derecho. Sin embargo, el reconocimiento del derecho fundamental debería, como se ha señalado, complementarse con el establecimiento de un marco normativo uniforme, que permita garantizar un nivel equivalente de protección de este derecho, a través del reconocimiento normativo de los principios, derechos y deberes que lo configuran. De este modo podrá asegurarse que, encontrándose plenamente garantizado el derecho fundamental, los Estados Iberoamericanos se beneficien del enriquecimiento económico. social y cultural que puede derivarse del libre intercambio transfronterizo de la información que contiene datos de carácter personal. El presente documento tiene por objeto delimitar esos perfiles esenciales que configuran el derecho fundamental a la protección de datos de carácter personal, con el objeto de ofrecer a los poderes públicos de los Estados Iberoamericanos unos criterios orientativos que puedan resultar de utilidad en el desarrollo de las iniciativas normativas que puedan adoptarse, facilitando así el establecimiento de un marco homogéneo de protección que facilite el intercambio de los flujos de información entre todos ellos y desde y hacia terceros Estados que han adoptado estándares similares de protección." 21 Considero oportuno para concluir el presente capítulo hacer la siguiente cita, que mucho refleja el porqué los datos personales son un derecho fundamental: "Los datos. relativos a una persona no son algo anecdótico, sino que, muy al contrario, son expresión 21. Directrices para la armonización de la protección de datos en la comunidad iberoamericana, disponibles en https://www.agpd.es/portalweb/intemacional/red iberoamericana/encuentros/V Encuentro/common/09 Novi embre/Directrices de armonizacion.pdf. 18.

(25) final de un conjunto de características personales o de opciones vitales, que deben ser respetadas al ser una exigencia propia de la dignidad de la persona. Por ello, la protección de los datos personales no es una moda, ya que representa una exigencia de los derechos inviolables que son inherentes a la persona y el libre desarrollo de su personalidad, fundamento, como sabemos del orden político y de la paz social. Un ordenamiento jurídico, si quiere respetar los derechos de las personas, no puede no proteger los datos y la información personal." (Véase Troncoso, 2005, p. 278) Una vez identificado el derecho a la protección de datos personales como un derecho fundamental, analizaremos ahora los modelos de protección que prevalecen en el marco internacional.. Capítulo ll. La protección a los datos personales en el ámbito internacional. La protección de datos personales tiene una doble repercusión en las sociedades, por un lado exige obligaciones a quien tiene acceso y conocimiento de datos de carácter personal; por el otro, confiere derechos al titular de los datos, que puede ejercitarlos ante quien administre esa información dentro de los límites legalmente establecidos, con el fin de controlar cómo, quién y para qué se tratan sus datos -derecho a la autodeterminación informativa-. Como se analizó en el capítulo anterior, los instrumentos internacionales que reconocen a la protección de datos personales como un derecho humano y que por tanto deben ser referencia para cualquier país que pretenda implantar una política pública en esta materia, son: •. 1968. Resolución 509 del Consejo de Europa. •. 1981. Convenio 108 del Consejo de Europa. •. 1990. Resolución 45/95 de la Asamblea General de la ONU. •. 1995. Directiva 95/46/CE de la Comunidad Europea. •. 2000. Artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea. 19.

(26) En estos instrumentos internacionales se han establecido los principios básicos que configuran el derecho a la protección de datos personales; sin embargo existen otros dos marcos normativos que también deben ser considerados: •. Los Lineamientos sobre la Protección de la Privacidad y el Flujo Transfronterizo de Datos Personales emitidos en 1980 por la Organización para la Cooperación y el Desarrollo Económicos -Lineamientos de la OCDE-; y. •. El Marco de privacidad del Foro de Cooperación Económica Asia Pacífico -Marco de privacidad del APEC-. Para facilitar el análisis comparado en materia internacional, se expondrán los. principios rectores de estos dos últimos instrumentos por orden cronológico; posteriormente se hará un comparativo con el marco de la Comunidad Europea y finalmente se abordará el desarrollo de este derecho en América Latina.. A.. Lineamientos de la OCDE. Los primeros trabajos de la OCDE, organización de la que México forma parte, datan de 1969, con la formación del Grupo de Expertos sobre Bancos de Datos (Data Bank. Panel), que analizó y estudió diferentes aspectos de la privacidad. El primer gran consenso internacional en esta organización para el establecimiento de los principios rectores en materia de protección de datos personales, se dio en 1977 en el Simposio de Viena organizado a instancias del Grupo de Expertos arriba citado. Este Simposio recogió un conjunto de premisas básicas que han permanecido vigentes hasta la fecha: a) La necesidad de que la información fluya de forma regulada entre los países; b) Que es legítimo que los países impongan regulaciones para el flujo de información que pueda resultar contraria al orden público, o que atente contra la seguridad nacional; c) Que el flujo de información tiene un valor económico intrínseco importante para las economías de los países;. 20.

