DIRECTORIO - Instituto Nacional de Transparencia, Acceso a ...
Instituto Federal de Acceso a la Información...
266
Transcript of Instituto Federal de Acceso a la Información...
Instituto Federal de Acceso a la Información Publica
Directorio:Directorio:Directorio:Directorio:Directorio:
Alonso Lujambio IrazábalComisionado PresidenteComisionado PresidenteComisionado PresidenteComisionado PresidenteComisionado Presidente
Horacio Aguilar Álvarez de AlbaComisionadoComisionadoComisionadoComisionadoComisionado
Alonso Gómez Robledo VerduzcoComisionadoComisionadoComisionadoComisionadoComisionado
Juan Pablo Guerrero AmparánComisionadoComisionadoComisionadoComisionadoComisionado
María Marván LabordeComisionadaComisionadaComisionadaComisionadaComisionada
Francisco Ciscomani FreanerSecretario de AcuerdosSecretario de AcuerdosSecretario de AcuerdosSecretario de AcuerdosSecretario de Acuerdos
Ángel Trinidad ZaldívarSecretario EjecutivoSecretario EjecutivoSecretario EjecutivoSecretario EjecutivoSecretario Ejecutivo
Instituto Federal de Acceso a la Información Pública (IFAI)Av. México 151, Col. Del Carmen, C.P. 04100,Delegación Coyoacán, México, D.F.Primera Edición, IFAIISBN: 968-5954-32-1
Impreso en México / Printed in MexicoDistribución gratuita
3
ÍndiceÍndiceÍndiceÍndiceÍndice
INAUGURACIÓNINAUGURACIÓNINAUGURACIÓNINAUGURACIÓNINAUGURACIÓN ......................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................... 5
MESA 1:MESA 1:MESA 1:MESA 1:MESA 1:El derecho fundamental a la protección de los datos personales ........................................................... 17
MESA 2:MESA 2:MESA 2:MESA 2:MESA 2:Las tecnologías de la información y su impacto en la privacidad:de las computadoras a las telecomunicaciones .......................................................................................... 43
MESA 3:MESA 3:MESA 3:MESA 3:MESA 3:Desarrollos Normativos y Globalización ........................................................................................................ 69
MESMESMESMESMESA 4A 4A 4A 4A 4:::::La protección de datos personales por los Gobiernos ................................................................................ 93
MESA 5:MESA 5:MESA 5:MESA 5:MESA 5:Perspectiva del sector financiero y comercial en la protección de los datos:los datos de crédito y el marketing directo .................................................................................................. 129
MESA 6:MESA 6:MESA 6:MESA 6:MESA 6:El estado de la cuestión: iniciativa de Ley Federal de Protección de Datos Personales ................. 161
Presentación del Libro:Presentación del Libro:Presentación del Libro:Presentación del Libro:Presentación del Libro:Privacidad y Derechos Humanos 2005 .......................................................................................................... 189
MESA 7:MESA 7:MESA 7:MESA 7:MESA 7:Medidas de seguridad: Los datos especialmente protegidos .................................................................. 201
MESA 8:MESA 8:MESA 8:MESA 8:MESA 8:La protección de los datos personales en los estados de la República Mexicana ............................ 223
4
MESA 9:MESA 9:MESA 9:MESA 9:MESA 9:Presentación de los trabajos de los subgrupos de la Red Iberoamericana deProtección de Datos Personales ...................................................................................................................... 2371. “Acceso a la Información y Protección de Datos Personales”2. “Viabilidad de creación de Autoridades de Control de Protección
de Datos en IBEROAMÉRICA”3. “Gobierno Electrónico y Telecomunicaciones”4. “Estrategia de la Red Iberoamericana de Protección de Datos”
Conferencia Magistral de ClausuraConferencia Magistral de ClausuraConferencia Magistral de ClausuraConferencia Magistral de ClausuraConferencia Magistral de Clausura ........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................... 247
Firma de Cartas de intenciónFirma de Cartas de intenciónFirma de Cartas de intenciónFirma de Cartas de intenciónFirma de Cartas de intención .......................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................252
Declaración de MéxicoDeclaración de MéxicoDeclaración de MéxicoDeclaración de MéxicoDeclaración de México .............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................. 255
5
Mensajes en el acto inauguralMensajes en el acto inauguralMensajes en el acto inauguralMensajes en el acto inauguralMensajes en el acto inauguralIV Encuentro IberoamericanoIV Encuentro IberoamericanoIV Encuentro IberoamericanoIV Encuentro IberoamericanoIV Encuentro Iberoamericanode Protección de Datos Personalesde Protección de Datos Personalesde Protección de Datos Personalesde Protección de Datos Personalesde Protección de Datos Personales
Este evento ha sido convocado por la Red Iberoamericana de Protección de Datos Personales, yorganizado por el Instituto Federal de Acceso a la Información Pública (IFAI), con la colaboración dela LV Legislatura del Estado de México y el Instituto de Transparencia de Acceso a la InformaciónPública del Estado de México (ITAIPEM).
La Red Iberoamericana de Protección de Datos Personales es un foro permanente de intercambiode información y experiencias abierto a todos los países miembros de la Comunidad Iberoamericana;tiene como objetivo impulsar los desarrollos necesarios para garantizar una regulación avanzadade este derecho fundamental.
Presidium:Presidium:Presidium:Presidium:Presidium:
Horacio Aguilar Álvarez de AlbaHoracio Aguilar Álvarez de AlbaHoracio Aguilar Álvarez de AlbaHoracio Aguilar Álvarez de AlbaHoracio Aguilar Álvarez de Alba. Comisionado del Instituto Federal de Acceso a la InformaciónPública (IFAI).
José Luis Piñar MañasJosé Luis Piñar MañasJosé Luis Piñar MañasJosé Luis Piñar MañasJosé Luis Piñar Mañas. Director de la Agencia Española de Protección de Datos y Presidente de laRed Iberoamericana de Protección de Datos Personales.
RRRRRolando Barrolando Barrolando Barrolando Barrolando Barrererererera Za Za Za Za Zapaapaapaapaapatatatatata. Consejero Presidente del Instituto de Transparencia y Acceso a laInformación Pública del Estado de México (ITAIPEM).
Luis GustaLuis GustaLuis GustaLuis GustaLuis Gustavvvvvo Po Po Po Po Parrarrarrarrarra Noriega Noriega Noriega Noriega Noriegaaaaa. Diputado local de la LV Legislatura del Estado de México.
María Marván LabordeMaría Marván LabordeMaría Marván LabordeMaría Marván LabordeMaría Marván Laborde. Comisionada Presidenta del Instituto Federal de Acceso a la InformaciónPública (IFAI).
6
PonentePonentePonentePonentePonente: Horacio Aguilar Álvarez de Alba.Comisionado del IFAI.
Es un significado honor para su servidor poderdar un breve mensaje de bienvenida con motivode este IV Encuentro en materia de Protecciónde Datos Personales.
Me parece que aquí se encuentran variascoordenadas históricas. La primera es que es unencuentro, verdaderamente es volver a hacercontacto con la cultura iberoamericana, culturaibérica con la americana fundidas en una solapara crear una nueva y diferente.
Esto da lugar a reflexionar sobre nuestras raícesy sobre nuestro sistema jurídico.
México ha sido un país experto en mestizajes ysobre todo, en mestizajes jurídicos. El primero sedio en la época del Virreinato, donde el sistemajurídico se integró mediante normasprovenientes del Reino de Castilla debidamenteadaptadas al sistema propio de nuestracomunidad. De ahí surgió una importantísimainstitución jurídica, que a la fecha tiene notablesreferencias.
Cuando alguna disposición jurídica no erasusceptible de aplicarse el Virrey al recibirladecía: Obedézcase, pero no se cumpla.
Esto es de alguna manera, el origen de una buenaparte de nuestra cultura donde encontramosuna gran tendencia al no cumplimiento de lamisma.
Pero también hay que recordar que nuestrosistema jurídico es románico, germánico,canónico, se consolida en la época del Virreinato,el derecho novo hispano o indiano sobrevivemuchos años después de la Independencia.
El segundo mestizaje lo encontramos,jurídicamente hablando, en el año de 1824,cuando México llega a la independencia, quiereentrar a la modernidad, decide tener unaconstitución y por la influencia del embajadorde los Estados Unidos de América, que fue el
primero que reconoció como gobierno laindependencia de nuestro país, se empieza adifundir la Constitución Americana y se copia elrégimen federal.
Nuestro artículo 124 constitucional es una copialiteral de la norma correlativa de la ConstituciónAmericana.
Cuánto trabajo nos ha costado implementar elrégimen federal en nuestro país; tenemosnotables avances, aunque en algunas materiastodavía existe el rezago.
El último mestizaje del cual estamos siendoespectadores y en muchas ocasiones hastaactores, se da por virtud de la suscripción delTratado de Libre Comercio entre México, EstadosUnidos y Canadá. México tiene esa grancapacidad de adaptación al cambio y a lasnormas jurídicas.
Hoy, este encuentro nos permitirá una reflexiónseria y responsable sobre la cuestión relativa ala normatividad en materia de datos personales.Es importante resaltar que los datos personalesson trascendentes porque son el reflejo de lapersona, no son la persona misma, son el reflejode la persona.
Y por lo tanto vamos a encontrar que en nuestrosistema jurídico mexicano hay una grancantidad de disposiciones encaminadas aproteger los datos personales porque protegena la persona.
Estamos en presencia de una visión personalista,desde el Derecho Constitucional, desde laConstitución misma pero, sobre todo, en nuestroDerecho Civil.
Hoy tenemos que ir avanzando en esta materiapara ir haciendo reflexiones de cómo ampliar odilatar la protección de los datos personales.
Con estas breves reflexiones que me permitoextrovertir con ustedes, me permito hacer la máscordial bienvenida para todos los participantes,no solamente augurando, sino asegurando los
7
éxitos más acabados de esta reunión que habránde concluir no solamente con una proclama enesta materia, sino que habrán de concluir conuna fórmula que haga estable la reflexión libreen materia de derechos personales.
Ponente:Ponente:Ponente:Ponente:Ponente: José Luis Piñar Mañas. Director de laAgencia Española de Protección de Datos yPresidente de la Red Iberoamericana deProtección de Datos Personales.
Es para mí un honor y una satisfacción podermedirigir a todos ustedes en la Ciudad de Méxicocon motivo de la celebración del IV EncuentroIberoamericano de Protección de DatosPersonales.
En esta ocasión nos reunimos representantesde 17 países, siguiendo el camino ya empezadocon la Declaración de la Antigua, Guatemala enel año 2003. Entonces, un grupo de personasrepresentantes de diversas institucionesdecidimos crear la Red Iberoamericana deProtección de Datos.
Poco después, los jefes de Estado y de gobiernode los países de la Comunidad Iberoamericanaen la Declaración de Santa Cruz de la Sierrahicieron mención expresa a la RedIberoamericana de Protección de Datos ehicieron mención expresa al derechofundamental a la protección de datospersonales. La Red, por tanto, había alcanzadoya carta de naturaleza, había obtenido el másalto reconocimiento por parte y con absolutaunanimidad de todos y cada uno de los jefes deEstado y de gobierno de todos los paísesintegrantes de la Comunidad Iberoamericana.
Tras celebrar el III Encuentro en Cartagena deIndias, nos encontramos celebrando este IVEncuentro, respecto del cual estoy seguro quese va a poder decir que ha habido un antes y undespués del IV Encuentro Iberoamericano deProtección de Datos Personales.
Como antes se comentaba, la Red está abierta ala participación de todos y cada uno de los paísesmiembros de la Comunidad Iberoamericana, ya
contamos con representantes, como antesapuntaba, de 17 Estados miembros.
Es para nosotros, por tanto, no sólo un honor sinoun acicate para seguir trabajando, para seguircolaborando entre todos para intercambiarexperiencias, para colaborar en el desarrollo deprocesos regulatorios con el fin de consolidar elderecho fundamental a la protección de datospersonales.
Ya en Guatemala se señalaba que losintegrantes de la Red constatábamos lanecesidad de impulsar la adopción de medidasque garanticen un elevado nivel de protecciónde datos, así como la idoneidad de contar conmarcos normativos nacionales que, inspiradosen tradiciones jurídicas comunes en el respetoa los derechos fundamentales y en los interesesde sus respectivos países garanticen unaprotección adecuada en todos los paísesiberoamericanos.
Tales marcos normativos deberían tomar enconsideración los principios esenciales deprotección de datos reconocidos en losinstrumentos internacionales.
En este sentido, se decía, se consideraba muypositivas las iniciativas regulatorias que se hanpuesto en marcha en diversos paísesiberoamericanos.
Se decía también que los miembros de la Redéramos conscientes de que el derecho a laprotección de datos personales fortalece elEstado de derecho y ayuda a reforzar lademocracia en los países iberoamericanos, asícomo su prestigio y credibilidad en un mundoglobalizado. A tal fin se constituyó, como digo, laRed que ahora celebra este IV EncuentroIberoamericano.
La idea es que de este Encuentro surja unadeclaración, la Declaración de México que vayao que incluya la adopción de cuatro documentosde trabajo en los que se está trabajando ahora.
8
Sí que querría, antes de terminar, decirles queen la última Conferencia Mundial de Protecciónde Datos celebrada en Suiza, a instancias de lasdelegaciones francesa y española se hizo unareferencia expresa en la declaración final, alreconocimiento de los esfuerzos que en lospaíses iberoamericanos y en los países de lenguafrancesa se está haciendo para potenciar elderecho fundamental a la protección de datospersonales.
Tal derecho puede y debe convivir con otrosderechos fundamentales, cuáles son, el derechoa la libertad de expresión, el derecho a la libertadde acceso a la información, esencial en eldesarrollo de las sociedades democráticas, perono desde una perspectiva de confrontación, sinomuy al contrario desde una perspectiva decomplementar con ambos soportes laconstrucción de los Estados democráticos.
Agradezco al IFAI por el enorme esfuerzo que hahecho para que este Encuentro sea posible yagradecer a cuantas personas, con nombres yapellidos, que ahora todos tenemos en la cabeza,han hecho posible. Por supuesto, agradecertambién la colaboración de la QuincuagésimaQuinta Legislativa del Estado de México, asícomo del Instituto de Transparencia y Acceso ala Información Pública del Estado de México,ITAIPEM.
PonentePonentePonentePonentePonente: Rolando Barrera Zapata. ConsejeroPresidente del Instituto de Transparencia yAcceso a la Información Pública del Estado deMéxico, ITAIPEM.
Para el Instituto de Transparencia y Acceso a laInformación Pública del Estado de México,resulta significativo y alentador participar comocopatrocinador, junto con el IFAI, la Legislaturadel Estado de México y la Red Iberoamericanade Protección de Datos Personales, de estetrascendente IV Encuentro Iberoamericano.
Es significativo, en razón de que hoy, en nuestropaís, la necesidad de legislar para proteger lainformación concerniente a las personas, forma
parte ya de la agenda institucional de losgobiernos.
La precisión de los alcances, mecanismos einstancias que garanticen la protección de datospersonales, serán cuestiones, entre otras, que seatendrán con la intervención, sin duda, de lasdistintas comisiones, órganos e institutos quetienen ya este cometido dentro de sus deberesinstitucionales.
Es alentador porque el ITAIPEM, así loconsideramos, forma parte ya de estaimportante Comunidad Iberoamericana, que havenido trabajando de tiempo atrás en estamateria, cuyo contenido cobra mayor relevanciaante los constantes progresos de lastelecomunicaciones, la informática y latelemática.
En el ITAIPEM defendemos la conviccióninstitucional de que el derecho de acceso a lainformación tiene como complemento elderecho a la protección de datos personales, entanto la garantía que tiene el particular de podercontrolar sus datos personales y manifestar suconsentimiento, respecto del uso o tratamientoque se le den a sus propios datos.
El ITAIPEM está comprometido con lasalvaguarda del sano equilibrio entre el accesoa la información pública y la protección de datospersonales, no sólo porque así se lo impone lalegislación que lo rige, sino porque este equilibrioes pertinente para el respeto de la privacidad eintimidad de todos, incluyendo lo quecorresponda a la de los propios servidorespúblicos.
Estamos ciertos de que este IV EncuentroIberoamericano de Protección de DatosPersonales logrará plenamente sus objetivos ynos congratulamos de que hayan ustedesaceptado nuestra anfitrionía para el día viernes4 de noviembre, en la sede de la UniversidadAnáhuac, en el Municipio de Huixquilucan,Estado de México.
9
PonentePonentePonentePonentePonente: Luis Gustavo Parra Noriega. Diputadolocal de la LV Legislatura del Estado de México.
A nombre de la LV Legislatura del Estado deMéxico les doy la más cordial bienvenida a esteIV Encuentro Iberoamericano de DatosPersonales, esperando que estos tres días seande un fructífero trabajo y de una discusiónamplia y de mucha riqueza.
La definición de democracia de Robert Dall,sugiere que dicho régimen cuente con una seriede principios mínimos, tales como, sufragiouniversal, elecciones regulares, libres,competitivas y justas, más de un partido político,más de una fuente de información, además decontar con instituciones democráticas, derechosexistentes y procesos de toma de decisión queno estén restringidos por una élite.
Asimismo, una buena democracia o democraciacon calidad, como lo define Leonardo Morlino,se caracteriza por ser un régimen ampliamentelegitimado, que satisface completamente a losciudadanos en la que estas asociaciones ycomunidades que la componen disfrutan delibertad de igualdad y donde los propiosciudadanos pueden verificar y evaluar si elgobierno trabaja por los objetivos precisamentede libertad e igualdad.
La libertad, la igualdad y la rendición de cuentasson los presupuestos fundamentales paraestablecer y llevar a cabo políticasgubernamentales y políticas democráticas decalidad.
Los principales temas de una democracia decalidad, según Morlino, son los ciudadanosindividuos, las comunidades territoriales y lasdiversas formas de asociación con valores,tradiciones o fines comunes, temas que por lodemás están adquiriendo un lugarpreponderante en la agenda política de nuestropaís y que impactan los procesos de toma dedecisión.
Con el cambio político que experimentó Méxicoa partir del año 2000 hemos iniciado un proceso
inédito para seguir construyendo el país quequeremos y consolidar un sistema democráticoque además de garantizar reglas claras yconfiables para la competencia electoral y elacceso al poder, asegure el ejercicio transparentede la función pública, de tal modo que lasociedad pueda conocer y evaluar la gestióngubernamental y el desempeño de los servidorespúblicos.
Ello implica recuperar para la nación y para losciudadanos el espacio público, generando lascondiciones necesarias para que la sociedadpueda desarrollar todas sus capacidades en uncontexto de libertad y de responsabilidad social.
