Capítulo 2: Antecedentes internacionales y marco jurídico de protección de datos personales…
2.1. Normas emitidas por organismos internacionales
2.1.2. Marco de privacidad del APEC
El Marco de privacidad de APEC24 es una herramienta de protección que busca un equilibrio entre la seguridad de la información personal y el libre flujo de información en la región Asia-Pacífico para asegurar sus fines comerciales.
El artículo 5 de dicho ordenamiento, establece que este documento concuerda con los valores básicos de los Lineamientos de Protección de la Privacidad y Flujos Transfronterizos de Datos Personales de 1980 de la OCDE, que su objetivo es promover el comercio electrónico en toda la región Asia-Pacífico y reafirmar el valor de la privacidad para los individuos y para la sociedad de información. El artículo 8 establece que este Marco fue desarrollado reconociendo la importancia de:
• Desarrollar protecciones apropiadas para la información personal.
• Reconocer el libre flujo de información como algo esencial para economías de mercado desarrolladas y en desarrollo.
• Posibilitar organizaciones globales que recopilen, accedan, usen o procesen información en economías de APEC.
• Posibilitar agencias de seguridad para cumplir con su mandato de proteger
la privacidad de la información, y
24 Marco de Privacidad de APEC. APEC, diciembre de 2005. Disponible en:
https://sellosdeconfianza.org.mx/docs/marco_de_privacidad_APEC.pdf
29
• Presentar mecanismos internacionales para promover y hacer cumplir la privacidad de la información.
En resumen, el objetivo de este Marco es mantener un equilibrio entre la necesidad de las economías de transmitir y tratar datos personales para la consecución de sus negocios y la debida protección de dichos datos de conformidad con principios básicos.
Los principios básicos de protección están contenidos en los artículos 14 al 25 y son:
1) Prevención del daño.
2) Aviso: El que recolecta la información personal está obligado a proporcionar al individuo declaraciones claras.
3) Limitación de recolección.
4) Usos de la información personal.
5) Elección.
6) Integración de la información personal.
7) Medidas de seguridad.
8) Acceso y Corrección, y 9) Responsabilidad.
Los principios de la OCDE y APEC son muy parecidos ya que su fin principal es buscar un equilibrio entre el flujo de datos personales que implica el intercambio comercial y la protección de los mismos.
Como ejemplo de países que siguen la normatividad de APEC tenemos a Canadá en donde se aplican leyes de protección de datos personales en el orden federal y provincial. Su sistema se rige por dos leyes federales, a saber, la “Privacy Act”, relativa a la información que tiene el gobierno y la PIPEDA.25
25 PIPEDA. Disponible en: http://laws-lois.justice.gc.ca/eng/acts/P-8.6/ [Fecha de consulta: 10 de febrero de 2018]
30 Otro modelo de protección de datos personales es el de EUA, regido por dos ordenamientos: “Privacy Act” de 1974 y el “Freedom of Information Act”. En este sistema jurídico el garante principal es el Departamento de Justicia a través de la Oficina de Información y Privacidad. No obstante, lo anterior, otras dependencias cuentan con lineamientos específicos, tal es el caso de los sectores salud y comercio. Ahora bien, es importante señalar que el régimen estadounidense se caracteriza por la aplicación de regulaciones sectoriales de privacidad mediante un mecanismo denominado Acuerdo de Puerto Seguro (Safe Harbor) en donde no se reconoce el derecho a la protección de datos personales como tal.
-Acuerdo del Puerto Seguro (Safe Harbor)
La aplicación del Acuerdo de Puerto Seguro tiene sus orígenes en la negociación mantenida durante más de dos años entre el Departamento de Comercio de EUA y la Comisión Europea, partiendo de los diferentes enfoques y niveles de protección que cada uno da a la vida privada de sus ciudadanos y considerando que EUA se basa en la autorregulación del sector privado.
Mediante la aplicación de dicho acuerdo, las entidades de EUA que voluntariamente deciden adherirse a los principios contenidos en el mismo, pueden recibir datos personales de responsables establecidos en alguno de los Estados miembros de la Unión Europea, pues con dicha adhesión se entiende que esas entidades proporcionan una protección suficiente.
El Acuerdo de Puerto Seguro funciona desde el 1 de noviembre de 2000, cuando el Departamento de Comercio de EUA inició el proceso de auto certificación en línea de las entidades de EUA que desearan adherirse a los principios de Puerto Seguro. El Departamento de Comercio publica una lista anual en la que aparecen las entidades que han certificado su adhesión a los principios.26
Las empresas que deciden no adherirse al Puerto Seguro deben cumplir con garantías de protección de otro tipo para poder transferir datos con la Unión Europea, un instrumento utilizado para estos fines son los “contratos tipo” en los
26 Listado disponible en: https://safeharbor.export.gov/list.aspx
31 que se contienen cláusulas con el mínimo de protección establecido en los siguientes principios del Puerto Seguro:
1) Notificación.
2) Opción.
3) Transferencia ulterior 4) Seguridad
5) Integridad de los datos 6) Acceso, y
7) Aplicación
Al comparar el Acuerdo del Puerto Seguro con el Marco de la APEC y el marco que regula a la Comunidad Europea, se podrá notar que el primero es menos estricto en cuanto a la forma en la que se deben cumplir los principios, ya que la adhesión de las entidades es un régimen voluntario que se produce mediante la auto certificación dirigida al Departamento de Comercio de EUA. Lo anterior significa que son las propias empresas las que manifiestan que cumplen con los principios.
Este esquema utilizado en EUA es el prototipo de la auto regulación por empresa o sector, contrario a lo que sucede en la Comunidad Europea, en donde la normatividad es obligatoria para el sector público y privado, se aplica de manera homogénea para todos los países que la conforman e implica una autoridad independiente que garantiza el cumplimiento de los principios con facultades de sanción.27