(27) d) Que los países deben adoptar medidas de seguridad mínimas para la protección de la información, así como regular sobre la protección de dicha información, para evitar su uso o aprovechamiento ilegítimos; y e) Que los países deben asumir un compromiso de adopción de principios generales para la protección de datos personales. En 1978, la OCDE creó un nuevo grupo internacional denominado Grupo de. Expertos sobre Barreras Transfronterizas de Información y Protección de Privacidad, cuya labor fue desarrollar lineamientos de consenso general para el flujo transfronterizo de datos y la protección de datos personales; lo anterior con el fin de armonizar las legislaciones nacionales de los países miembros. Con el propósito de hallar un consenso internacional, a los trabajos de la OCDE se unieron el Consejo de Europa y la entonces Comunidad Económica Europea. Concluyeron el 1 de julio de 1979, y en términos generales, se hallaron preocupaciones similares de los países miembros de la OCDE y de la comunidad europea pero también cuestionamientos pues se tenían enfoques diferentes en cuanto al tratamiento y la obligatoriedad de los prmc1p1os. Al haber países europeos miembros de la OCDE, se hizo imperiosa la necesidad de llegar a criterios mínimos entre todas las partes que aseguraran la protección de la privacidad de los datos personales, como un aspecto de derechos humanos fundamentales y libertades individuales; aun cuando el tratamiento en la Comunidad Europea fuera distinto. Los resultados de estos trabajos de la OCDE concluyeron con la promulgación en 1980 de los Lineamientos sobre la Protección de la Privacidad y el Flujo Transfronterizo de Datos Personales -Lineamientos de la OCDE-. 22 Estos Lineamientos fueron adoptados el 23 de septiembre de 1980 como una recomendación del Consejo de la OCDE y aplican a datos personales en poder del sector público y privado que, debido a la forma en que se procesan, a su naturaleza o al contexto en que se usan, suponen un peligro para la privacidad y las libertades individuales. Establecen, en los capítulos dos y tres, los siguientes ocho principios básicos: 22. OECD, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data disponibles en http://www.oecd.org/document/18/0,3343,en 2649 34255 1815186 1 1 1 1,00.html. 21.

(28) 1) Principio de limitación de recogida: Este principio implica que deben existir límites al recabar los datos personales y cualquiera de estos datos deberán obtenerse con medios legales y justos y, siempre que sea apropiado, con el conocimiento o consentimiento del sujeto implicado. 2) Principio de calidad de los datos: Establece que los datos personales deberán ser relevantes para el propósito de su uso -acordes a la finalidad- y, en la medida de lo necesario para dicho propósito, exactos, completos y actuales. 3) Principio de especificación del propósito: El propósito de recabar datos -finalidad-se deberá especificar a más tardar en el momento en que se produce dicha recogida, y su uso se verá limitado al cumplimiento de los objetivos u otros que no sean incompatibles con el propósito original, especificando en cada momento el cambio de objetivo. 4) Principio de limitación de uso: No se deberá divulgar, poner a disposición o usar los datos personales excepto si se tiene el consentimiento del sujeto implicado o. por imposición legal o de las autoridades. 5) Principio de salvaguardia de la seguridad: Se emplearán medidas razonables de seguridad para proteger los datos personales contra riesgos, tales como pérdida, acceso no autorizado, destrucción, uso, modificación o divulgación de los mismos. 6) Principio de transparencia: Deberá existir una política general sobre transparencia en cuanto a evolución, prácticas y políticas relativas a datos personales. Se deberá contar con medios ágiles para determinar la existencia y la naturaleza de datos personales, el propósito principal para su uso y la identidad y lugar de residencia habitual de quien controla esos datos. 7) Principio de participación individual: Todo individuo tendrá derecho a: •. Que el controlador de datos le confirme que tiene datos sobre su persona;. •. Que se le comuniquen los datos relativos a su persona en un tiempo razonable; a un precio, si existiese, que no sea excesivo; de forma razonable; y de manera inteligible; y. •. Que se le expliquen las razones por las que una petición suya haya sido denegada, así como poder cuestionar tal denegación; y expresar dudas sobre los datos relativos. 22.