En este sentido, un logro del actual gobiernofederal se ha manifestado con elreconocimiento de un derecho fundamental,necesario para el funcionamiento de lasdemocracias modernas que fomente unarelación distinta entre la sociedad y el Estado, esdecir, el acceso a la información pública. Estederecho inherente de cualquier democraciamoderna se concretó en la Ley Federal deTransparencia y Acceso a la Información PúblicaGubernamental, divulgado el pasado 11 de juniodel año 2002, retomando principios de diversosinstrumentos del derecho internacional, endonde se reconoce la libertad de toda personade buscar, recibir y difundir información de todaíndole sin consideraciones de fronteras, ya seaoralmente o por escrito, en forma impresa o porcualquier otro procedimiento.
Actualmente sólo cuatro estados de la Repúblicano han expedido leyes de transparencia y accesoa la información, lo cual resulta un grave avanceen la implementación de este derecho.
Es innegable que las políticas de transparenciaayudan a eliminar o al menos a reducir lasasimetrías de información entre lasorganizaciones gubernamentales y la sociedad;por lo tanto, es de esperarse que la relaciónEstado-sociedad se fundamente en eldesempeño del gobierno como administrador delos recursos públicos de una manera abierta yaccesible.
10
Por otra parte, la globalización es una realidad,es un fenómeno multidimensional que abarcano sólo aspectos económicos, sino también,sociales, ideológicos, políticos, culturales, etc.; yes que las nuevas tecnologías de la información,el desarrollo de las telecomunicaciones ponena disposición del usuario todo tipo deinformación incluida información personal, quees claramente utilizada para fines comercialesy de mercadotecnia, pero la mayoría de las vecesestos datos pueden ser manipulados sin elconsentimiento del titular y peor aún si se tieneun total desconocimiento de su tratamiento, usoy destino de dichos datos.
Y ante esta situación la persona queda en estadode total indefensión sin encontrar losmecanismos para acceder a sus datos, solicitarque sea retirada de esas listas de destinatarios oreclamar sobre actos de discriminaciónderivados del conocimiento por parte de tercerosde sus datos personales.
En la mayor parte de los países de América Latinano se ha generado un debate amplio y adecuadosobre los alcances del intercambio generalizadode información, a fin de garantizar un marco delibre flujo de la información, y menos aún paraproteger la intimidad o privacidad de laspersonas.
Considero de vital importancia que los gobiernostomen las medidas correspondientes pararegular este aspecto, más allá de los benéficoscomerciales que representa o por cumplir contratados internacionales suscritos, sino más biencon el convencimiento que está legislando afavor del ciudadano.
Encuentro también que el principal desafío delas democracias de América Latina, yparticularmente en México es, por un lado,garantizar el acceso a la población a todas lasfuentes de información disponibles, y las nuevastecnologías; pero también, por otro lado,garantizar el respecto de los derechos humanosfundamentales, específicamente los derechosque tienen que ver con estas materias.
Afortunadamente en muchos países en diversaspartes del mundo han preparado el terreno enla materia, y tenemos a la mano diversas fuentesenriquecedoras para aquellos países en los queaún nos falta camino por recorrer.
Es primordial entonces dejar muy claro que losdatos personales son un derecho fundamentalque debe permitir a la persona tener el controlsobre su uso, su tratamiento, su destino y suacceso en el momento que lo requiera.
En otras palabras darle a la persona el poder dedisposición sobre sus datos personales.
Es por ello que celebro la realización de este IVEncuentro Iberoamericano de Protección deDatos Personales, y me congratulo por el hechode que no solamente a nivel federal, sinotambién concretamente el Estado de México,entidad que en este momento me tocarepresentar a nombre de la LV Legislatura, seanlos foros en donde se discuta, debata ypropongan ideas sobre el tema, y especialmentese dé a conocer la trascendencia de este derecho,no solamente para los tomadores de decisiones,sino a la sociedad, que es la principal destinatariade dichos beneficios y cuyos derechos deben sersiempre respetados.
En ese sentido estoy convencido que losprincipales actores políticos y económicos debencentrar su acción en la primacía de la personahumana, protagonista principal y destinatariodefinitivo de la acción política, y buscar que elejercicio responsable de la libertad en lademocracia conduzca a la justicia y a la libertad,así mismo a la igualdad de oportunidades parala consecución del bien común.
Toda forma de discriminación y desigualdad deoportunidades por razones de sexo, edad,capacidad física, etnia, religión, convicción,condición económica o cualquier otra, debe serrechazada, corregida y en su caso sancionada.
Por su carácter de persona el ser humano essujeto de derechos y obligacionesfundamentales. El respeto a estos derechos y el
11
cumplimiento de estas obligaciones no son sóloel cimiento de toda convivencia democrática,sino la base de cualquier sociedad justa y de lapaz en general.
Estoy seguro que los trabajos que se realizaránen este IV Encuentro van a enriquecer el debateen nuestro país y en toda Iberoamérica y sinduda, van a contribuir a revalorizar el papel dela persona frente a los desafíos de laglobalización, de las decisiones políticas, de losflujos comerciales; pero también, van afortalecer el proceso democrático en la región,permitiendo construir democracias con calidadque satisfagan las necesidades de losciudadanos.
13
Declaratoria inaugural de losDeclaratoria inaugural de losDeclaratoria inaugural de losDeclaratoria inaugural de losDeclaratoria inaugural de lostrabajos del IV Encuentrotrabajos del IV Encuentrotrabajos del IV Encuentrotrabajos del IV Encuentrotrabajos del IV EncuentroIberoamericano de Protección deIberoamericano de Protección deIberoamericano de Protección deIberoamericano de Protección deIberoamericano de Protección deDatos PersonalesDatos PersonalesDatos PersonalesDatos PersonalesDatos Personales
PonentePonentePonentePonentePonente: María Marván Laborde. Comisionada Presidenta del Instituto Federal de Acceso a laInformación Pública (IFAI).
Antes me permitiré dar un breve mensaje:
No hay plazo que no se cumpla y hoy comenzamos el IV Encuentro de la Red Iberoamericana deProtección de Datos Personales, reciban ustedes un caluroso saludo de bienvenida.
El IFAI los recibe con los brazos abiertos. La Ciudad de México, el Estado de México, serán recintos deeste encuentro, trascendente sin duda para el país y la región.
Tengo el agrado de dar este mensaje de inauguración del IV Encuentro Iberoamericano de Protecciónde Datos Personales, al lado de los señores José Luis Piñar Mañas, Director de la Agencia Española deProtección de Datos y Presidente de la Red Iberoamericana de Protección de Datos Personales;Rolando Barrera Zapata, Presidente del Instituto de Transparencia y Acceso a la Información Públicadel Estado de México; Luis Gustavo Parra Noriega, Diputado de la LV Legislatura del Estado deMéxico, así como de mi estimado colega Horacio Aguilar Álvarez de Alba, Comisionado del IFAI.Saludo, también, la presencia de los Comisionados del IFAI, así como del ITAIPEM y a todos ustedes.
No tengo duda de la relevancia que tiene un evento internacional, en el que se discuten los principiosfundamentales para la protección de datos personales, porque parto de la premisa de que unasociedad democrática y justa supone tanto la transparencia del gobierno y la existencia de unacultura política participativa, así como la protección de la persona y de la vida privada y la intimidad.
Es innegable que el respeto a la dignidad de la persona es un valor central de todo Estadodemocrático, que tiene como fundamento la búsqueda de la justicia, la libertad, la igualdad, laseguridad y la solidaridad.
A partir de la afirmación de nuestra dignidad humana, se legitiman todos nuestros derechos y sehace posible ejercerlos a plenitud.
Entendemos que la democracia está ligada a la vigencia y la promoción de los derechos humanos.Pero un Estado que se asuma democrático tiene la encomienda de ir más allá de asegurar laexistencia de un catálogo de libertades.
14
Se trata de crear y poner en marcha mecanismosde protección, que garanticen su pleno ejercicio.No podemos hablar de privacidad sin estableceruna normatividad práctica que se haga cargode la protección de las personas en relación altratamiento de sus datos.
Contamos con un derecho fundamental a laprivacidad que para que sea plenamenteejercido y garantizado debe ser reconocido porel Estado.
En la Constitución Política de los Estados UnidosMexicanos se establece el derecho a la vidaprivada, como límite a la intromisión del Estadoen el ámbito de la persona.
El artículo 16 de la Carta Magna es elocuente:Nadie puede ser molestado en su persona,familia, domicilio, papeles o posesiones, sino envirtud de mandamiento escrito de la autoridadcompetente, que funde y motive la causa legaldel procedimiento.
En nuestro ordenamiento legal, esimprescindible el diseño de una Ley deProtección de los Datos Personales. Este tipo deleyes tocan la esencia misma de la democracia ysu complejidad deriva de la demanda filosóficay jurídica de lograr establecer un equilibrio justoentre los intereses individuales, las necesidadesdel Estado y las demandas, cada vez másacuciantes, de un mercado que aparece eneterna expansión.
Trazar líneas que definan claramente entre lopúblico y lo privado, es un reto jurídico que debeacometerse con la mayor responsabilidad.
Los avances tecnológicos plantean nuevos retos,la cibernética y las telecomunicaciones, asícomo los avances en investigaciones genéticasobligan a planteamientos más complejos ydemandan la integración de la ética social ypolítica como eje articulador de esta discusión.
El respeto por los derechos humanos adquiereuna nueva dimensión en la era de lainformación.
La complejidad de la vida moderna nos planteaun hombre multifacético, que debe ser protegidoen muy distintos ámbitos y de diferentesmaneras.
Una ley de esta naturaleza deberá hacerse cargode proteger al individuo en su dimensión deconsumidor y, al mismo tiempo, proteger elmercado, a fin de asegurar una economía quepueda objetivamente basarse en la confianzadocumentada.
No podemos soslayar que los datos personalestambién incluyen aquellos contenidos en losexpedientes médicos. Éstos son, entre otros,datos sensibles cuya publicidad afecta demanera más profunda la intimidad de unapersona.
Es por ello necesario distinguir conceptual ynormativamente que la naturaleza de los datospuede ser diversa y, por tanto, su recolección,tratamiento y transmisión suponen medidasacordes al impacto que puede llegar a tener sudifusión o el mal uso de los mismos. He ahí elreto del legislador.
Aunque actualmente mucha de estainformación ya está almacenada, sistematizaday, de hecho, circula al margen de nuestro control,el objetivo de una ley de datos personalesconsiste en reglamentar, sin entorpecer, lasformas de circulación, garantizando siempre ypor encima de todo el derecho a la privacidad delos individuos.
La tecnología moderna plantea retos nadasencillos, la capacidad de acumular informaciónparece ser infinita. En términos materiales losarchivos han dejado, prácticamente, de ocuparespacio físico y la posibilidad de su transmisiónen cuestión de segundos a cualquier rincón delplaneta al que llegue Internet, es una realidadque demanda ser reconocida por estalegislación.
Es primordial que estas reglas sean claras ysencillas para que fomenten la circulación yexijan el adecuado tratamiento de los datos por
15
parte de las entidades públicas y privadas. Su finúltimo es fomentar la confianza de losciudadanos, del Estado y de la esfera de laeconomía, siempre en el marco de los derechoshumanos.
El objeto de la ley es la regulación del derecho ala autodeterminación informativa de laspersonas. Su ámbito de aplicación de ésta resideen las bases de datos, estén o no automatizadas.Por lo tanto, el legislador debe estar conscientede las distintas lógicas que imperan en lacreación y manejo de las mismas, tanto en elsector privado como en el público.
Es difícil, si acaso imposible, imaginar una solajustificación ética para que el Estado venda a lainiciativa privada o al propio gobierno las basesde datos personales, para que sean utilizadascon fines distintos a aquéllos para los que fueronproporcionados por el individuo, quien es elpropietario único y el beneficiario directo de estainformación. Al comprometerse a proteger laprivacidad, el Estado defiende la autonomía delos individuos como condición básica del ordensocial.
En nuestro país no contamos aún con un marconormativo comprensivo, que considere tanto alsector público como al privado en su conjunto,sobre la protección de los datos personales.
Será necesariamente una decisión del Congresode la Unión la determinación del diseño legal,así como el entramado institucional queconduzcan hacia la correcta operación yvigilancia de las disposiciones jurídicas quehabrán de configurar la política de Estado, parala protección de los datos personales.
Quiero hacer un reconocimiento público a lalabor del senador Antonio García Torres, quienha sido uno de los principales promotores de estaley y ha logrado poner el tema en la agendanacional.
Sin lugar a dudas, la democracia en México serácualitativamente más sólida en la medida en
que garantice efectivamente la protección a laprivacidad.
El IFAI, como autoridad garante de la protecciónde las personas respecto del tratamiento de susdatos en el ámbito de la Administración PúblicaFederal, ha estado atento al desarrollo de lostrabajos parlamentarios para la aprobación deuna ley de datos personales; hemos trabajadotanto con el Senado, así como con la Cámara deDiputados porque nos preocupa concretar lanormatividad y asegurar que avance el tema enbeneficio de todos los ciudadanos.
Para ello es indispensable incorporar a ladiscusión la complejidad íntegra del debate.Sería un grave error lograr avances en la custodiade los expedientes médicos sin la integraciónde la perspectiva financiera. Igualmentedesastroso sería reducir la dimensión de laprivacidad a la visión mercantilista que reduceal ser humano como consumidor.
Asumimos, como nuestra responsabilidad decooperar en el ámbito de nuestras competenciasy posibilidades con el Legislativo, para laaprobación de una buena ley, y para ello,ponemos al servicio de la sociedad tantonuestros recursos humanos y materiales comola experiencia adquirida en estos tres años, enque la sociedad y el legislador nos han confiadola protección de los datos personales en manosde la Administración Pública Federal.
Hemos tenido la oportunidad de dimensionartanto la delicadeza del tema como sucomplejidad y, sabemos por experiencia, que esindispensable avanzar con pasos firmes yaprender de la práctica internacional.
Desde el año 2002 la Red Iberoamericana deProtección de Datos en colaboración con laAgencia Española de Protección de Datos, hanorganizado este Encuentro.
Este año, representantes de 17 países de laComunidad Iberoamericana participarán en unforo de intercambio de información y debate
16
sobre asuntos de la mayor actualidad ytrascendencia en materia de protección dedatos, que permita la cooperación mutua y lapromoción del derecho a la privacidad en elentorno iberoamericano.
Algunos países ya han aprobado y aplicado estasleyes; podremos abrevar de su experiencia.Reconocemos que hay mucho por hacer y quela novedad del tema nos obliga a planteardilemas específicos y experiencias jurídicascomplicadas que habremos de enfrentar en ladiscusión colegiada entre países hermanos.
Con la participación de todos ustedes sefavorecerán los intercambios de ideas yvivencias entre las autoridades de protecciónde datos, representantes de organizacionesprovenientes de los sectores público y privado,así como académicos y organismosinternacionales, con temas tales como elimpacto de las tecnologías de la información, elInternet y las telecomunicaciones sobre laprivacidad, la protección de los datos en el sectorfinanciero y comercial, las iniciativas de leyesde protección de datos personales en el ámbitofederal y en los estados de la República, lasmedidas de seguridad para la protección de lainformación, sin denostar, desde luego, eldebate de ideas y experiencias en torno alderecho fundamental del derecho a laprivacidad.
Reitero que sin una protección adecuada de losdatos personales, todos nosotros perdemos underecho fundamental. La privacidad va de lamano de la libertad. Ambas son condiciones parala democracia.
Del pleno ejercicio de este derecho, así comodel adecuado diseño legal e institucional parala protección de los datos personales, dependede cada uno de nosotros, desde nuestrasrespectivas esferas de acción.
No me queda sino agradecer a todos aquellosque con su tenacidad y empeño, han hechoposible que hoy estemos aquí todos reunidos.La persistencia de la propia Red así como de la
Agencia Española, ha sido crucial para ello.Agradezco también al Instituto de Transparenciay Acceso a la Información del Estado de México,así como al Congreso de la entidad.
Por último, pero no por ello menos importante,al personal del IFAI que no ha escatimado enesfuerzos, y de manera muy especial, a laDirección de Clasificación y Datos Personales, asícomo al comité organizador de este evento. Sinsus desvelos y preocupaciones esto no habríasido posible.
No puedo dejar de mencionar al ComisionadoAguilar Álvarez coordinador de estos esfuerzos.
Sin más por el momento, damos inicio a este IVEncuentro Iberoamericano de Protección deDatos Personales.
Confío en que todas las ideas, experiencias ydiálogos que tengan lugar en cada una de lasmesas, sean del máximo provecho para todosnosotros.
Si se ponen de pie para la declaración deinauguración.
Siendo las 10 de la mañana del día 2 denoviembre en la Ciudad de México, declaroformalmente inaugurados los trabajos de esteIV Encuentro Iberoamericano de Protección deDatos Personales, México 2005.
17
El derecho fundamental a laEl derecho fundamental a laEl derecho fundamental a laEl derecho fundamental a laEl derecho fundamental a laprotección de los datos personalesprotección de los datos personalesprotección de los datos personalesprotección de los datos personalesprotección de los datos personales
Mesa 1Mesa 1Mesa 1Mesa 1Mesa 1
ModeradorModeradorModeradorModeradorModerador: Fernando Corvera Caraza. Director de disposiciones de Banca Central del Banco deMéxico.
La Conferencia Magistral esta a cargo de José Luis Piñar Mañas, quien es Director de la AgenciaEspañola de Protección de Datos y Presidente de la Red Iberoamericana de Protección de DatosPersonales; Vicepresidente del Grupo Europeo de Autoridades de Control de Protección de DatosPersonales; doctor en Derecho por la Universidad Complutense, catedrático de DerechoAdministrativo, ha sido decano en las facultades de Derecho de las universidades de Castilla, Manchay San Pablo en Madrid; ha sido premiado en la Real Academia Española de Jurisprudencia y Legislacióny ha tenido el premio de investigación de la Conferencia Iberoamericana de Fundaciones.
Conferencia MagistralConferencia MagistralConferencia MagistralConferencia MagistralConferencia Magistral: José Luis Piñar Mañas.
Muchas gracias a los organizadores por darme la ocasión de exponerles algunas reflexiones acercadel derecho fundamental a la protección de datos personales.
Antes les quería comentar algunos datos sumamente importantes que seguramente nosimpactarán. El pasado 27 de enero de este año se conoció que mediante decisión de diciembre delaño 2004 el Tribunal Federal de Suiza acordó seguir adelante con la reclamación presentada por ungrupo internacional de personas de raza gitana, contra una multinacional de lastelecomunicaciones, una multinacional que había posiblemente colaborado con los nazis, quehabrían utilizando su tecnología de tarjetas perforadas para la identificación y exterminio dejudíos y gitanos.
En 2001 fue publicado un impresionante libro de Edwin Black, IBM y el Holocausto, en el que denunciaque el uso de las máquinas tabuladoras y tarjetas perforadas por la empresa filial –Dehomag– deesa multinacional en Alemania fue decisivo para elaborar el censo alemán de 1937 e investigar losantecedentes raciales de toda la población alemana, lo que habría facilitado decisivamente laidentificación y localización de los judíos cuya dirección se incluía en cada ficha.