(29) a su persona y, si su reclamación tiene éxito, conseguir que sus datos se eliminen, rectifiquen, completen o corrijan. 8) Principio de responsabilidad: La responsabilidad del cumplimiento de las medidas que hagan efectivos los principios señalados anteriormente, debe recaer en todo controlador de datos -todo aquél que trate datos personales-. En estos lineamientos también se establece, en cuanto a las restricciones de intercambio transfronterizo de datos -transmisiones internacionales-, que: •. Los países miembros deberán abstenerse de restringir el intercambio transfronterizo de datos personales con otros países miembros, excepto cuando el país receptor todavía no observe de forma sustancial estos lineamientos o cuando la exportación de tales datos burle la legislación nacional sobre privacidad.. •. Un país miembro podrá imponer restricciones a ciertas categorías de datos personales sobre las que rijan normativas específicas, contenidas en su legislación nacional sobre privacidad, que por su naturaleza no tienen una protección equiparable en el país receptor.. •. Los países miembros deberán evitar la elaboración de leyes, políticas y prácticas destinadas a proteger la privacidad y las libertades individuales que pudieran crear obstáculos al flujo transfronterizo de datos personales excediendo los requisitos para tal protección. En cuanto a la implantación nacional de los principios expuestos, se previó que los. países miembros deberían crear procedimientos o instituciones legales, administrativos o de otro tipo para garantizar la protección de la privacidad y las libertades individuales en relación con los datos personales. Asimismo, establece que los países miembros deberán poner especial empeño en: •. Adoptar una legislación nacional adecuada;. •. Impulsar y apoyar la autorregulación, ya sea mediante códigos de conducta o de otro modo;. •. Brindar los medios razonables para que los individuos ejerzan sus derechos;. •. Sancionar adecuadamente y ofrecer soluciones en caso de fallos con el fin de cumplir los principios; y. 23.

(30) •. Asegurar que no haya discriminación desleal hacia el sujeto de los datos. En resumen, estos Lineamientos ofrecen garantías para la protección de datos. personales a través de sus principios, que si bien no comparten la denominación de los analizados en los instrumentos internacionales citados en el capítulo anterior, implican similitudes en cuanto al fondo de la protección; con las siguientes salvedades: •. El modelo no tiene como centro la protección del individuo -ejercicio de un derecho fundamental-; sino que gira en tomo al valor económico de los datos en cuanto al flujo internacional de la información para cubrir, con determinada protección, la necesidad de las economías de transmitir y tratar datos personales para la consecución de sus negocios.. •. Se prevé un esquema más flexible en cuanto a la implantación de la política pública pues no exige una autoridad garante independiente y promueve el esquema de autorregulación por parte de las empresas y sectores involucrados, a través de códigos de conducta, sellos de confianza, entre otros.. B. Marco de privacidad del APEC El marco de privacidad del Foro de Cooperación Económica Asia Pacífico. 23. es una. herramienta de protección que busca un equilibrio entre la seguridad de la información personal y el libre flujo de información en la región Asia Pacífico para asegurar sus fines comerciales. Su artículo 5 establece que este documento concuerda con los valores básicos de los Lineamientos de Protección de la Privacidad y Flujos Transfronterizos de Datos Personales de 1980 de la OCDE, que su objetivo es promover el comercio electrónico en toda la región Asia Pacífico y reafirmar el valor de la privacidad para los individuos y para la sociedad de información. · El artículo 8 establece que este Marco fue desarrollado reconociendo la importancia de:. 23. Marco de Privacidad de APEC, disponible http://www.apec.org/apec/news media/fact sheets/apec privacy framework.html o en http://www.sellosdeconfianza.org.mx/capturas/Iineamientos.doc. 24. en.

(31) •. Desarrollar protecciones apropiadas para la información personal, particularmente contra las dañinas consecuencias de intrusiones no deseadas y del uso incorrecto de la información personal;. •. Reconocer el libre flujo de información como algo esencial para economías de mercado desarrolladas y en desarrollo, para sustentar el crecimiento económico y social;. •. Posibilitar organizaciones. globales. que. recopilen,. accedan,. usen. o. procesen. información en economías de APEC para desarrollar e implementar acercamientos uniformes dentro de sus organizaciones para tener acceso global y uso de la información personal; •. Posibilitar agencias de seguridad para cumplir con su mandato de proteger la privacidad de la información; y,. •. Presentar mecanismos internacionales para promover y hacer cumplir la privacidad de la información, y mantener la continuidad de los flujos de información entre economías de APEC y sus socios comerciales. En resumen, el objetivo de este Marco es mantener un equilibrio entre la necesidad. de las economías de transmitir y tratar datos personales para la consecución de sus negocios y la debida protección de dichos datos de conformidad con principios básicos. Asimismo,. este Marco se realizó para promover un acercamiento entre los sistemas de privacidad de la información de las economías de APEC para intentar homologar la normatividad aplicable. En cuanto a la definición de datos personales, el artículo 9 prevé que "información personal" significa cualquier información acerca de un individuo identificado o identificable. En el artículo 1O se prevé que el Marco de Privacidad "aplica a personas u organizaciones en los sectores público y privado que controlan la recolección, posesión, procesamiento, uso, transferir o revelar información personal". Los principios de protección están contenidos en los artículos 14 al 25 y son: 1. Prevención del daño: Prevenir el daño que pudiera causar el mal uso de la información y medidas de saneamiento en caso de causarlo.. 25.