Este fue el origen del Holocausto, y por eso se pudo ir en un primer momento directamente a lascasas, a los domicilios de las personas de raza gitana, a las personas de la comunidad judía.
18
La multinacional –IBM–, además de condenartajantemente el régimen nazi niegatotalmente su participación, y afirma que conla llegada al poder de Hitler perdió todo el controlsobre su filial –Dehomag–.
Allá por los años cincuenta ó sesenta una muyimportante empresa italiana, FIAT, recogió enuna base de datos, todos los datos posiblesacerca de todos sus trabajadores relacionadosno sólo con los datos necesarios para llevar elcontrol, la gestión de personal de la empresa,sino también incorporando datos de religión, deafiliación sindical, de afiliación política. Lo cualpermitió llevar a cabo diversas actuaciones dela empresa contra algunos de los trabajadores.
Hoy se considera que se envían diariamente entodo el mundo decenas de miles de millones decorreos electrónicos no deseados. Más del 80 porciento de los correos electrónicos son ilegales.La invasión de la intimidad o los daños quederivan de los virus, además del trastorno ypérdida de tiempo que se ocasiona a los usuariosson ya enormemente graves.
Mediante los llamados identificadores deradiofrecuencia, RFID, es posible localizar no sóloproductos, sino también personas, sin que éstassean conscientes de ello. El mal uso de datosgenéticos puede condicionar, cuando nobloquear, la suscripción de una póliza de seguroso una contratación laboral.
Nunca antes ha sido posible saber tanto detantas personas.
La obra 1984, es común citar esta obra de GeorgeOrwell, es posible Minority Report, InteligenciaArtificial es posible. No son ciencia ficción, sonrealidad.
Hoy, como digo, es posible saber mucho demucha gente y saberlo sin que esa propia gentesea consciente de que alguien sabe de su vida,incluso, más que la propia persona.
Es por ello por lo que es absolutamenteimprescindible el contar con un marco regular
que respete, que reconozca, que regule elderecho fundamental a la protección de datospersonales.
Un derecho que forma parte intrínseca de lapropia dignidad de la persona, porque endefinitiva cuando se trata de nuestros datospersonales, cuando trata alguien nuestros datospersonales está jugando con nuestra identidad,está jugando con la dignidad de las personas.
Voy a referirme brevemente al origen de laregulación sobre protección de datos personales,para analizar cómo hemos llegado en estosmomentos al reconocimiento de un verdaderoderecho fundamental.
En 1888, en el siglo XIX, Thomas McIntyre Cooleyhabló ya de the right to be let alone, el derechoa ser dejado en paz y poder disfrutar librementede la privacidad o el derecho a la soledad.
En el volumen 4 del 15 de diciembre de 1890, todosustedes saben, Samuel Warren y Luis Brandeis,publican en Harvard Law Review, su famosoartículo The Right to Privacy, a quien no hacemucho se refería el que ha sido hasta hace pocopresidente del grupo de autoridades deprotección de datos personal, Stefano Rodotá.En aquel entonces los autores hablaban de unnuevo derecho. Decían: Los cambios políticos,sociales y económicos implican elreconocimiento de nuevos derechos y elCommon law, dice en su eterna juventudalcanza a atender las nuevas demandas de lasociedad.
Ahora el derecho a la vida se ha convertido en elderecho a poder vivir, a poder disfrutar de la vidade ‘Joe life’. Y decían: Hay un nuevo derecho, elderecho a poder vivir solo. A que le dejen a unosolo en su vida.
Por cierto, decía Greta Garbo muy agudamente,que ella lo que quería no era vivir sola, sino quela dejasen vivir sola.
Este es uno de los contenidos esenciales delderecho fundamental a la protección de datos
19
en sus orígenes. El construir una esfera deintimidad, que les permita a las personas serdueños de su propia privacidad, pero fíjense queen los primeros momentos de creación degeneración de este derecho, el punto esencialse pone en la privacidad.
Cuando en los años sesenta se ponen en marchalos primeros mecanismos normativos pararegular el derecho a la privacidad, el gran debate,la gran preocupación del legislador de entonceses conseguir que la tecnología, que lainformática no supusiese una violación de laprivacidad.
Ya en 1967 se constituyó, en el seno del Consejode Europa, una comisión consultiva paraestudiar las tecnologías de la información y supotencial agresividad hacia los derechos de laspersonas, especialmente en relación con suderecho a no sufrir injerencias en la vida privada,derecho que se había ya recogido en laDeclaración Universal de Derechos Humanos oen el Pacto Internacional de Derechos Civiles yPolíticos del año 1966.
De tal comisión consultiva surge la Resolución506 de la Asamblea del Consejo de Europa, sobrelos derechos humanos y los nuevos logroscientíficos y técnicos, que respondía a unainquietud existente en todo el Continente.
Suele decirse, no sin razón, que en tal resoluciónse encuentra el verdadero origen delmovimiento legislativo que desde entoncesrecorrerá Europa y el mundo entero, en materiade protección de datos.
Es lugar común también citar la conocidísimaLey Land de Jesse, pionera en la materia, la LeyFederal Alemana del año 77, la Ley Francesa enInformática Ficheros y Libertades de 1978,sustancialmente modificado, por cierto, al objetode adaptarla a la Directiva 95 96 en el año 2004.
En 1977 el Parlamento Europeo aprueba unaResolución sobre la tutela de los derechos delindividuo frente al creciente progreso técnicoen el sector de la informática.
En junio del 78 se aprobaron unas leyes enDinamarca. Durante estos años, finales de lossetenta, se aprueba una serie de normas quetienen, como digo, como punto de encuentro,punto común, el intentar, mediante un claromarco normativo, proteger a los ciudadanosfrente al uso de la informática.
La gran tensión, los dos conceptos que estánenfrentados son, privacidad, por un lado;informática por otro.
En los años ochenta, desde el Consejo de Europase da un respaldo definitivo a la protección de laintimidad frente a la informática, mediante elconocidísimo Convenio 108 para la Protecciónde las Personas, con respecto al tratamientoautorizado de los datos de carácter personal.
Intenta conciliar el Convenio 108 el derecho alrespeto a la vida privada de las personas con lalibertad de información, facilitando lacooperación internacional, en el ámbito de laprotección de datos y limitando los riesgos dedesviaciones en las legislaciones nacionales.
En fin, la OCDE también publica dos importantesrecomendaciones: La recomendación sobrecirculación internacional de datos personal parala protección de la intimidad y la relativa a laseguridad de los sistemas de información.
En 1976 la Constitución portuguesa reconoce elderecho a la protección de datos, en el artículo35, que se modifica en el año de 1997.
La perspectiva, como digo y reitero, es la deinformática versus intimidad. Esta es también,por ejemplo, la perspectiva de la Constituciónespañola de 1978, en su artículo 18.4.
Tras esta primera fase en que, como digo, se tieneen cuenta este par de conceptos, informáticaversus privacidad, en los años noventa se da unpaso sustancial. Hay algo nuevo que aparece enel escenario de la protección de datos; seincorpora un elemento esencial al debate.
20
Se incorpora desde la construcción europea. Laconstrucción europea requiere, en efecto,requiere ineludiblemente la construcción delmercado interior y exige que se garantice la librecirculación de los datos personales, dado el valoreconómico que los mismos tienen en lastransacciones comerciales. Este es también unelemento capital. Hoy es imprescindible contarcon datos personales, en el sector público y en elsector privado.
Desde la perspectiva de la Unión Europea, eraimprescindible que la construcción del mercadointerior pasase por el reconocimiento de la librecirculación de los datos personales, pero, y estees el elemento capital, con absoluto respeto alos derechos fundamentales y en particular alderecho fundamental a la protección de datospersonales.
En este escenario se mueve la Directiva 95 46del 24 de octubre de 1995. Ya sólo el título, elenunciado lo dice todo, Directiva Relativa a laProtección de las Personas Físicas, en lo querespecta al tratamiento de datos personales y ala libre circulación de estos datos.
Al par de conceptos, por tanto, intimidad versusinformática se añade ahora un elemento más:el valor económico de los datos personales; valoreconómico que debe reconocerse sin perjuicio,como digo, del respeto a los derechosfundamentales y, en particular, el respeto a laintimidad.
La construcción europea pasa por la creación delmercado interior en el respeto a los derechosfundamentales y en este marco, la librecirculación de los datos con respeto al derecho ala intimidad se considera de primerísimaimportancia. A este fin responde la Directiva 9546.
Durante los años noventa se produce, además,un importante movimiento regulatorio, no sóloen Europa si no en muchos países; en Españamismo se aprueba la primera Ley Orgánica deRegulación del Tratamiento Automatizado de los
Datos de Carácter Personal, sólo referida altratamiento automatizado de datos personalesen el año noventa y dos.
En el año noventa y nueve se aprueba la LeyOrgánica de Protección de Datos, ya referente atodo tipo de tratamiento de datos, automatizadoo no automatizado.
En los años noventa se aprueba también laConstitución de Brasil y la ley brasileña del añonoventa y siete de reconocimiento de Data.
En el año noventa y nueve en la Constituciónvenezolana se reconocen los derechos de acceso,rectificación y cancelación a los datospersonales. En el mismo año se aprueba la leychilena de protección de la vida privada.
En el noventa y ocho la Constitución de Ecuadorreconoce los derechos de acceso, rectificación ycancelación.
En el noventa y tres la Constitución de Perúreconoce el derecho de acceso a la informacióny el derecho a la intimidad.
En el año 2000 esta situación experimenta ungiro “copernicano”, tanto en la Unión Europeacomo en otros países, en particular en España yen otros de la Comunidad Iberoamericana.
¿Qué es lo que ocurre entonces? Surge underecho fundamental nuevo o mejor dicho, sereconoce expresamente la existencia de underecho fundamental nuevo, autónomo, que escapaz de emanciparse de la intimidad, de laprivacidad y de la informática, es el derechoautónomo, independiente, nuevo a la protecciónde datos personales.
Es, en este punto esencial la Carta de DerechosFundamentales de la Unión Europea, comosaben ustedes, proclamada en Niza el 7 dediciembre del año 2000, que de formasumamente lacónica, pero tan lacónica comode forma tajante, dispone en su artículo 8 dentrodel capítulo relativo a las libertades que nada
21
más y nada menos toda persona tiene derechoa la protección de los datos de carácter personalque la conciernen.
No hay ninguna referencia ya a la intimidad. Nohay ninguna referencia a la privacidad, no hayninguna referencia a la informática, repito, loque dice el artículo es: toda persona tienederecho a la protección de los datos de carácterpersonal que la conciernan. Por cierto, añadetambién, que el respeto de estas normas sobreprotección de datos, quedará sujeto al controlde una autoridad independiente.
Además, es importante resaltar que en el artículo7 de la propia Carta, de forma separada, se recogeel derecho a la vida privada y familiar, con lo cualel redactor de la carta europea ha queridoperfectamente distinguir entre el derecho a laintimidad, el derecho a la privacidad y el derechoa la protección de datos personales como dosderechos íntimamente relacionados, peroseparados, diferenciados.
En España el cambio se produce de la mano delTribunal Constitucional. El TribunalConstitucional español dicta dos importantessentencias, ambas del 30 de noviembre del año2000, las sentencias número 290 y 292 quevienen a culminar un proceso jurisprudencialque se inicia en el año ya incluso 84 y que através de diversas sentencias de los años 93, 94,98. Culmina en 99, como digo, con la declaraciónde que el derecho a la protección de datos es underecho fundamental autónomo.
Lo importante es definir este derecho y elTribunal Constitucional español lo define como:derecho que consiste en un poder de disposicióny de control sobre los datos personales quefaculta a la persona para decidir cuáles de estosdatos proporcionar a un tercero, sea el Estado oun particular o cuáles puede este tercero recabar,y que también permite al individuo saber quiénposee esos datos personales y para qué,pudiendo oponerse a esa posesión o uso. Estospoderes de disposición y control, dice el Tribunal,sobre los datos personales que constituye parte
del contenido del derecho fundamental a laprotección de datos se encuentranjurídicamente en la facultad de consentir larecogida, principio de consentimientos sobre elque luego algo diré; consentir la recogida, laobtención y el acceso a los datos personales, suposterior almacenamiento y tratamiento, asícomo su uso o usos posibles por un tercero sea elEstado o un partido.
No es necesario resaltar la importancia de lasconstrucciones jurisprudenciales y normativasa la que me estoy refiriendo.
En Argentina también en el año 2000 se apruebala ley 25 326 de Protección de Datos. Estamos,por tanto, en presencia de un cambio radical,sustancial, como antes decía, un verdadero giro“copernicano” a favor de un nuevo derechofundamental.
¿Cuál es entonces el problema al que ahoratenemos que enfrentarnos? Nada más y nadamenos que el de definir el contenido esencialde ese derecho. Definir los principios y caracteresque lo definen y que no pueden serdesconocidos, so pena de desconocer y enconsecuencia violentar el propio derecho.
En la Conferencia Internacional de Autoridadesde Protección de Datos, a la que me refería antes,desde la mesa del presidium, celebrada enMontreux, Suiza, los días 13 al 15 de septiembrede 2005, se aprobó una declaración final sobre laprotección de datos personales y la privacidaden un mundo globalizado.
Y se decía: un derecho universal respetando conrespecto a las diversidades; se quería llamar laatención, se llama la atención acerca de laimportancia de reconocer el carácter universaldel derecho fundamental a la protección dedatos, sin perjuicio de las diversidades propiasde cada realidad cultural, política y social.
Pero en esa declaración final se adelantaban, serecogían una serie de principios esenciales delderecho fundamental a la protección de datos.
22
En mi opinión los principios de tal derecho, losmás nucleares de la configuración del derechopueden reconducirse a los siguientes:consentimiento, información, finalidad, calidadde los datos con especial referencia a laproporcionalidad, seguridad y el que yo podría oel que yo denominaría quizá el principio delcontrol independiente.
Estos principios son, como digo, los queconfiguran el derecho fundamental a laprotección de datos. Antes de decir dos palabrassobre tales principios, sí que querría resaltar elmarco en el que se mueve el derecho a laprotección del derecho. Al objeto de distinguirlode otros derechos distintos o diferentes. Nosestamos refiriendo a datos personales, cualquiertipo de dato personal, no sólo los datos íntimos,no sólo los datos que afecten a la privacidad, sinocualquier tipo de dato personal, el contenido delderecho implica que cada ciudadano es dueñode sus datos personales, sean éstos o no íntimos,por tanto hablamos de datos personales, yhablamos de datos personales que esténsometidos a tratamiento informatizado o noinformatizado, para decirlo más simplementeque estén incorporados a un fichero, sea esteinformatizado o no.
Esto nos permite distinguir este derecho de otrosdistintos. Por ejemplo, del derecho al honor, delderecho a la privacidad, incluso del derecho a lapropia imagen.
Yo a lo mejor podría hacer público, aquí, algúndato de alguna persona. Ese hacer público el datode una persona, que a lo mejor esa personamisma me ha facilitado no suponía, en principio,violación del derecho a la protección de datospersonales. Sería violación de otro derecho, delderecho al honor, a la propia imagen de esapersona.
Si yo no he incorporado ese dato a un ficheroautomatizado o no, si no ha sido sometido a untratamiento, repito, el derecho afectado sería underecho distinto.
Estamos hablando, por tanto, de datosincorporados a ficheros. Datos, y esto es esencial,que son del titular del dato. Y en consecuencia ypor definición todos los datos que se incorporana un fichero son datos ajenos, son datos deterceros, son datos que pertenecen al titular deese dato personal.
Lo cual explica y da razón de ser a los principios alos que antes me he referido. Muy brevemente:Consentimiento, por supuesto, si estamostratando datos personales de un tercero esimprescindible que contemos con suconsentimiento. En segundo lugar, información,al tratar datos personales de tercero esimprescindible que le informemos que sus datosvan a ser sometidos a un tratamiento. Finalidad,evidentemente los datos sólo pueden sertratados, utilizados para la finalidad para la quefueron recabados y no para otra finalidad.Calidad de los datos, los datos deben seradecuados, pertinentes, no excesivos, debemostratar, utilizar, manejar los datos necesarios parael cumplimiento de las finalidades que nospropongamos alcanzar y no más de losnecesarios.
Esto nos lleva al principio de proporcionalidaden el manejo de los datos.
Seguridad. Debemos tratar los datos con total yabsoluta seguridad, porque, repito, estamostratando datos de terceros.
Además, es imprescindible que exista unaautoridad independiente de control, no sóloporque así se ha considerado oportuno en laDirectiva 95 46, no sólo porque así se haconsiderado oportuno en las leyes de protecciónde datos; también la Resolución 45 95 de laAsamblea General de Naciones Unidas del 14 dediciembre de 1990, por la que se establecen lasdirectivas de protección de datos, dispone en supunto ocho que es derecho de cada país designara la autoridad que vaya a ser responsable desupervisar la observación de los principios deprotección de datos. Esta autoridad ofrecerágarantías de imparcialidad, independencia,
23
frente a las personas o agencias responsablesde proteger, procesar y establecer los datos ycompetencia técnica.
Por tanto, principios esenciales en el derechofundamental a la protección de datos, que entodo caso deben respetarse, so pena de violentar,como decía antes, el propio derecho.
Este derecho por lo demás está sometido a unaserie de tensiones o aparentes tensiones quecolocan al mismo en una supuesta encrucijada.
¿A qué me refiero? Se podría decir que el derechoa la protección de datos en estos momentos estásometido a la tensión que deriva de su relacióncon otros derechos o intereses, con los que enalguna ocasión se ha pretendido o se ha pensado,en mi opinión, erróneamente, que puede haberun conflicto, pero un conflicto desde laincompatibilidad de ambos principios dederechos, cuando eso no es así.
Me refiero a la tensión entre libertad deexpresión y protección de datos, tensión entretransparencia y acceso a la información yprotección de datos, tensión entre los interesesy evaluaciones del mercado y protección dedatos y tensión, por último, entre la lucha contrael terrorismo y garantía de la seguridad públicay protección de datos.
Se ha considerado que la protección de datos esun obstáculo para la seguridad, es un obstáculopara los intereses del mercado, es un obstáculopara la libertad de expresión o para el acceso deinformación y nada de eso es así.
Es más, en una sociedad democrática, en unasociedad avanzada es imprescindible que lalibertad de expresión y la protección de datosvayan de la mano, es imprescindible que elacceso a la información y la protección de datosvayan de la mano, es imprescindible que no seadopte ninguna medida para garantizar laseguridad de los ciudadanos que no tenga encuenta el respeto a los derechos fundamentalesy en particular el respeto a la protección de datos,y es imprescindible que el mercado desarrolle
sus actividades y vele por sus intereses conabsoluto respeto a la protección de los datospersonales.
En dos sentencias del Tribunal de Justicia de lasComunidades Europeas se plantea la atenciónentre protección de datos y libertad deexpresión, protección de datos y acceso a lainformación.