(32) 2. Aviso: El que recolecta la información personal está obligado a proporcionar al individuo declaraciones claras que contengan al menos: a) El hecho de que información personal está siendo recopilada; b) Los propósitos para los que se está recopilando la información personal; c) Los tipos de personas u organizaciones a las que se les podría revelar la información personal; d) La identidad y ubicación del que está recolectando la información personal, incluyendo información de cómo contactarlo respecto a sus prácticas y manejo de la información personal; e) La elección de medios que se ofrece a los individuos para limitar el uso, revelación, acceso y corrección de su información.. 3. Limitación de recolección: La recolección de la información personal deberá ser limitada a aquella información que sea relevante a los propósitos de recolección y dicha información deberá ser obtenida por medios legales y justos, y cuando sea apropiado, con consentimiento y dando aviso al individuo en cuestión. Este principio implica la proporcionalidad de la información recolectada para los propósitos para los que se necesita, es decir, no se deben recolectar datos personales innecesarios para el fin que persigue el recolector. La recolección legal se refiere a que la información personal no debe ser obtenida a través de falsas pretensiones o engaños.. 4. Usos de la información personal: La información personal recopilada sólo debe ser usada para cumplir con los propósitos de recolección.. 5. Elección: Los titulares deben recibir opciones claras y entendibles respecto del alcance que puede darse en el uso de sus datos, para fines distintos de aquellos por los cuales se recaba la información. El propósito general del principio de elección es asegurar que los individuos tengan una opción con relación a la recolección, uso, transferencia y revelación de su información personal; ya sea que la información sea transmitida electrónicamente, por escrito o por otros medios, aviso de tal elección debe ser comunicado y mostrado de manera clara y evidente.. 26.

(33) 6. Integridad de la información personal: La información personal debe ser exacta, completa y debe estar actualizada al grado necesario para los propósitos para los que será usada. 7. Medidas de seguridad: La información personal recabada debe protegerse con medidas de seguridad apropiadas contra riesgos, tales como pérdida o acceso desautorizado, o destrucción desautorizada, uso, modificación o revelación de información o cualquier otro uso incorrecto.. 8. Acceso y Corrección: este principio implica que el interesado tenga mecanismos claros para obtener información sobre los datos personales que se tienen sobre él, así como el derecho de rectificar, completar, corregir o borrar dicha información.. 9. Responsabilidad: Cuando la información personal vaya a ser transferida a otra persona u organización, nacional o internacional, el controlador de la información personal deberá obtener consentimiento del individuo o actuar con la debida diligencia y tomar las medidas razonables para asegurar que la persona u organización receptora, protegerá la información consistentemente con estos principios. Como se observa, los principios citados tienen similitudes mayores con los Lineamientos de la OCDE y son más flexibles en cuanto a su cumplimiento si los comparamos con las disposiciones de la Unión Europea, dado que el fin primordial de este Marco es proteger la información personal, pero con el objetivo de no crear barreras innecesarias a los flujos de información, lo que impactaría directamente a la economía de cada país. La forma en que se debe cumplir con este Marco se deja a discrecionalidad de cada país miembro, al respecto el artículo 31 propone como opciones: métodos legislativos, administrativos, auto regulación de la industria o la combinación de estos. A diferencia de la normativa de la Comunidad Europea -leyes de cumplimiento obligatorio para todos los países miembros-, la normativa de la APEC puede ser distinta en cada país, pues podría existir una ley emitida por sus poderes legislativos, disposiciones emitidas por el poder ejecutivo o auto regulación por parte de la industria. En cuanto a la información personal en poder del sector público, el artículo 34 prevé que se consideran importantes las discusiones con agencias de seguridad internas,. 27.