Me refiero a las sentencias del 20 de mayo de2003, en el asunto Rundfunk y del 6 denoviembre de 2003, en el asunto Linqdvist. Laprimera analiza la transparencia y acceso a lainformación y la relación con la protección dedatos; la segunda la libertad de expresión, y enambos casos, el Tribunal de Justicia de lasComunidades Europeas deja muy claramentesentado que no hay incompatibilidad entre laprotección de los datos personales y la libertadde expresión o el acceso a la información; másbien, al contrario, sólo respetando el derechofundamental de todos a la protección de susdatos personales se conseguirá un marcoadecuado de respeto a la libertad de expresión yal derecho de acceso a la información. Uncorrecto, y añado yo, un correcto desarrollo delmercado y una eficaz lucha contra el terrorismo.
Término lanzando una mirada al futuro, miradaal futuro que debe ser necesariamenteoptimista.
No podemos dejar de mirar al frente con laesperanza puesta en el uso de las nuevastecnologías y en la implantación efectiva de lasociedad de la información, superando cualquierbrecha digital, pero con respeto absoluto a losderechos fundamentales y entre ellos al derechoa la protección de datos de carácter personal.
El profesor Rodotá, al que cito de nuevo, no hacemucho, el 9 de febrero de este año señalaba quela protección de datos es un elementofundamental de la sociedad de la igualdad. Esuna condición esencial de la sociedad de laparticipación; es un instrumento necesario parasalvaguardar la sociedad de la libertad y uncomponente imprescindible de la sociedad de
24
la dignidad, porque esto es esencial. La protecciónde datos es íntima relación con el respeto a ladignidad de las personas.
Y en este sentido deben ser bienvenidos losprocesos regulatorios, deben ser bienvenidos losmarcos de referencia normativa, que consigangenerar una idea de que, o la idea de que elderecho a la protección a terceros es un derechofundamental que debe ser respetado, que debeser regulado y que puede convivirperfectamente con otros intereses, otrosderechos, como en particular el derecho alacceso a la información pública, pero teniendoen cuenta que la transparencia administrativa,la administración de cristal no tiene por quéconvertir al ciudadano en ciudadano de cristal.
La administración de cristal no tiene por quéconvertir al servidor público en servidor públicode cristal y, por tanto, tremendamente expuestoa otros riesgos derivados de las sociedadesactuales.
Estoy seguro que encuentros como éste serviránpara potenciar, para poner en marcha, paracontinuar con la ilusión y los esfuerzos porconseguir unas sociedades avanzadas ydemocráticas, en las que el respeto al derecho ala protección de datos, sin perjuicio de otrosintereses o valores, sea cada vez más unarealidad cotidiana.
ModeradorModeradorModeradorModeradorModerador: Fernando Corvera Caraza. Directorde disposiciones de Banca Central del Banco deMéxico.
Inmediatamente tenemos la ponencia de JoanCrespo Piedra, Director de la Agencia Andorranade Protección de Datos Personales, esresponsable del Departamento de Inspección delMinisterio de Economía del Gobierno de Andorray es Director de la Agencia Andorrana deProtección de Datos.
PonentePonentePonentePonentePonente: Joan Crespo Piedra.
El Principado de Andorra es un pequeño Estadoindependiente, situado en el corazón de los
Pirineos, entre dos grandes Estados amigos yhermanos: España y Francia.
Nuestros 468 kilómetros cuadrados dan acogidaa una creciente población de 70 mil habitantescon residencia fija y a unos 10 millones deturistas al año.
Tiene una gran industria turística, donde tantolos sectores públicos y privados tienen una granrelevancia.
Nuestro régimen jurídico es una democraciaparlamentaria con plena separación de poderes.Nuestra Constitución fue aprobada porreferéndum en el año de 1993.
Se puede considerar que la supervivencia delprincipado se debe al equilibrio jurisdiccional quedata de la Edad Media y donde los primerostextos legislativos daban una gran importanciaal equilibrio entre los señores feudales, el ObispoPalacio Durgel y el Presidente de la RepúblicaFrancesa, que han garantizado la independenciay la supervivencia de este mismo Estado.
Haciendo mías las palabras que pronunció en suponencia el señor Fernando Argüello: vivimos enun mundo en constante evolución, siendo elcambio una constante real e incontrovertible ydonde, añade, pensar lo impensable es unaforma de mover la rueda del aprendizaje.
En este sentido, el Principado de Andorra ha idoadaptando sus instituciones a la modernidad ya la imparable globalización. Nuestro Estado, quese acaba de integrar a la Red Iberoamericana deProtección de Datos, gracias a la inestimablecolaboración recibida de la Agencia España deProtección de Datos.
Teníamos que agradecer este hecho y a losmiembros del IFAI la posibilidad de participar eneste Encuentro, que seguro aportará nuevasperspectivas, actualizando e intercambiandoexperiencias, que enriquecerán y ampliaránnuestros conocimientos.
25
Desde la perspectiva de un pequeño Estado,donde la cultura de protección de datos es dereciente implantación dado que nuestra LeyCalificada de Protección de Datos fue aprobadapor el Consejo General, por el Parlamento, en eltranscurso del mes de diciembre de 2003 ypublicada en el Boletín Oficial del Estado enenero de 2004, teniendo en cuenta que Andorrase sitúa en el contexto europeo, y por tanto, elmarco de regulación se sitúa en el ámbito deinfluencias europeas, dentro del contexto y enel marco de la cultura e influencia de los paísesvecinos.
Cabe destacar el carácter de autoridad decontrol independiente de la agencia andorrana,así como hacer un énfasis especial en el hechoque tanto el director como los inspectores estánnombrados directamente por el Parlamentoandorrano, necesitando para ello una mayoríade tres cuartas partes de los parlamentariospresentes.
Es por ello que la ley andorrana desarrolla lospreceptos que vienen redactados en laConstitución a través de sus artículos 14 y 15, alos que he hecho una referencia en laintroducción de esta ponencia, y que resumidosrecogen el derecho a la intimidad, la privacidady la inviolabilidad del domicilio, así como a laadaptación de la Ley de Protección de Datos alos preceptos constitucionales, entendiendo elderecho a la protección de datos como lo que es,un derecho fundamental de la persona.
Entre los objetivos que se pretenden, esconseguir una protección adecuada, sin que porello tenga que ser un costo excesivo para lasorganizaciones y las administraciones públicas.Y para ello a través de los 44 artículos de la Ley yde las disposiciones Transitorias se garantiza elderecho a la protección de sus datos de los 70mil habitantes del principado y se regulanasimismo de una forma similar a la que se enlistaen los países vecinos y especialmente en elmarco de la Directiva 95 46 del ParlamentoEuropeo.
No obstante la sensibilidad para garantizar estederecho fundamental, se tiene que ir adaptandocon la misma rapidez que las nuevas tecnologías.Y es en este ámbito donde los pequeños Estadospodemos ir aplicando, más apresuradamente, lalegislación a las necesidades y los derechos realesde los ciudadanos, ejerciendo en todas las capasde la sociedad el acceso a la información, elacceso al conocimiento y, sobre todo, a que todoslos ciudadanos de todos los niveles socialesconozcan realmente sus derechos, será una delas labores principales a desarrollar y acrecentar.
La agencia andorrana de protección de datos hainiciado sus actividades en varias direcciones.
La primera, ofreciendo formación a lasorganizaciones de carácter privado. La segunda,ofreciendo la colaboración necesaria a losministerios y organizaciones de carácter público,de tal forma que puedan adecuar los ficherosgestionados a una norma de creación aprobadapor el organismo competente.
Asimismo, desde la agencia andorrana se estánpreparando unos seminarios de formación yconcientización para que los responsables y losfuncionarios de las diferentes áreas adaptenadecuadamente sus procedimientos a lalegislación de protección de datos.
Paralelamente a estas acciones se van a iniciarunas campañas informativas dirigidas a todoslos sectores de la sociedad andorrana, a todoslos habitantes del Principado de cualquier nivelcultural, con la finalidad de tejer una telarañacultural de protección y gestión de los datos decarácter personal, desde la perspectivainseparable del derecho fundamental a suprotección y dentro de la más estrictaadecuación y adaptación al margen legalvigente.
Para concluir esta intervención, les agradezcola posibilidad de participar en este Encuentroque aportará grandes y nuevas expectativas apaíses que, como el nuestro, inicianmodestamente su andar con el ánimo de que elciudadano encuentre una respuesta adecuada
26
en la protección de su intimidad y su privacidadante las perspectivas que la globalización, lasnuevas tecnologías y una necesidad inagotablede expansión de las empresas provoquenalarmas de ataque que pueden ser previstos yanulados desde las agencias estatales deprotección de datos independientes.
Desde nuestra perspectiva y teniendo en cuentanuestra corta experiencia, esperamos ante todoacumular proyectos, asimilar experiencias y enun breve plazo de tiempo aportar a las fuerzasde participación nuestra pequeña experiencia.De manera que el ciudadano consiga realmenteel derecho de disposición de sus datos, el derechode control, el derecho de conocer, el derecho deoponerse y, en definitiva, el derecho de poderejercer un control real y efectivo de sus datos decarácter personal.
ModeradorModeradorModeradorModeradorModerador: Fernando Corvera Caraza. Directorde disposiciones de Banca Central del Banco deMéxico
Prosiguiendo con las ponencias, tenemos a JoséManuel de Frutos, de la Unidad de Protección deDatos, de la Dirección de Justicia, Libertad ySeguridad en la Comisión Europea. Es licenciadoen Derecho de la Universidad Complutense deMadrid, tiene diversos estudioscomplementarios, curso de DerechoConstitucional y Ciencias Políticas de Madrid,curso de Derecho de Empresas en la Escuela dePráctica Jurídica, también de Madrid; en suactividad profesional ha participado en laComisión Europea; es Administrador Principal enla Unidad de Protección de Datos Personales yha sido Director del DepartamentoInternacional de la Asociación Española deEmpresa de Seguros. Tiene diversaspublicaciones.
PonentePonentePonentePonentePonente: José Manuel de Frutas.
El señor Piñar ha desarrollado ya de manerabastante brillante lo que es el derechofundamental a la protección de datos engeneral.
En el texto que les voy a presentar y que voy aentregar. Este desarrollo histórico figuratambién en mi ponencia, por lo cual ahora novoy a hablar de ello, voy a entrar directamenteen lo que es el marco europeo de la protecciónde datos, el derecho fundamental de laprotección de datos dentro de la normativaeuropea.
El derecho comunitario en la Unión Europea, enprincipio, su objetivo fundamental es elconseguir un espacio único en el mercadointerior, es el objetivo inicial de los primerosconvenios, en el que se trata de garantizar unalibre circulación de lo que llamamos los factoresfundamentales de capital, trabajo, mercancíasy personas.
Dentro de este contexto se generó lo quellamamos el derecho a la libre circulación de losdatos personales. Como ha dicho el señor Piñaranteriormente, el objetivo principal eragarantizar que el valor económico que tienenlos ficheros de datos personales, pudieran serobjeto de libre circulación dentro de esemercado interior.
Ahora bien, esto no se podía hacer sin que almismo tiempo se garantizara el derecho a laprotección, al derecho fundamental querevisten los datos personales.
Y dentro de esta tensión que existía entregarantizar la protección al derecho fundamentala los datos personales, por un lado, y garantizarel derecho económico a la libre circulación deesos ficheros dentro del mercado interior, esdonde surge esta normativa, que es la 95 46, enla que se establece el régimen jurídico que hoyen día impera en la Unión Europea paragarantizar el respeto y la protección de los datospersonales.
Me gustaría decir dos cosas: Esta primera normaque se ha adoptado en la Unión Europea, enmateria a la protección de datos personales,establece una normativa que no cubre todo elámbito de actuación de la Unión Europea, nitodos los datos personales que pueden tratarse
27
en la Unión Europea. Esta normativaúnicamente se aplica a lo que nosotrosllamamos el primer pilar o lo que es lo mismo, ala circulación de datos dentro de la ComunidadEconómica Europea, lo que sería el mercadointerior.
Existen otros sectores que están excluidos deesta normativa, que son los sectores quellamamos de cooperación policial o judicialpenal, que son sectores que se han incorporadoposteriormente en el año 93 a la construccióneuropea, y que no figuran dentro de lo que es elembrión inicial de la construcción europea;como se han incorporado posteriormente, estaparte de la protección de datos queda enprincipio sometida a normas nacionales enespera de que se adopte una normativacomunitaria que está precisamente entramitación en estos momentos.
Conviene decir dos cosas, que lo que empezósiendo en las comunidades europeas unanormativa que tenía como objeto el garantizaro conciliar la libre circulación de datospersonales dentro del mercado interior ygarantizar que ello se hiciera de maneraadecuada para proteger el derecho para laprotección de datos personales, y que era unanormativa de carácter más o menos económico,ha trascendido este carácter económico parallegar a ser hoy en día un auténticofundamental de la persona, reconocido como talen la Carta de Derechos Fundamentalesaprobada en Niza en el año 2000. El derecho a laprotección de datos personales es un derechofundamental a parte entera de la Unión Europeaque trasciende lo que es el valor económico a lalibre circulación de datos personales.
¿El por qué se da una normativa europea? Ya lohe dicho, es básicamente para garantizar la librecirculación de datos personales. Pero me gustaríahacer referencia al frontispicio de la Directiva95 46. Los considerando que normalmente, enprincipio, prefiguran o preceden la partedispositiva de un acto comunitario, la exposiciónde motivos, por así decir, se dice de manera muyclara en los considerando números dos y tres, que
los sistemas de información, de tratamiento dela información están hechos al servicio delhombre y no al revés, y que lo que se trata dehacer es que estos sistemas de tratamiento dela información tienen que estar establecidos demanera tal que siempre se pueda garantizar laprotección del derecho fundamental a laprotección de datos personales.
En el considerando número tres se dice quedentro de la Comunidad Europea es precisogarantizar la libre circulación de datospersonales, puesto que tienen un valoreconómico que forman parte de las cuatrolibertades fundamentales. Pero que esta librecirculación ha de hacerse en todo momento deacuerdo con el respeto a los derechosfundamentales y al derecho fundamental de laprotección de los datos personales.
Y el artículo Uno, de la Directiva 95 46 consagraen letras de molde cuál es el objetivo de estanorma, garantizar y adoptar a la norma una seriede principios que los Estados miembros tienenque incorporar en su derecho nacional paragarantizar que la protección de datos personalesse lleve a cabo con los principios establecidos enesta Directiva, que adopta los principios comunespara todo lo que son las legislaciones de losEstados miembros.
Y en segundo lugar, una vez que se han adoptadoestos principios y que se garantizan que en elderecho nacional se van a respetar, el corolariode este respeto es la posibilidad de que los datospersonales contenidos en los ficheros dentro delos Estados miembros puedan circularlibremente dentro de la Comunidad, puesto quese va a garantizar que los datos personales estánprotegidos de manera adecuada en cualquierEstado miembro.
Este es el objetivo de esta normativa y esto es loque hace que a continuación la Directiva 95 46que es la norma básica que existe hoy en día enel derecho comunitario, establezca todo undesarrollo normativo que obliga a los Estadosmiembros a incorporar para garantizar cómo seva a llevar a cabo el tratamiento y el respeto y el
28
control de los datos personales dentro de losEstados miembros.
De manera esquemática diré que la normativacomunitaria impone dos grandes aspectos, enun primer lugar, lo que prevé es: los datospersonales han de ser objeto de una regulaciónadecuada por parte del responsable deinformación de tratamiento de los datos, hayuna serie de derechos que se garantizan alciudadano, a la persona interesada y al mismotiempo se establece un régimen de control y desupervisión.
Régimen de control que supone la asistencia,autoridad de protección de datosindependientes y públicas que deben garantizarla supervisión y un régimen de notificación odepósito de los ficheros para que la autoridad decontrol pueda llevar a cabo lo que es el principiode control de esas bases de datos que existen enlos Estados miembros.
Los principios reguladores los ha desarrollado elseñor Piñar, suponen que el tratamiento de datospersonales, la recogida de datos personales debehacerse de acuerdo con los principios de licituddel tratamiento, los datos han de ser recogidospara fines precisos, legítimos, explícitos ydeterminados, deben ser recogidos, bueno, porel principio de proporcionalidad y además, debenser conservados de manera adecuada y duranteel tiempo que sea preciso para la finalidad parala cual fueron recogidos.
Existen normas específicas respecto a latransmisión de datos a terceros responsables yconjuntamente se desarrollan los derechosfundamentales para el ciudadano; para elinteresado del derecho a la información saberque sus datos están en principio recogidos enun fichero específico y al mismo tiempo laposibilidad que se otorga al ciudadano para queesos datos que están en un fichero puedan serrectificados, suprimidos, bloqueados o borrados,según las circunstancias.
Ya he dicho, que en principio la segunda partede la normativa comunitaria implica que tiene
que haber siempre un control de esos datos,control que supone, por un lado, la creación deautoridades independientes y públicas quedispongan de los medios adecuados para llevara cabo el control de los ficheros que existen enel Estado en el que esas autoridades tienencompetencia.
Control que supone la posibilidad de tenerpoderes para interferir en la acción y podercorregir la actuación que tienen losresponsables de los ficheros para corregirlos yhacerlos que se adecuen o respete la normativavigente en el Estado en cuestión.
Y en tercer lugar, para poder controlar este tipode datos existe un premecanismo denotificación previo al establecimiento de losficheros, autoridad de control, para que seaconsciente de que existen estos ficheros y puedallevar a cabo las medidas oportunas del caso deque hubiera quejas o de que ella misma, de oficio,estime necesario poder proceder a unainspección de los ficheros en cuestión.
Me gustaría decir que el principio del derechocomunitario es garantizar un espacio interior enel que los datos pueden circular libremente, lanormativa comunitaria contiene también unaserie de principios de relaciones de este derecho,de este bloque económico con países terceros yexisten una serie de disposiciones muyimportantes respecto a la posibilidad de podertransferir datos o no a países terceros.
El principio fundamental es que los datos que setienen en un fichero en un Estado miembro sólose pueden proceder o transferir a un país tercero,cuando el país tercero en cuestión, elresponsable que recibe esos datos garantiza,mediante su legislación y su sistema jurídico unnivel adecuado de registro de datos personales,semejante o adecuado al que existe en laComunidad.
Si no fuera así, en principio, esos datos no sepueden transferir a esos países terceros. LaDirectiva a continuación tiene una serie denormas que permiten que en casos especiales
29
esos datos se puedan transferir, cuando elinteresado así lo consciente, cuando esnecesario para ejecutar un contrato en el que elinteresado es parte, ese contrato es ejecutadoen el extranjero o cuando, en principio, existeuna serie de cláusulas contractuales en uncontrato establecido entre el responsable delfichero comunitario y el responsable que recibelos datos en el tercer país, en el que se garantizaque el interesado que reside en la Comunidad,por ejemplo, yo, cuando mis datos van a sertransferidos de un fichero comunitario a unfichero en un país tercero.
Esas cosas contractuales que existen en esecontrato, entre los dos responsable que sontransmisor y receptor de ficheros, me permitena mí garantizar que esos datos se me van arespetar y que además podré exigir, en caso deque hubiera una violación o difusión de esosdatos a terceras personas, la posibilidad deejecutar responsabilidades e indemnizacionespor parte de mi tratador de datos en Europa, paragarantizar ese respeto de datos personales.
La Comunidad ha llevado a cabo una serie dedecisiones de adecuación con determinadospaíses terceros, en el que se ha garantizado o senos garantiza que determinados países sígaranticen la protección de datos que recibende ficheros europeos.
Este es el caso, por ejemplo, de Argentina, deCanadá o de la Confederación Helvética.
La Comunidad es una entidad que, en principio,no tiene ningún inconveniente, al contrario, endesarrollar estos acuerdos de adecuación parapoder transmitir datos a países terceros y estáen principio abierto a que este sistema deadecuación se pueda expandir a otros paísesterceros.
Por último, quisiera terminar diciendo qué es loque pasa hoy en día y dónde estamos.
Hoy en día me gustaría decir que estamos, comolo dijo antes el señor Piñar, en una situación deencrucijada, puesto que tras diez años de
aplicación práctica de la Directiva en los Estadosmiembros y de una aplicación que podemosconsiderar satisfactoria en general, por parte delos Estados miembros, puesto que laslegislaciones nacionales funcionan de modo máso menos satisfactorio, nuestra situación actuales de intentar mejorar la aplicación de esasnormativas y aplicación por parte de los Estados.
A este respecto estamos cooperando con lasautoridades nacionales, para mejorar laaplicación y el cumplimiento de la normativa,por parte de los Estados miembros.
También estamos analizando lo que es eldesafío, que supone las nuevas tecnologías, eldesarrollo de las nuevas tecnologías y los nuevosmecanismos de tratamiento de la informacióny cómo ello puede o debe encaminarse dentrodel sistema jurídico que ya existe en laComunidad.
Anteriormente se hablaba de las técnicasAntiSpam, de la vigilancia de técnicas de correoselectrónicos, de las identificaciones a distanciapor mecanismos informáticos o tecnológicos ode radiofrecuencias.
Son temas que se están analizando, para ver enqué medida hay que llegar a una convergenciaque permita garantizar una adecuación o unasatisfacción o una acción de la atención queexiste entre estos principales informáticos y detratamiento de información y respeto al derechofundamental de la protección de datos.
Un tercer aspecto que estamos teniendo hoy endía en la Comunidad Europea es intentar hacerfrente al desafío que supone la adopción denormativas específicas, que permitan a losEstados miembros hacer frente a los nuevosretos que suponen la lucha contra el terrorismo,las nuevas formas de criminalidad organizada ycómo los nuevos instrumentos jurídicos otécnicos que se van a dar a las autoridadesencargadas de la investigación policial, criminalo judicial penal, pueden o no estar enconciliación con el respeto al derechofundamental de la protección de datos.
30
Es una tensión clásica, como dice el señor Piñar,que existe entre estos dos principios: La libertady seguridad, la seguridad de los ciudadanosfrente a la protección de datos personales, laprivacidad.
En la Unión Europea no creemos que exista enprincipio una antinomia, sino que hay queconsiderar ambos derechos, y prueba de ello sonlas normas que se están proponiendorecientemente que tratan precisamente dedesarrollar un ámbito normativo, en el que setengan en cuenta estos dos intereses:Protección de los derechos personales, de laprotección de datos, por un lado, y normas nuevasque den mayor poder de intervención a lasautoridades policiales o judiciales penales parahacer frente a las nuevas formas de criminalidadorganizada o de terrorismo.
Y en este aspecto me gustaría citar normas quese están presentando hoy en día, como las queson, por ejemplo, una proposición de directivaque acaba de ser presentada y que está adiscusión sobre la retención de datos telefónicosy de correo electrónico por parte de lasautoridades, por parte de las empresasencargadas del servicio de telefonía o de correoelectrónico para poner a disposición de lasautoridades encargadas de la cooperaciónjudicial en el ámbito del terrorismo en el caso deque fuera necesario.
Son normas que están hoy en fase de gestación,en fase de elaboración legislativa y que nosabemos a dónde llegarán.
ModeradorModeradorModeradorModeradorModerador: Fernando Corvera Caraza. Directorde disposiciones de Banca Central del Banco deMéxico
La ponencia estará a cargo de Gerardo GilValdivia, Director General de VinculaciónInterinstitucional de la Comisión Nacional delos Derechos Humanos; es abogado, tieneestudios de postgrado en Harvard, investigadorde tiempo completo en la UNAM; cuenta condiversos libros publicados y tiene actividadesdocentes en la Máxima Casa de Estudios, el ITAM,
Universidad Iberoamericana y la UniversidadPanamericana.
PPPPPonenonenonenonenonentetetetete: Gerardo Gil Valdivia.
Quiero agradecer a los organizadores estaoportunidad de participar.
Y tengo dos motivos de especial satisfacción.Inicialmente el poder participar en unencuentro de especialistas, aunque lo que voy ahacer es un planteamiento de carácter general;y suplementario, poder participar en la discusiónde este tipo de temas en un momento crucialque vive el país de construcción institucional.
El país ha vivido una serie de transiciones de lomás trascendentales. Unas derivadas de suincorporación en el proceso de globalización.Otras, derivadas de la alternancia política y de laconsolidación de su democracia.
En este contexto México tiene un proceso deconstrucción de instituciones de Estado, dearticulación de políticas de Estado que sonfundamentales para el futuro desarrollo del país.
La sociedad civil cada vez participa más en esteproceso de un proyecto de nación con visión delargo plazo, con visión de un desarrollosustentable, sostenido, equitativo en el queretomemos la senda del crecimiento económico,en el que logremos este crecimiento económicosostenido con estabilidad, una mayor equidaddistributiva en el ingreso, el pleno respeto almedio ambiente con plena vigencia del Estadode derecho y en especial de los derechoshumanos.
Y para estos efectos estamos en procesos dediscusión, como el de la Reforma del Estado ycomo el de la articulación de las políticaspúblicas que nos permitan acceder a la sociedadde la información y del conocimiento, que nosdan plena vigencia en el mundo altamentetecnologizado del siglo XXI.
En este contexto se inscribe, por una parte, lacreación y posterior autonomía del Instituto
31
Federal Electoral que ha sido fundamental parael proceso de alternancia democrática.
La creación hace 15 años de la Comisión Nacionalde los Derechos Humanos y su posteriorautonomía y consagración como órgano públicoconstitucional de Estado.
La autonomía del Banco de México y, finalmentela creación del Instituto Federal de Acceso a laInformación Pública, que es el resultado de dosvertientes de fuerzas. Por una parte, una presiónde grupos de la sociedad civil. Cómo olvidar laparticipación del Grupo Oaxaca en laarticulación de esta institución y, por otra parte,en la voluntad política para poder lograr hacerefectivos este tipo de instituciones.
En este contexto quiero inscribir miparticipación, simplemente resaltando laimportancia que para el desarrollo del país delargo plazo conlleva la articulación de políticasde Estado que estén más allá de las pugnas y delos vaivenes de los actores políticos delmomento.
Esta consagración de instituciones hace queeste Encuentro sea particularmente importanteen el momento de legislar en una materia tansensible como es ésta, la de los datos personales.
Dicho esto, me limitaría a hacer algunoscomentarios sobre el orden jurídico mexicanoen cuanto a esta materia. La ConstituciónPolítica de los Estados Unidos Mexicanos esomisa en cuanto a la referencia de datospersonales, yo me limitaré a referir los artículosSexto y Séptimo así como los artículos 14 y 16 dela norma suprema.
El artículo Sexto consagra el derecho a lainformación. El derecho a la información serágarantizado por el Estado. Es un artículo queconsagra la garantía de que manifiesta, queestablece que la manifestación de las ideas noserá objeto de ninguna inquisición judicial oadministrativa, sino en el caso de que ataque ala moral, los derechos de tercero, provoque algún
delito o perturbe el orden público y añade elderecho a la información.
El artículo Séptimo de la Constitución tambiénseñala que es inviolable la libertad de escribirartículos sobre cualquier materia. Ninguna leyni autoridad puede establecer la previa censura,ni exigir fianza a los autores o impresores, nicoartar la libertad de imprenta que no tiene máslímite que el respeto a la vida privada, a la moraly a la paz pública.
Y los artículos 14 y 16 constitucionales, que sonpiedras angulares del sistema jurídico mexicano,y en particular de la protección de la legalidad yde los derechos individuales, de los derechosfundamentales, que establece que nadie podráser privado de la vida, de la libertad o de suspropiedades, posesiones y derechos, sinomediante juicio seguido ante los tribunalespreviamente establecidos, en los que secumplan las formalidades esenciales delprocedimiento y conforme a las leyes expedidascon anterioridad al hecho, y el artículo 16constitucional que determina que nadie puedeser molestado en su persona, familia, domicilio,papeles o posesiones, sino en virtud demandamiento escrito de la autoridadcompetente que funde y motive la causa legaldel procedimiento.
Por otra parte, el artículo tercero, fracciónsegunda de la Ley Federal de Transparencia yAcceso a la Información Pública Gubernamental,determina ya el tema de los derechos de losdatos personales.
Y los define, como la información concernientea una persona física identificada o identificable,entre otras, la relativa a su origen étnico o racial,que esté referida a las características físicas,morales o emocionales, a su vida afectiva yfamiliar, domicilio, número telefónico,patrimonio, ideología y opiniones políticas,creencias o convicciones religiosas o filosóficas,los estados de salud físicos o mentales, laspreferencias sexuales u otras análogas queafecten su intimidad.
32
La ley considera que los datos personalesconstituyen información confidencial, y que enconsecuencia nunca pueden ser dados a conocerpor las autoridades u órganos públicos.
En relación con los datos personales, la leydescribe varias obligaciones de los servidorespúblicos. Este tipo de datos, señala la ley,solamente se podrán solicitar por unfuncionario cuando sean estrictamentenecesarios para la labor que se desarrolla dice elartículo 20, fracción segunda. Esto significa queningún funcionario puede requerir de unparticular o de otro funcionario datos personales,si no es con base en alguna norma jurídica quelo autorice expresa y claramente.
Pero no basta cualquier regulación normativapara acceder a datos personales, ya que para noser inconstitucional e ilegal se debe acreditarsu razonabilidad y proporcionalidad en razón desu objeto, ya que puede suponer un potencialpeligro para un derecho fundamental, como elderecho a la intimidad.
En otras palabras, sólo se podrán pedir datospersonales cuando así lo autorice una normajurídica siempre que sean indispensables paraalcanzar un objetivo constitucionalmentelegítimo.
Los particulares, cuyos datos personales constenen alguna base de datos en poder de cualquierórgano público, pueden solicitar a la Unidad deEnlace respectiva que se los proporcione.
La ley abunda en la normatividad en relacióncon los sujetos obligados y con otros aspectosespecíficos que quizá puedan ser objeto decomentario posterior, y yo me limitaría a señalarque el marco jurídico regula la responsabilidadadministrativa de los servidores públicos por eluso indebido de datos personales.
Esta responsabilidad está regulada por la LeyFederal de Transparencia y Acceso a laInformación Pública Gubernamental y por la Leyde Responsabilidades Administrativas de losServidos Públicos.
Otros aspectos que señala el orden normativoque regulan este tema, es la responsabilidadpatrimonial del Estado, y que la responsabilidadadministrativa de los servidores públicos sonindependientes de las de orden civil o penal queprocedan.
El IFAI tiene entre sus atribuciones establecerlos lineamientos y políticas generales para elmanejo, mantenimiento, seguridad y protecciónde los datos personales que estén en posesiónde las dependencias y entidades.
Asimismo, quisiera señalar otros aspectos, esparticularmente relevante la Ley Federal deResponsabilidad Patrimonial del Estado, debidoa la reforma constitucional del artículo 113, ensu fracción II, y con motivo de la creación de estaley es el mismo Estado responsable deindemnizar a los particulares que sufran dañosen sus bienes o derechos como consecuencia dela actividad administrativa y regular del Estado,es decir, se genera una responsabilidad objetivay directa por parte del Estado.
También existen otras normativas aplicablespara la protección de esta materia que es elCódigo Civil Federal, la Ley Federal de Protecciónal Consumidor, el Código Penal Federal y lalegislación financiera.
En cuanto al Código Civil Federal cabemencionar el daño moral, regulado por el artículo1916; en cuanto a la Ley Federal de Protección alConsumidor, el artículo 16 señala que losproveedores y empresas que utiliceninformación sobre consumidores con finesmercadológicos o publicitarios tienen unconjunto de obligaciones en esta materia. Encuanto a la responsabilidad penal de losparticulares por el uso indebido de datospersonales podemos referir el artículo 350 delCódigo Penal Federal en cuanto al delito dedifamación. Y podemos referir también uncapitulo particular de revelación de secretos yacceso ilícito a sistemas y equipos deinformática.
33
Por último, quisiera hacer referencia a lalegislación financiera en cuanto a la Ley deInstituciones de Crédito, que regula laconfidencialidad de los datos de sus clientes y elsecreto financiero, así como la Ley para Regularlas Sociedades de Información Crediticia,elemento fundamental para la función normalcrediticia de los bancos.
Quisiera simplemente, después de esta visiónmuy de conjunto y sujetándome al tiempo quese me asignó para esta breve exposición, resaltarla importancia de la consolidación institucionalen este proceso de cambio económico y políticoque vive el país, la importancia de que el IFAI pasea ser un órgano constitucional autónomo delEstado que consolide los esfuerzos que ha venidorealizando hasta ahora.
Y la importancia de una regulación adecuadaen todo este proceso enmarcado en todo esteproyecto de articulación de una visión de largoplazo de nación en el que logremos estedesarrollo equitativo, sustentable y sostenidopara el país.
ModeradorModeradorModeradorModeradorModerador: Fernando Corvera Caraza. Directorde disposiciones de Banca Central del Banco deMéxico.
A continuación Luis Alberto DomínguezGonzález, que es Consejero del Instituto deTransparencia y Acceso a la Información Públicadel Estado de México. Es Catedrático de laUniversidad Anáhuac y de la Escuela Libre deDerecho, abogado por la escuela Libre deDerecho y tiene un doctorado en Derecho de laEmpresa por la Universidad Complutense deMadrid y la Universidad Anáhuac, en donde seencuentra laborando actualmente una tesisdoctoral.
En el ámbito profesional últimamente sedesempeñó como Director Ejecutivo del ConsejoNacional de Ciencia y Tecnología, DirectorConsultivo del Instituto Federal de Acceso a laInformación Pública. Ha escrito diversos artículosen materia de derecho a la información,
transparencia y acceso a la información públicay protección de datos personales.
PonentePonentePonentePonentePonente: Luis Alberto Domínguez González.
José Luis Piñar Mañas, Presidente de la RedIberoamericana, señores comisionados delInstituto Federal de Acceso a la InformaciónPública, compañeros consejeros del ITAIPEM,miembros de la Red, señoras y señores.
Ciertamente después de todo lo que se hacomentado he de reconocer que me hanallanado un tanto cuanto el camino referente ala definición del derecho fundamental deprotección de datos personales.
Recapitularé un poco, haré algunas reflexionesy por supuesto emitiré mi punto de vista conrespecto a qué es lo que nos falta por hacer ennuestro país.
Ha quedado claro que la protección de los datospersonales debe ser considerado un derechofundamental que ha sido reconocidorecientemente, por supuesto que estárelacionado con la cuestión de intimidad deprivacidad, pero no es lo mismo y debemos detener mucho cuidado con la distinción, y muchocuidado porque es así de sencillo: La cuestióndel domicilio o la inviolabilidad del domicilio, ala que se refiere nuestra Constitución,propiamente se estaría enmarcando como unade las libertades que tienen las personas y quese constituyen en sí mismas como limitacionesal poder público, para la injerencia precisamentea su ámbito privado. Y eso corresponde aderechos de los denominados de primerageneración.
La protección de los datos personales ya se haenmarcado de facto en derechos de tercerageneración. Es decir, ya no es el artículo 16Constitución, no es el 14, no es el Sexo ni elSéptimo, como ya adecuadamente hamencionado el ponente que me ha precedidoen el uso de la voz. Ese es el punto medular deeste asunto.
34
Entonces resulta preocupante que busquemosuna regulación de protección de datospersonales basada en estas disposicionesconstitucionales, que per se tienen unanaturaleza de primera generación, cuando ya seha conformado como una de tercera, en dondeya no es ni intimidad ni privacidad ni propiaimagen, sino un derecho fundamental deprotección de datos personales, y que estáreferido a cualquier información relativa a mipersona o a la de ustedes. Efectivamente, estárelacionado con las cuestiones de dignidad.
Pero me preocupa este panorama, reitero, quela Constitución Política de los Estados UnidosMexicanos refleja, sobre todo, si estimamos queeste es un tema que ya ha sido analizado y queademás, ha evolucionado desde los añosochenta e incluso desde antes.
Ya ha mencionado José Luis Piñar, el Convenio108; ya también ha mencionado que enAlemania desde el 77 se han hecho cosas alrespecto. Incluso en España la Ley Orgánica sobreProtección de Datos de Carácter Personal o LOPDdel 92, que fue superada ya por la Ley Orgánicade Regulación del Tratamiento Automatizado delos Datos de Carácter Personal del año de 99.
Y nosotros todavía seguimos esperando a quefinalmente logremos una Ley de Protección deDatos Personales.
Me adhiero al comentario de la ComisionadaMarván, en cuanto a que podemos celebrar yhacer un reconocimiento al senador AntonioGarcía Torres, por haber puesto este tema en lamesa, creo que es muy importante.
Pero creo que también será importante nosolamente la aprobación o la promulgación deuna ley de esta naturaleza, sino que incluso yome atrevería a sugerir reformas de carácterconstitucional. Porque, reitero, datos personalesno es el 16, no es el 14, no es el Sexto, no es elSéptimo.
Esto implicaría, por supuesto, la regulación y elanálisis para efecto de reflejar una garantía
individual en la propia Constitución, que nospermita que para que mis datos personales seanprotegidos o en caso de que éstos seanviolentados, pueda yo acudir a un órgano queno sea un tribunal ordinario. Eso es muyimportante.
Y que dentro de la acción de los datos personalesno nada más tenga yo la posibilidad, porsupuesto, de acceder a ellos, solicitar lascorrecciones o las supresiones correspondientes,sino que incluso pueda pedir indemnización pordaños y perjuicios, en caso de un manejoirresponsable de los mismos.
¿Podemos armonizar el acceso a la informaciónpública con la protección de datos personales?Por supuesto. ¿Podemos armonizar la libertad decomercio con la protección de datos personales?Por supuesto.
No es una cuestión sencilla. Si la cuestión fuerasencilla, no tendría quizá sentido esta reunión.
Lo que sí no tendría sentido, reitero, es limitarnos,al menos en nuestro país, a un análisis en base atextos tradicionales de Derecho Constitucional,que francamente, ante estos derechos de latercera generación se han visto ya superados.
Ciertamente, ya hay muchos que se hancomprometido con este tema y que ya lo estánabordando y creo que hay que tomarlo muy encuenta.
De tal suerte que el estar discutiendo si elnombre, si el domicilio, todos aquellos supuestosque contempla tanto la Ley Federación deTransparencia, como la Ley de Transparencia delAcceso a la Información Pública del Estado deMéxico, son datos personales o no, está de más,está definido en la ley, y habla de otros casosanálogos.
Pero, retomando lo que ya se ha venidocomentando con anterioridad, es que es muchomás amplio que eso, es cualquier información yes mi derecho el controlar mis propios datos. Esmi derecho.
35
Y si mis datos ya los he proporcionado, tambiénes mi derecho el que me pregunten si yo quieroque se manejen de cierta forma o no; tengoderecho a que se me pregunte y a que se meinforme y a que se me explique qué destino seles va a dar.
Tenemos problemas muy serios, como ya se hamencionado, con respeto al Centro de Acción yPromoción de la Mujer; tenemos problemasserios en cuanto a la suplantación de personaspor contrataciones electrónicas, sonsuplantaciones virtuales en donde utilizan datospersonales para celebrar actos en nombre de otrapersona sin su autorización. Esto es muy grave.
Comparto también los conceptos que ha emitidoen su momento la Comisión Europea y lostribunales constitucionales, tal como lo comentóel doctor Piñar Mañas, como el derecho a vivirsolo. Eso es muy importante.
O como también mencionaba y haciendoespecial referencia a los servidores públicos, enmí caso, Gustavo R. Velasco, que finalmente puesexiste el derecho a perderse entre las multitudes.Una cosa es la gestión pública y otra cosa es lavida privada y la dignidad de las personas.
Debemos de tener muy en cuenta que eldesarrollo de las tecnologías de la información ylos conceptos de autodeterminacióninformativa, libertad de información, librecomercio, los flujos transfronterizos deinformación son temas que hay que abordar yde manera pronta y seguir reflexionando sobreellos de manera permanente porque avanzande una manera abrumadora y podríamos correrel riesgo de vernos superados de nueva cuenta.
Debemos de lograr que se consagre nuestra CartaMagna, este poder de disposición y control dedatos frente a terceros, el saber quién los tiene,para qué los tiene y que yo pueda oponerme aluso que se le dé a los mismos.
Por supuesto que esa facultad de controlar y lacapacidad para disponer y decidir sobre misdatos personales, reitero, tendrá que ser regulada
por una ley; ya hay avances al respecto, quebueno.
Sinceramente yo creo que sino hacemosreformas constitucionales, y reitero también, meaventuro a decirlo y me atrevo a decirlo, estopodría quedar un tanto cuanto incompletoporque es un derecho fundamental que no estácomo tal regulado en la Constitución Mexicana.
Le daría incluso más fuerza como garantíaconstitucional, de tal suerte que podamos teneruna protección adecuada, nuevamentemenciono, sin necesidad de acudir a tribunalesordinarios, sino que tengamos una protecciónespecial sobre la información, por supuesto,cualquiera que ésta sea, sobre mi persona quesea manejada de manera irresponsable o quesea violentada.
No quisiera dejar pasar la oportunidad deagradecer a la Red Iberoamericana deProtección de Datos Personales, a la agenciaespañola, al IFAI la confianza que han depositadoen el Instituto Estatal.
Les doy la bienvenida a todos en nombre de miscompañeros del ITAIPEM, hago unreconocimiento a todo el personal del Institutode Transparencia y Acceso a la InformaciónPública del Estado de México y, particularmentesí quisiera hacer referencia a la Unidad deClasificación y Protección de Datos Personalesquien desde hace varias semanas ha estadoinmerso en la organización de este evento y,bueno, esperamos que sea todo un éxito, así locreo yo.
ModeradorModeradorModeradorModeradorModerador: Fernando Corvera Caraza. Directorde disposiciones de Banca Central del Banco deMéxico.
La ponencia que nos ocupa está a cargo de KarinKuhfeldt Salazar, defensora delegada paraasuntos constitucionales y legales de laDefensoría del Pueblo-Colombiano. Es abogadagraduada de la Universidad de Los Andes,previamente ocupó el puesto de delegada en laComisión Redactora del Nuevo Sistema Penal y
36
Directora Nacional de Defensoría Pública; hasido también profesora de DerechoConstitucional y de Teoría General del Estadoen la Universidad de Harvard y dirigió la revistaLa Defensa de la Defensoría del Pueblo.
PPPPPonenonenonenonenonentetetetete: Karin Kuhfeldt Salazar.
Voy a hacerles un breve recuento de lo que es elpanorama del derecho a la protección de datospersonales en Colombia.
Lo primero que tenemos que señalar es que notenemos una ley que siente esas reglasgenerales de protección del derecho. La CorteConstitucional, por vía de la acción de tutela,que es una acción de protección de los derechosfundamentales, parecida a la solicitud deamparo, es quien ha desarrollado una doctrinasobre lo que puede ser este derechofundamental.
Sin embargo, para claridad de todos y todasustedes es importante señalarles que la Corteaún no ha acogido el concepto del derechofundamental a la protección de datospersonales, se refiere al derecho autónomo delHábeas data, como derecho garantía, y se refierebásicamente al derecho a la autodeterminacióninformática.
El artículo 15 de la Constitución Políticaestablece el derecho de Hábeas data en unanorma que simultáneamente reconoce elderecho a la intimidad personal y familiar, albuen nombre, a la privacidad de lacorrespondencia y las comunicaciones en lossiguientes términos: Todas las personas tienenderecho a conocer, actualizar y rectificar lasinformaciones que se hayan recogido sobre ellasen los bancos de datos y en archivos de entidadespúblicas y privadas.
En la recolección, tratamiento y circulación dedatos se respetarán la libertad y demás garantíasconsagradas en la Constitución.
La Constitución exige que la regulación de losderechos fundamentales se trámite por vía de
una ley estatutaria, es una categoría especialreforzada de leyes que exigen una mayoríacalificada, un trámite breve en una solalegislatura y, además, una revisión previa porparte de la Corte Constitucional antes de entraren vigencia.
En el caso del derecho a la protección de datospersonales o de Hábeas data, como lo hamencionado la Corte, no hemos logrado en 14años de la vigencia de la Constitución, y a pesarde la presentación de varias iniciativaslegislativas que se apruebe tal norma.
La Defensoría del Pueblo, entidad a la que aquírepresento, como órgano constitucionalautónomo encargado de la promoción yprotección de los derechos fundamentales, hahecho uso de la iniciativa legislativa que lamisma Carta le reconoce, ha presentado ya entres ocasiones un proyecto de ley sobre lamateria, pero seguimos sin tener un textodefinitivo.
En este momento cursa en el congreso unproyecto acumulado con el de la Defensoría delPueblo, y estamos pendientes de ver cuál va aser el éxito o el fin de esta iniciativa.
Voy entonces a referirme básicamente a lo queha señalado la Corte Constitucional, que envirtud de la ausencia normativa ha tratado desentar como unas reglas prefiguradas parapoder generar una mínima protección delderecho.
Hay que aclarar que la mayoría de los fallos, másde 130, desde la Constitución del Alto Tribunal,se refieren básicamente a sentencias de tutela,es decir, solamente para casos concretos despuésde la creación, de la generación del conflicto, ysolamente obligan a las partes involucradas eneste proceso.
Muy residualmente la Corte se ha pronunciadoen sentencias de constitucionalidad, es decirsobre normas, y que tengan carácter, efectogeneral y que sean de obligatorio cumplimientopara todos los ciudadanos.
37
En esta medida la protección de los datospersonales en Colombia sigue sometida a la libredecisión de intereses económicos y políticos quese mueven alrededor del tratamiento de datospersonales.
Como les señalaba, la Corte considera al derechode Hábeas data como un derecho garantía, loconsidera un derecho constitucional autónomo,y garantía de otros derechos y libertadesfundamentales, en estricto rigor ha señalado quese trata de una garantía a los derechos deautodeterminación informática y de la libertad.
El núcleo esencial de la Hábeas data definidoentonces por estos dos derechos se concreta asu vez en la facultad del titular de los datos deautorizar la conservación, uso y circulación delos datos, bajo los parámetros legales que seseñalen a tal fin.
Entre los derechos fundamentales protegidoscomo garantías la Corte ha indicado además delos de intimidad, información, buen nombre,honra y honor, y ha señalado que contribuye a larealización de los valores y principios de ladignidad humana, la libertad y la igualdad.
En consecuencia, y dado su carácter de derechofundamental su limitación solamente se puededar por vía de una ley general que señale eseverdadero interés general que responda a lospresupuestos establecidos en la Carta de maneraque admita una limitación eventual.
En cuanto al concepto, la Corte ha señalado queeste derecho otorga al titular la facultad de exigira las administradoras de datos personales elacceso, la inclusión, la exclusión, la corrección,la adición, la actualización y la certificación delos datos, así como la limitación en lasposibilidades de divulgación, de publicación ocesión de los mismos, en armonía con unosprincipios que forman el proceso deadministración de datos personales.
La función de este derecho, ha señalado el AltoTribunal, es la de equilibrar el poder entre elsujeto concernido por el dato y aquel que tiene
la capacidad de recolectarlo, almacenarlo, usarloy transmitirlo.
Además, la Corte ha dicho que este derechotiene dos dimensiones distintas ycomplementarias no solamente las facultadesdel titular, sino el conjunto de principios quedebe guiar todo proceso de acopio, uso ytransmisión de datos.
En este sentido, la administración de los datospersonales tiene que darse en un contextoclaramente delimitado y con sujeción a losprincipios de libertad, de necesidad, de veracidad,de integridad, de finalidad, utilidad, circulaciónrestringida, incorporación, caducidad eindividualidad.
En cuanto al sujeto activo la Corte señala comotal tanto a las personas físicas, como a laspersonas jurídicas, cuyos datos seránsusceptibles de tratamiento automatizado.
La Corte desde un comienzo y en todos los casosha reiterado que es la persona y no eladministrador de las bases de datos el titular ypropietario del dato de carácter personal.
El sujeto pasivo será toda aquella persona físicao jurídica, pública o privada que utilice sistemasinformáticos para la conservación, uso ycirculación de datos de carácter personal.
En punto de la conformidad de la administraciónde bases de datos con estos principios, megustaría comentarles de una norma que fuedeclarada inconstitucional, precisamente porviolar estos principios de la administración debases de datos.
En una norma que reformaba el estatutotributario se planteó la posibilidad, la facultad ala Dirección de Impuestos y Aduanas Nacionales,lo que aquí equivaldría a la Secretaría deHacienda y Crédito Público tengo entendido, dereportar la información relativa a los deudoresmorosos a las centrales de riesgo privados.
38
Es decir, que las centrales de riesgo manejaranla información de quién cumple o no con susobligaciones tributarias y en qué estado seencuentran.
Con una demanda de la Defensoría del Pueblo acargo, presentada por la oficina que manejo, laCorte Constitucional declaró inaccesible estanorma, entre varios aspectos señaló que estadisposición vulneraba los principios de finalidady divulgación restringida del dato, los cualesprohíben esa circulación hacia fines distintos delos que inicialmente fueron los que motivaronla recolección y además permitía la circulacióndel dato sin la debida autorización del titular.
Finalmente, la Corte también ha señalado quelos administradores de bases de datos o deriesgos crediticio y financiero deben informarpreviamente al titular la incorporación decualquier información negativa, que le puedaderivar en efectos, limitación de derechos deforma previa a la incorporación de estainformación, de tal manera que el titular puedaprecaver y evitar daños irreparables que puedanderivarse de la circulación de informaciónerrónea.
Quisiera resaltar que si bien la jurisprudenciade la Corte se ha centrado en una granproporción en los bancos de datos de riesgofinanciero y crediticio, ha tocado muchísimostemas relacionados con el manejo de datos porparte de la Administración Pública.Particularmente también se ha referido a lasbases de datos que manejan las órdenes decaptura o de privación de la libertad.
En el 2003, como ejemplo, se planteó una acciónde tutela por parte de un ciudadano a quien lehabían librado una orden de detención, que fueposteriormente cancelada, porque había unerror en la identidad de esa persona.
Este ciudadano fue objeto de privación de lalibertad 20 veces, con base en esta información,simplemente porque la orden de captura nuncafue retirada de las bases de datos, donde según
lo había ordenado el mismo juez que lo habíaliberado.
Y, en este sentido, el ciudadano fue privado de lalibertad 20 veces y solamente hasta que llegó aejercer la acción de tutela, logró que la Corteordenara retirar su información de la Base deDatos del Departamento Administrativo deSeguridad, DAS.
La defensoría valora inmensamente estosencuentros; estima que la información, losdocumentos que produce la Red Iberoamericanade Datos, ayuda a muchos países que, comoColombia, en el ámbito Iberoamericano aúnrequieren la aprobación de una ley con carácterurgente, precisamente para la protección de losderechos de los individuos.
ModeradorModeradorModeradorModeradorModerador: Fernando Corvera Caraza. Directorde disposiciones de Banca Central del Banco deMéxico.
Conforme al programa tendríamos tiempo pararesponder a un par de preguntas.
PreguntaPreguntaPreguntaPreguntaPregunta: De acuerdo con una declaración dela Comunidad Europea, la protección de datospersonales es un derecho fundamental y underecho autónomo.
Respuesta del ponenteRespuesta del ponenteRespuesta del ponenteRespuesta del ponenteRespuesta del ponente: Luis AlbertoDomínguez González
Yo le suplicaría que me hiciera el favor, porquetengo una duda: ¿Derecho autónomo en qué?¿Derecho autónomo en cuanto a los derechoshumanos?
Aquí, en México, efectivamente, la ConstituciónFederal no menciona a la protección de datospersonales como parte de las garantíasindividuales.
En el Estado de México nuestra Constitución enel artículo 5, sí establece dentro del derecho a lainformación la obligación de proteger los datospersonales. Ese es el sustento constitucional
39
local, en cuanto a la protección de datospersonales que señala la Ley de Transparencia yAcceso a la Información Pública del Estado deMéxico.
Por eso me entra la duda de: ¿Autónomo en qué?¿Es fundamental porque está dentro de unaConstitución?
Yo creo que aquí, de acuerdo con el ordenjerárquico, aceptado generalmente por todos lospaíses, tenemos a la norma fundamental,comúnmente llamada Constitución, que es laque rige y no importa primera, segunda o tercerageneración, es la Constitución y sobre esa latenemos que respetar.
Yo quisiera que me hiciera el favor de aclararmeun derecho fundamental autónomo respecto aqué, por favor.
RRRRRespuesta del ponenespuesta del ponenespuesta del ponenespuesta del ponenespuesta del ponentetetetete: José Luis Piñar.
Vamos a ver, en efecto, estamos hablando de underecho fundamental autónomo, utilizando laexpresión en el sentido de que no se trataría deun derecho, el de la protección de datos,vinculado al derecho a la intimidad o a laprivacidad, sino que logra o coincide, como yoapuntaba, con las reservas que, por supuesto, hayque tener al utilizar esta expresión, emanciparseo diferenciarse mejor del derecho a la privacidado a la intimidad.
El Tribunal Constitucional español, en esassentencias que antes comentaba y sobre todoen la Sentencia 292 del año 2000, del 30 denoviembre, lleva a cabo una interpretación, creoque muy interesante acerca de si es posibleconsiderar que el texto constitucional, ademásde reconocer los derechos fundamentales queexpresamente en él están reconocidos, puedeademás reconocer otros derechos implícitosnovedosos, derivados de una nuevainterpretación de la Constitución.
En Estados Unidos hace unos años se planteóun gran debate entre Borking y Borck,originalismo versus interpretación. Hay que estar
excesivamente atado al texto concreto de laConstitución o es posible interpretar laConstitución de acuerdo a las nuevas realidadesy a los nuevos derechos que van surgiendo.
Y el Tribunal Constitucional considera que elderecho a la protección de datos, si no estabaexpresamente previsto por la Constitución enel año 1978, sí se puede derivar dada la evoluciónsocial que se ha producido, sí se puede derivar dela Constitución, entendiendo que del textoconstitucional, como indico, pueden tambiénderivar nuevos derechos. Y entre estos nuevosderechos se encontraría el derecho de datos quese diferencia del derecho a la privacidad, a laintimidad.
En los términos que también antes intentéexponer y que se pueden conducir a lo que yollamaba formulación lacónica del artículo 8 dela Carta Europea de los DerechosFundamentales, en donde ya no se habla delderecho a la privacidad, no se habla del derechoa la intimidad frente al uso de la informática,sino tan sólo derecho a la protección de datospersonales que se traduce en ese poder dedisposición sobre nuestros datos, sean éstosreferentes a la vida privada o no.
De modo que un dato no privado, un dato noíntimo también estaría integrado dentro de esepoder de disposición que todos los ciudadanostenemos.
¿Por qué? En definitiva, los datos son nuestros,simplificando al máximo, los datos son nuestrossean éstos o no íntimos y con esos datos, enconsecuencia, y perdón por la expresión,podemos hacer lo que queramos y estamos endisposición de que otros los usen o no, siempreevidentemente con límites. Todos los derechosfundamentales tienen límites, evidentemente.
Yo creo que los dos únicos derechos que noadmiten límite alguno, son el derecho a la vida yel derecho a la dignidad de las personas. Losdemás, todos admiten límite y por supuestotambién el derecho a la protección de datos.
40
Por eso el legislador puede delimitar el contenidodel derecho, pero partiendo de la base de queestamos ante un derecho fundamental cuyonúcleo esencial debe ser siempre respetado yesto implica que por ejemplo deba estarse alprincipio de finalidades o de proporcionalidadescuando se analiza el uso de unos datos o que sedeba determinar si realmente, y me remito ahoraa las sentencias que antes comentaba delTribunal de Justicia –Linqdvist & Rundfunk, sirealmente es proporcional dar una informacióno hacer público una información, o si para lafinalidad perseguida no era necesario hacerpública una información.
Muy rápidamente, en 30 segundos. La sentenciade Rundfunk, como saben ustedes, se refería porejemplo a un supuesto planteado ante el casodel control por el Tribunal de Cuentas austriaco,de la gestión de determinadas entidadespúblicas.
Control que llevaba emparejado elconocimiento, por ejemplo, de las retribucionesde los empleados públicos de numerosasentidades públicas.
Y se planteó la cuestión de si esos datos referidosa la retribución de los empleados públicos, nosólo debían incorporarse al informe del Tribunalde Cuentas, si no que también si debían o no, sipodían o no incorporarse al informe público,publicidad total y absoluta, de ese informe delTribunal de Cuentas.
Y el Tribunal de Justicia dijo que habría quevalorar, habría que determinar si la finalidadperseguida, que era la del control de la buenagestión se conseguía sin necesidad de hacertotal y absolutamente públicos esos datos, si noque a lo mejor bastaba con que el Tribunal deCuentas así mismo lo conociese. Y para ello sebasa en la existencia de ese derecho a laprotección de datos.
Quizá en lugar de autónoma habría que decirdiferenciados, quizá autónomo de otrosderechos porque es un derecho que se consideranuevo.
ModeradorModeradorModeradorModeradorModerador: Fernando Corvera Caraza. Directorde disposiciones de Banca Central del Banco deMéxico.
¿Si hubiera alguna otra pregunta que deseenformular?
InInInInIntertertertertervvvvvenciónenciónenciónenciónención: Yo soy la titular de la Unidad deEnlace de Productora Nacional de Semillas. Másbien lo que yo quisiera manifestar es una duda,porque si bien es cierto que los datos personalesque tiene el organismo, pertenecen, porejemplo, a sus trabajadores que tiene o que hatenido, y que solamente la ley nos marca, la Leyde Transparencia que solamente para el uso delos datos personales, el titular de los datos debedar su autorización o debe de autorizar a otrapersona para que los pueda pedir, ¿qué pasacuando esa persona ya no trabaja en elorganismo, pero está buscando trabajo y da uncurrículum y da referencias, y entonces entra encomunicación con nosotros otra dependencia,otra empresa que le va a dar trabajo, pero pidereferencia de él, y nosotros no tenemos laposibilidad de contactar al titular de los datos, ynos encontramos ante una disyuntiva?
Si bien es cierto el titular es el dueño de los datos,¿qué hacemos, si no damos el acceso a lainformación, pues a lo mejor no le dan trabajo,porque están pidiendo referencia de él? Ymuchas veces las empresas aplican ciertoscuestionarios.
Entonces no sé quién me podría, en un momentodado, decir qué se hace ante esto, de dar o no daracceso a ciertos datos personales, porque aquílo que estoy entendiendo es que todos los datosreferentes a una persona son datos personales.
RRRRRespuesta del ponenespuesta del ponenespuesta del ponenespuesta del ponenespuesta del ponentetetetete: Gerardo Gil Valdivia.
Si entendí bien el planteamiento de la preguntaes: ¿Tenemos el expediente laborar de un exservidor público, y se están pidiendo referenciade él? ¿O se está pidiendo acceso a su expedientelaboral?
41
IntervenciónIntervenciónIntervenciónIntervenciónIntervención: Son referencias de él y de ciertamanera también son datos de su expedientepersonal, porque, por ejemplo, hay cuestionariosque te aplican, y dicen que si ese trabajador fuesindicalizado o que si ese trabajador sufrióaccidentes laborales durante su estancia o bajoqué nivel de tabulador estuvo, cuál fue su últimosueldo.
Entonces de alguna manera todos esos datos elpropietario es el titular de los datos. Pero te lopiden las empresas porque están pidiendoreferencias de esa persona para poderle dartrabajo. Entonces si no se lo das también lo estásprivando que le den trabajo.
Pero de cierta manera tú no pues contactar altitular de los datos para preguntarle: oye,autorízame a que yo le diga todos estos datos aesta empresa que me los está pidiendo de ti.Porque se los tuvo que haber dado él, si no laempresa cómo llega a nosotros, y nos pideespecíficamente datos muy concretos de esapersona.
RRRRRespuesta del ponenespuesta del ponenespuesta del ponenespuesta del ponenespuesta del ponentetetetete: Gerardo Gil Valdivia.
Recordemos que hay disposición de la Ley Federalde Transparencia en donde existen ciertasobligaciones que todos aquellos sujetos, valgala redundancia, obligados que tienen quereflejar en página Web. de tal suerte que desdemi perspectiva la cuestión del último salariopercibió, la antigüedad del empleado, todaaquella información que tiene que ver con lagestión pública, ojo, haciendo especial referenciaa la Ley Federal de Transparencia, como aquellaque pudiese establecer desde esta perspectivala excepción a la protección de los datos, si mepermiten la expresión, porque finalmentedebemos de entender que es al revés, pero paraeste caso en particular no habría ningúnproblema en dar esa información.
Ahora, si tenemos evaluaciones, por ejemplo, sitenemos exámenes sicométricos, si tenemos esetipo de situaciones y lo que se están pidiendoson documentos, no hay lugar a duda de que esoes un dato personal y no se entrega.
43
Las tecnologías de la Información yLas tecnologías de la Información yLas tecnologías de la Información yLas tecnologías de la Información yLas tecnologías de la Información ysu Impacto en la Privacidad: de lassu Impacto en la Privacidad: de lassu Impacto en la Privacidad: de lassu Impacto en la Privacidad: de lassu Impacto en la Privacidad: de lascomputadoras a lascomputadoras a lascomputadoras a lascomputadoras a lascomputadoras a lastelecomunicacionestelecomunicacionestelecomunicacionestelecomunicacionestelecomunicaciones
Mesa 2:::::ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora del Departamento Jurídico de la Universidad Iberoamericana–UIA-México.
El doctor Jesús Rubí Navarrete es abogado. Director del Gabinete del Ministro de Justicia, DirectorGeneral de Relaciones con las Cortes y el Parlamento Español; Asesor Jurídico del Tribunal de Cuentas;Vocal del Tribunal de Defensa de la Competencia; Subdirector General de Inspección y Adjunto alDirector de la Agencia Española de Protección de Datos.
Conferencia MagistralConferencia MagistralConferencia MagistralConferencia MagistralConferencia Magistral: Jesús Rubí Navarrete.
Me sumarme a las felicitaciones a los organizadores, en particular al IFAI y agradecerles a ustedessu presencia.
En primer lugar querría insistir en una idea que ya se ha manifestado a lo largo de la mañana. Hayque distinguir el derecho a la intimidad y el derecho a la protección de datos personales.
El derecho a la intimidad es el derecho que se refiere a una esfera privada de la persona, mientrasque el derecho a la protección de los datos personales en parte presume el tratamiento de lainformación sobre las personas, hace que esa información no sea secreta, sino todo lo contrario, quesea objeto de un tratamiento, inclusive de un tratamiento masivo, pero exige una conducta activapor parte de los que realizan ese tratamiento y esa conducta activa consiste básicamente en quesea una conducta o un tratamiento con garantías, una conducta garantista.
Esta conducta garantista se traduce en lo que se refiere al objeto de la ponencia. En primer lugar, enel tratamiento de datos automatizados en las computadoras; es el tratamiento de datos quepodemos distinguir de otros tratamientos que veremos posteriormente, relacionados con eldesarrollo tecnológico.
En este ámbito en que el tratamiento automatizado de los datos personales y el tratamiento enbases de datos, en las computadoras que utilizamos en la perspectiva de la Unión Europea, estásujeto a un sistema de garantías que tiene dos bloques.
44
Por una parte, los principios de protección dedatos, que ya se han comentado, elconsentimiento, la información, la calidad, lafinalidad, la seguridad o el secreto y una serie dederechos, como son los derechos de acceso, derectificación, de cancelación y de oposición.
Sin embargo, el desarrollo tecnológico, eldesarrollo del sector de las telecomunicacionesy de las nuevas tecnologías ha dado lugar a unhecho nuevo, a que ese sistema de garantías,esos principios que acabo de comentar o esosderechos, necesiten adaptaciones específicasante nuevos fenómenos tecnológicos.
El desarrollo tecnológico obliga a adaptar losprincipios de protección de datos, en primer lugar,a la seguridad de la red; obliga a recoger, aconsiderar qué medidas de seguridad, quériesgos se producen; cuando se producen esosriesgos la necesidad de informar a los usuariosde que se han producido y también la necesidadde ofrecerles soluciones tecnológicas a un costorazonable, para poder evitarlos.
Los datos de tráfico son aquellos datos queidentifican la comunicación que se estárealizando y que permite la facturación, es untratamiento que con las herramientasdisponibles Data Warehouse, Data Maningpueden dar lugar a perfiles muy exclusivos en lavida de las personas y necesitan una adaptaciónde los principios generales de protección de datosa sus peculiaridades.
Y lo mismo sucede con los datos de localizaciónque son los datos que permiten la ubicaciónfísica de los equipos terminales y que puedendar lugar al hecho de que se produzca unseguimiento, un control de itinerancia de losusuarios de esas terminales.
También en el sector de las telecomunicacionesse están desarrollando servicios de valor añadido,desde los más elementales, como puede ser labienvenida cuando llegamos al aeropuerto deMéxico diciéndonos qué tenemos a nuestradisposición, todo tipo de servicios, información
turísticas o simplemente una bienvenida, hastaservicios muy sofisticados que pueden llevar asuponer el tratamiento, por ejemplo, de datosrelacionados con un problema cardiaco de unapersona y que permita atenderle, inclusive sinque él se esté dando cuenta de que tiene unacrisis cardiaca.
Por qué no hablar de las comunicacionescomerciales más solicitadas, el Spam, queconstituye uno de los fenómenos más graves enel desarrollo de las telecomunicaciones, comotambién lo constituyen el desarrollo deprogramas espías que permiten obtenerinformación de las terminales sin conocimientode los usuarios o los zombis que permiteninclusive acabar casi suplantando al usuario deun equipo terminal y utilizar su terminal parahacer, por ejemplo, comunicaciones comercialesno solicitadas como si lo hiciera ese usuario quees el titular de al terminal.
Y lo mismo sucede también en serviciosavanzados de telefonía, puesto que estosservicios permiten la identificación de la líneadesde la que se llama, la identificación de la líneaa la que se conecta o permiten el desvió o laretirada del desvío automático de llamadas.
Sucede en esta necesidad de adaptación en losdirectorios de telecomunicaciones, las guías detelecomunicaciones que es un instrumento quese utiliza con carácter público para eltratamiento de datos personales, o con lafacturación desglosada. Por tanto, tenemos unaprimera necesidad de adaptar esos principiosgenerales vinculados a las propias exigencias dela protección de datos personales, cuando éstosse tratan en el sector de las telecomunicaciones.
Pero además, estas nuevas exigencias vienenderivadas de aspectos que son ajenos o sinoajenos, por lo menos no directamenterelacionados con la protección de datospersonales, como es el desarrollo de los serviciosde la sociedad de la información.
45
La Cumbre Mundial sobre la Sociedad de laInformación que se celebró en Ginebra en el año2003, marcó una serie de objetivos respecto deldesarrollo de la sociedad de la información.
Yo he recogido algunos datos los que me hanparecido sintéticamente más importantes encuanto a la protección de datos personales,como son, que las tecnologías de la informacióny las comunicaciones, permiten un desarrollomás intenso de la educación, del conocimiento,de la información como todos podemos conocero también marca un objetivo que es que lastecnologías de la información y delconocimiento, las TIC coadyuvan de una maneramuy eficaz al crecimiento económico y enparticular inclusive en países en desarrollo,porque permiten alcanzar nuevos niveles deeficiencia y de productividad.
Sin embargo, en esta declaración de Ginebra sehace referencia a que, para que puedadesarrollarse la sociedad a la informaciónexisten determinadas necesidades.
Primero. Que haya conectividad, sin acceso a lared no va haber, en ningún caso, desarrollo de lasociedad a la información.
Segundo. Que haya una colaboración, unacooperación entre entidades públicas y privadasy también en el ámbito internacional dirigida atratar de evitar o de reducir la brecha digital, lade aquellos que pueden acceder a este tipo deservicios y la de aquellos que podrían quedarseal margen de los mismos.
Tercero. Se hace referencia a una necesidad decompetencia, de que exista un funcionamientocompetitivo de mercado, aunque siempregarantizando obligaciones de servicio universal,porque la competencia puede excluir del accesoa estos servicios a aquellos que vivan en localeso territorios o que tengan niveles de rentas queno permitan su acceso a estos servicios y portanto los poderes públicos tienen que garantizaro establecer obligaciones de servicio universalque permitan a toda la población el acceso a esosservicios.
Y en particular entre estas necesidades se hacereferencia a una que está muy directamentevinculada con la regulación de protección dedatos, porque se dice que es imprescindiblefomentar la confianza y la seguridad. Sinconfianza y seguridad por parte de los usuariosno se desarrollarán adecuadamente los serviciosde la sociedad a la información. Y esto implicaque haya seguridad en redes, que hayaherramientas de autenticación, suficientes,adecuadas, que se garantice la privacidad y quese proteja a los consumidores.
Y hace una referencia específica a la necesidadde abordar estrategias y políticas que permitanpor lo menos, sino evitar sí reducir estefenómeno que conocemos como el Spam. Enesta declaración de Ginebra se hace referenciaa la necesidad de que existe un entorno propiciopara el desarrollo de la sociedad de lainformación, cuyo primer aspecto es que existaun marco jurídico adecuado. Una regulación, enesta materia, que sea transparente, que seacompetitiva, que sea tecnológicamente neutral,que sea predecible, y que se adapte, esto es muyimportante, a las necesidades nacionales.
Tenemos en este momento dos aspectos o dospuntos de vista que obligan a adaptar losprincipios de protección de datos a las nuevasexigencias del sector de las telecomunicaciones.Uno es derivado de la propia estructura, delpropio sistema de garantías de protección dedatos personales.
Segundo, vinculado al desarrollo de los serviciosde la sociedad de la información.
Y hay un tercer aspecto, que hace necesario oimprescindible el que exista este tipo degarantías en el desarrollo del sector de lascomunicaciones, es el que hace referencia a lasnecesidades de desarrollo del comerciointernacional. Se ha comentado en algunasponencias que la libre circulación de datospersonales es un elemento esencial para eldesarrollo del comercio internacional.
46
Se ha hecho referencia a que en realidad elorigen último de la propia directiva 95 46 de laComunidad Europea, que es una normavanguardista en lo que se refiere a la protecciónde datos personales, tuvo ese apoyo en lascompetencias que el Tratado de la Uniónatribuye a la Comisión Europea en materia demercado único o de mercado interior, elgarantizar la libre circulación de datosconsideraba y se sigue considerando comoimprescindible para que pueda haber unfuncionamiento correcto del mercado único, ylo mismo sucede en el ámbito de la UniónEuropea, que es una organización regional, y portanto, esa exigencia responde a las necesidadesde integración de esta región o a las de cualquierotra región, podríamos citar el caso americano,el MERCOSUR, por poner un caso, hacenimprescindible que para garantizar la librecirculación de datos exista una regulación queprevea un sistema de garantías, y no sólo en elámbito de una integración regional, sinotambién en el comercio que se realiza entreunas y otras regiones, entre todos los países, endefinitiva, el tratamiento de datos y la librecirculación de datos personales que se produzcaen un mercado globalizado.
Y partiendo de estas necesidades yo querríahacer referencia a abordar los criterios que sonnecesarios o los criterios que deben dirigir estaregulación en el sector de lastelecomunicaciones para poder atender losretos de la protección de datos personales, parapoder atender el desarrollo de los servicios de lasociedad de la información, y para poderfavorecer el desarrollo del comercio y de laactividad económica a nivel mundial.
El primer aspecto que considero importante oimprescindible que se incorpore en cualquierregulación que aborde esta materia, es que separta del principio de neutralidad tecnológica.En la experiencia europea hemos tenido unejemplo claro de los inconvenientes que puedegenerar el no cumplir con este principio.
La neutralidad tecnológica significa que elsistema de garantías que se establezca sea
operativo, cualquiera que fuere la tecnologíaque se utilice, pueda ser operativo paratecnologías que todavía no han sidodesarrolladas.
La primera directiva de protección de datos enla Unión Europea, en el sector específico de lastelecomunicaciones del año 97, vinculó elsistema de garantías a determinadastecnologías, fundamentalmente los serviciostelefónicos, y olvidó otros servicios u otrastecnológicas, básicamente el desarrollo deInternet y ha sido necesario modificar esadirectiva, derogarla y aprobar una nueva, laDirectiva 2002/58-C, para garantizar que estesistema de garantías opera con neutralidadtecnológica.
Y esto es muy importante, porque si no fuera asípodríamos encontrarnos con un fenómeno quepodríamos denominar de deslocalizacióntecnológica, si las garantías que existen sondistintas para unas tecnologías y para otras, sison más rigurosas en unos casos que en otras, elfenómeno que se puede producir es que seincentiven determinadas tecnologías y seaparquen otras en las que pueda ser máscomplicado de aplicar este sistema de garantías;por tanto, es un principio fundamental.
En la neutralidad tecnológica el sistemaeuropeo se apoya en un concepto decomunicación electrónica, que es un conceptoextraordinariamente amplio, lo tienen ustedesen la Directiva 2002/58-C y que parte de lapremisa de que siempre que haya unacomunicación electrónica que es simplementeuna transmisión de información entre unnúmero finito de personas, cualquiera que seala red que se utilice, siempre que se produzcaese fenómeno se aplica el sistema de garantías.
El segundo aspecto importante desde el puntode vista de esta regulación o el criterio aincorporar en esta regulación, es que estesistema de garantías tiene que articularse comoderecho de los abonados y los usuarios y no comoobligaciones de los operadores detelecomunicaciones, ni como obligaciones de los
47
prestadores de servicios de la sociedad de lainformación.
Porque si se articula como obligaciones acabanproduciéndose déficit y omisiones, por ejemplo,el Spam es algo que realizan terceros que no sonprestadores de servicios de la sociedad de lainformación y que no son operadores detelecomunicaciones, de forma que siestablecemos un sistema de garantías basadoen un régimen de obligaciones habrá tercerosen los que no concurre esas características quehagan Spam y que no estén sujetos a lasobligaciones propias de los sistemas deprotección de datos o de garantía deltratamiento de datos en el sector de lastelecomunicaciones.
Ha habido muchos ejemplos en la legislaciónespañola y la nueva Ley General deTelecomunicaciones ha tenido que invertir lascosas, es necesario articular este sistema degarantías como derechos subjetivos de losabonados y de los usuarios oponibles frente acualquiera, sea operador de telecomunicacioneso no sea operador de telecomunicaciones, seaprestador de un servicio de la sociedad deinformación o no lo sea.
El tercer aspecto relevante es lo que he queridollamar superación del concepto de dato personal,la normativa de protección de datos personales,como se ha comentado esta mañana, es unanormativa sujeta a un aspecto crucial, debetratarse información de personas físicasidentificadas o identificables.
Y esto lleva a un debate permanente de sideterminadas informaciones son informacionessobre personas físicas identificadas oidentificables, la dirección IP es un dato de unapersona identificada o identificable, un númerode un determinado celular es un dato de unapersona física identificada o identificable, elpropio terminal en el que se pueden instalar virusu otro tipo de programas espías que capten lainformación supone el tratamiento deinformación personal identificada oidentificable.
En nuestra experiencia tenemosargumentaciones jurídicas que permitenafirmar que la dirección IP, que la dirección decorreo electrónico, etc., en determinadascondiciones son un dato personal.
Pero es, en mi opinión, necesario superar esteconcepto e ir a un sistema de protección queproteja el uso de determinadas herramientas, eluso del teléfono celular, el uso del terminal;porque de esa manera, primero, no va a estarexcluido del ámbito de protección nadie cuandose debate si es un dato personal y además,porque se puede incluir dentro del ámbito deprotección no sólo a las personas físicas, sinotambién a las personas jurídicas.
Y la importancia de este aspecto ha sido que ellegislador español cuando ha incorporado ennuestro sistema legal la Directiva 2002/58, quees la directiva vigente en la Unión Europea paraprotección de datos en el sector de lascomunicaciones electrónicas o de lastelecomunicaciones, ha desvinculado estesistema de garantías del concepto de datopersonal y lo ha incorporado en dos regulacionesdistintas, una parte en la Ley General deTelecomunicaciones y otra parte en la Ley deServicios de la Sociedad de la Información y delComercio Electrónico.
Y ha atribuido, eso sí, nuevas competencias a laAgencia Española de Protección de Datos deforma que ahora no sólo aplica lo previsto en laLey de Protección de Datos, sino también, esterégimen de garantías predicable inclusive depersonas jurídicas o morales que está en la LeyGeneral de Telecomunicaciones y en la Ley deServicios de la Sociedad de la Información.
Otro aspecto muy importante a considerar paraun enfoque o una regulación en el ámbito delsector de las telecomunicaciones es el dotarse oel prevenir herramientas que puedan ser útilespara combatir este fenómeno auténticamenteinquietante, que son las comunicacionesmasivas o comunicaciones comerciales o nocomerciales, los correos electrónicos nosolicitados, el Spam.
48
Ese punto es un problema particularmenteamplio en la medida en que vivimos en unmundo globalizado, pero yo sí querría destacartres aspectos en los que hemos estadotrabajando.
En primer lugar el de conseguir una adecuadacolaboración entre las autoridades de control,los prestadores y los usuarios.
Frente al Spam no basta con que exista unrégimen sancionador, porque puede no seraplicable, porque el Spam está en un lugar alque no se puede aplicar extraterritorialmenteuna norma. Por tanto, no basta con unaregulación. Es necesario, pero no es suficiente.
En segundo lugar, es necesario contar con losprestadores de servicios de la sociedad de lainformación, a través de los cuales estácirculando este tipo de comunicación y además,es necesario contar con la concienciación y unaactitud proactiva por parte de los propiosusuarios, tienen que ser conscientes de laimportancia de este fenómeno, de los riesgosque corren y como decía, desarrollar unaconducta activa de autoprotección.
Y, demás, de esta manera, mediante estainterrelación, se pueden resolver problemasjurídicos importantes. Por ejemplo, si losprestadores de servicios de la sociedad de lainformación autónomamente establecensistemas de filtrado de los correos electrónicos,va a suceder inapelablemente que habrá falsospositivos y falsos negativos; habrá correoselectrónicos lícitos, que son retenidos y quellegan a sus destinatarios y seguirá habiendocorreos electrónicos ilícitos, que sí llegarán a susdestinatarios.
Y eso puede dar lugar, inclusive, aresponsabilidades contractuales, aresponsabilidades por daños, a sancionesadministrativas por interpretación de lastelecomunicaciones, en la medida en que seauna decisión autónoma de los prestadores deesos servicios.
Por eso es imprescindible que los prestadores deestos servicios y las autoridades competentestengan una relación muy fluida con los propiosusuarios, les informen de cuáles son losinstrumentos de filtrado que los prestadores deservicio puedan aplicar; en la aplicación de esosservicios de filtrado tengan la confianza de quejurídicamente están actuando de una maneralícita, para lo cual, es imprescindible laintervención de las autoridades administrativascompetentes y además haya respuesta por partede los usuarios, para que ellos digan y decidan siquieren o no el filtrado, conforme a qué criterioso conforme a qué no criterios o si quieren utilizarherramientas alternativas, por ejemplo, disponerde dos direcciones distintas de correoelectrónico, para tratar de evitar este fenómeno.
Es necesario, por tanto, esta colaboración, y estonos lleva a que es necesario también unaconcientización de los usuarios, que van a tenerque adoptar medidas propias de adquisición yde búsqueda de programas actualizados, defirewall, de programas que eviten el contagio porvirus y que el propio usuario va tener estadisposición proactiva, para autoprotegerse.
Y en tercer lugar es imprescindible un aspectobásico, que es la cooperación internacional. Sincooperación internacional es imposibleperseguir el Spam.
Yo he puesto algunas referencias, algunasiniciativas que hemos tenido. Un memorándumde colaboración entre la Agencia Española deProtección de Datos y la Federal TradeCommission de los Estados Unidos deNorteamérica o también el London Action Plan,que es un plan de acción en el que estánparticipando autoridades competentes deprotección de datos, de defensa de losconsumidores muy variadas, empresas privadas,etc., para que tratar de combatir este fenómeno.
Y un último aspecto importante a considerar, encuanto a estos criterios, de un nuevo enfoqueen el sector de las telecomunicaciones es elrelacionado con el gobierno electrónico.
49
La tecnología, el gobierno electrónico, el E-government o la administración electrónica vapermitir un acceso más sencillo a los ciudadanos,va permitir mayor transparencia, va permitirtambién una mayor eficacia, una mayoreficiencia en la actuación de lasadministraciones públicas. Pero estos programasde E-government tienen que estar, en todo caso,sujetos a garantías específicas.
Y estas garantías específicas, yo querría hacerreferencia a alguna de ellas, a la vista de lo queha sido nuestra experiencia práctica.
En primer lugar, que haya sistemas deidentificación unívoca razonables de losusuarios a distancia de este tipo de servicios,porque sino, pueden acabar produciéndosesuplantaciones en el acceso a informaciónadministrativa por parte de terceros, que no sonlos usuarios autorizados.
En segundo lugar, que el tratamiento de lainformación dentro de las administracionespúblicas tienen que responder al principio definalidad. Y en el ámbito de la administraciónpública el principio de finalidad se concreta enque los datos que pueden recabarse y quepueden tratarse tienen que estar vinculados alejercicio de competencias, de atribucionesespecíficas que se hayan reconocido a eseórgano, a esa parte de la administración pública.No toda la administración pública, por muypública que sea y porque toda en generalresponda a razones de interés publico, tieneporqué tener acceso a toda la informacióndisponible. Es imprescindible que se cumpla elprincipio de finalidad, que se vincule al ejerciciode sus competencias. Y esto es particularmenteimportante cuando el desarrollo de estossistemas llega a un nivel de interoperabilidad.
En tercer lugar, es imprescindible que seintroduzcan medidas de seguridad que impidano que mantengan íntegra la información y queimpidan accesos no autorizados o si éstos seproducen que permitan su detección.
En cuarto lugar, hay que evitar, con estasmedidas de seguridad, que con el cúmulo deinformación administrativa y la utilización denuevas tecnologías, sea la propia administraciónpública la que se dedique a realizar perfiles de laconducta de los ciudadanos en sus relacionescon la administración.
Estos son, a mi juicio, los aspectos básicos de unnuevo enfoque en protección de datos en elsector de las telecomunicaciones. El próximopaso, ¿cuál es? La Red Iberoamericana.
En la Red Iberoamericana, precisamente en esteIV Encuentro hemos elaborado un documentode trabajo sobre gobierno electrónico ytelecomunicaciones. En ese documento detrabajo se detallan para cada uno de estosaspectos que les he ido comentando, el Spam,los servicios avanzados de telefonía, los datos detráfico, los datos de localización, los directorios yel gobierno electrónico, etcétera, soluciones ypropuestas concretas que entendemos quepueden permitir alcanzar un nivel de garantíaadecuado.
Es un documento que vamos a discutir a lo largode estos días y respecto del que tendremos quellegar a conclusiones cuando acabe esteencuentro. Espero que hagamos un debatefructífero que puedan tenerlo pronto a sudisposición.
ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA-México.
Vinculado con el tema que se señaló de variasde las razones por las cuales urge una regulaciónen lo relativo a las bases de datos personales,vino a mi mente otra temática y otro esfuerzointernacional que ahorita está preocupando ala comunidad internacional, que esprecisamente la cuestión del crimeninternacional organizado.
La Convención de Naciones Unidas, relativaprecisamente al crimen internacional,contempla la temática de las bases de datos y
50
en concreto y vinculado con toda la temáticadel lavado de dinero y el narcotráfico, está lacuestión de la cooperación judicial o lacooperación entre los Estados.
No se podrá cumplir con ninguna de las metas ode los objetivos u obligaciones de los propiosEstados de no darse una normatividadprecisamente que sea acorde a las necesidadesque por un lado tienen, en el lado de la balanza,lo que es el derecho a la privacidad y los derechoshumanos de la persona, y por el otro lado latecnología que a muchos ha sobrepasado envarios Estados, lo que es la propia legislacióninterna y el esfuerzo de la comunidadinternacional por controlar y regulardebidamente y que se realicen en el campo delo lícito y no de lo ilícito varias actividades ycomportamientos que desgraciadamente no sehan sujetado a control.
Quiero presentar al siguiente ponente, el doctorFernando Argüello Téllez, especialista ennormativa regulatoria y asuntos decompetencia; doctorado en DerechoPatrimonial por la Universidad Pompaifraba deBarcelona, España. Miembro de la RedIberoamericana de Protección de Datos,especialista en protección de datos personalesen diversos cursos y seminarios; obtuvo el premiode periodismo en 2003 sobre la protección dedatos personales, convocado por la AgenciaEspañola de Protección de Datos, ponente de laXXVII Conferencia Internacional de Privacidad yProtección de Datos realizado Suiza, en el mesde septiembre de 2005.
PPPPPonenonenonenonenonent et et et et e: Fernando Argüello Téllez.Superintendencia General de Electricidad yTelecomunicaciones del SIGET de El Salvador.
Quisiera agradecer a los organizadores lacapacidad de convocatoria que se ha tenido paraun tema que es tan novedoso y tan relevanteen lo que es el desarrollo de la democracia detodos los países.
Quiero empezar contándoles lo que me pasó porla mañana. Me encuentro con que el vecino de
al lado a la habitación del hotel, tenía puesta latarjetita que siempre ponen en la puerta de: “Porfavor no molestar” o “Haga la habitación”. Mellamó la atención ya que en este caso, dice:“Privacy please”, en vez de “Not disturb”.
Y creo que sería interesantísimo que tuviéramosuna tarjetita así como en Monopolio o GranBanco, para poderle sacar a los encargados yresponsables de los tratamientos una tarjetitapara decir: por favor respete mi informaciónpersonal.
Vamos a empezar con la ponencia, con lo básico,que es Warren and Brandeis, ya el Director de laagencia se refirió a él. Esto lo llevo a colación enlo que respecta a lo que son los inicios de lastecnologías en la comunicación, se empiezan adesarrollar la fotografía, los periódicos, puesresulta que ya ahí en 1890 ya surgendeterminados problemas con lo que es laprivacidad de las personas.
Al parecer la esposa del señor Brandeis habíatenido una fiesta social muy bonita, en losmedios salió publicada, y resultó que loscomentarios que se hicieron no les agradaron.Tenemos una magnifica ponencia en el HarvardReview mostrando lo que es el derecho a laprivacidad y que ahora es esencial citarloprácticamente en todas las ponencia de datosque puede haber.
También estamos hablando de 1972, algunoshechos relevantes. RL Polk & Co., una compañíanorteamericana en Detroit, poseía datospersonales de alrededor de 130 millones depersonas, pudiendo tras un adecuadotratamiento informativo establecer complejosperfiles individuales. Ahí estamos hablando delinicio de la computación; ya podía haber algúntipo de tratamiento de información, pero todavíano habíamos llegado a ese enlace entre lo queeran las telecomunicaciones con lascomputadoras y la capacidad que tienen éstasde tratar información al respecto.
Más adelante, a finales de los años 80, principiosde los 90 empieza en sí lo que sería la
51
convergencia informática y lastelecomunicaciones.
Las tecnologías de la información, como son lautilización de las computadoras para almacenar,procesar datos; tecnologías detelecomunicaciones, como son los teléfonos,transmisión de señales de radio, de televisión,tecnologías de redes de Internet, con su formamás conocida, tecnologías móviles, voz sobre IP(VOIP). Entonces surge la convergencia entre elInternet y estas tecnologías, y se constituyecomo un medio de comunicación eficiente y demuy bajo costo, que va a facilitar la interrelaciónentre ellas. Se logra una integración entre lo quees datos, vídeo, tráfico de voz, etcétera.
Una de las nuevas tecnologías que han surgidoa través de todos estos avances es el GPS, unsistema global de navegación por satélite, quenos permite determinar en todo el mundo laposición de una persona, un vehículo, una nave,con un error de alrededor de cuatro metros. Lasaplicaciones que hoy puede tener son múltiples:navegación terrestre, marítima, aérea, paralabores de rescate y salvamento, ubicación deenfermos discapacitados, para rastreo yubicación de vehículos robados, entre otros.
Otra de las formas de utilizar esta tecnología espara el rastreo de los empleados, para ver las rutasde los transportistas y se utiliza un sistema GPSpara poder determinar su posición, se utiliza paraevitar robos, para evitar que se salgan de su ruta,etc., pero también pueden ser tecnologías queirrumpan o invadan la privacidad.
Un caso interesante que hay en Internet. WilliamBradley Jackson fue sospechoso de haber matadoa su hija y enterrado su cadáver, las autoridadesandaban tras su pista desde hacía mucho tiempo,al enterarse de que las autoridades ya andabanmuy cerca de lograr determinar dónde seencontraba el cadáver decidió cambiarlo deubicación, lo que desconocía es que lasautoridades habían instalado un chip de rastreoen su vehículo. Pasaron 10 días, durante esetiempo llegó Bradley sacó el cadáver de la hija y lofue a enterrar a otro lugar.
Al cabo de varios días retiraron las autoridadesel chip y a través de la información que leyeronpudieron detectar el lugar exacto donde habíasido enterrada, por supuesto lo apresaron y a finalde cuentas quedó condenado.
Lo que se vio es la disyuntiva entre la necesidady cómo tendrían que haber actuado lasautoridades; se necesitaría haber requerido deorden judicial para hacer este tipo de acción obastaría con una mera sospecha para poderponer un chip o cualquier forma de rastreo. Paraeste tipo de casos podrían ser muy útiles, meparece, y nadie podría negarlo, pero tambiénpodría ser utilizado en otro tipo de usos.
Otro de los ejemplos es el implante de chips, estolo están ocupando en algunos países para evitarrobos, secuestros, se instalan los chips para estartotalmente ubicados en cualquier lugar delmundo; hubo en Inglaterra un caso bastantesiniestro que se pensó en la instalación de chipsa los hijos menores para evitar que fueran objetode cualquier tipo de secuestro.
La voz “sonoripés” es un ejemplo interesante delo que son estas nuevas tecnologías; como yales comentaba, es un abaratamiento de lo queson los precios de las llamadas telefónicas,nuevamente interesantes, se está viendo conmucho interés los diversos reguladores detelecomunicaciones, sin embargo, comotecnología relacionada con Internet tiene susproblema de privacidad y seguridad. Al igual queun correo electrónico puede ser rastreado enInternet igualmente la voz puede ser rastreadaen Internet.
El FCC, Federal Communications Commession,está tratando de ampliar el campo de una ley lacual permitía el poder acceder a lastelecomunicaciones vía teléfono normal, ahoralo quiere instaurar a lo que es voz sobre IP, estoestá sobre cargando, en alguna medida, a losproveedores de servicio de Internet, estáutilizando el ancho de banda y causando algunostipos de perjuicios.
52
Y nuevamente volvemos a lo mismo, me parecemuy bien que traten de evitar cualquier tipo deterrorismo internacional, delitos y demás, perohasta qué punto llegamos.
Debemos preguntarnos cómo identificar yregular la delicada línea que puede separar unuso adecuado de las nuevas tecnologías de lainformación y las comunicaciones de lo que seríaun uso arbitrario en el ámbito de la privacidad yla protección de datos.
Sobre eso podríamos pensar en empoderar altitular de la información personal, a través de laeducación, hacer del conocimiento de que sonsumamente necesarias, que existan normasclaras, un asentimiento informado que esesencial, porque muchas veces los usuariosfirmamos cualquier cosa o donde diceautorizamos ceder los datos a equis y ye persona,sin embargo, desconocemos para qué van a sercedidos.
También hay que fomentar las tecnologíasgarantistas de la privacidad que se estándesarrollando y van en muy buen camino, quetambién son un elemento bastante atractivo.
Les quiero pasar un video, creo que refleja lo quees el problema que se podría dar en un usoinadecuado de las comunicaciones. Se llamaSpears and Pizza y es hecho por el America CibersLiberty Marius de los Estados Unidos.
(Proyección de video en inglés)
ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA-México.
Corresponde ahora al doctor Sergio Antonio Toro.Es Director Ejecutivo de la Agencia para elDesarrollo de la Sociedad de la Información enBolivia, su país natal. Ingeniero en Electrónicapor la UNAM, Universidad Nacional Autónomade México; Maestría en Ciencias deComputación de la Fundación ArturoRosemblueth. Ocupó cargos en diferentesinstituciones bolivianas, destacándose el
Ministerio de Hacienda, la Dirección General deImpuestos Internos, el Gobierno Municipal delAlto y Ministerio de Desarrollo Municipal. Ha sidoconsultor internacional en varios países deCentroamérica, Sudamérica y África.
Sus inicios profesionales se refieren al DistritoFederal, México, donde trabajó por más de seisaños en el Instituto Nacional de Cardiología, Dr.Ignacio Chávez y en el Hospital Metropolitanode la Ciudad de México.
PPPPPonenonenonenonenonentetetetete: Sergio Antonio Toro.
Quiero agradecer a los presidentes, al IFAI, y aMéxico donde me he formado, también quieroagradecer al doctor Piñar Mañas por la inclusióndentro de la Red Iberoamericana de Protecciónde Datos.
Voy a empezar mi presentación haciendo unareseña de qué es lo que se está haciendo en mipaís, qué es lo que se está haciendo en Bolivia.
Voy a decir qué es la ADSIB, suena como remedio,pero no es un remedio, son palabras un poquitodifíciles, es la Agencia para el Desarrollo de laSociedad de la Información en Bolivia.
La Agencia Boliviana para el Desarrollo de laSociedad de la Información en Bolivia nace enel año 2002, en el marco de un decreto supremo,no nace como una necesidad o como un temade que la voluntad política del momento estéde acuerdo con ella, si no más bien como untema, yo lo calificó como una especie deesnobismo. Todo alrededor, todos los paísescircunvecinos empiezan a desarrollarse en lo quese llama la sociedad de la información, en tratarde proteger sus datos, en ver la importancia queen el mundo tiene las telecomunicaciones y lasTICS y, bueno, hay una declaración que ha sidomencionada hoy, la declaración de Santa Cruzde la Sierra donde varios presidentes, en mi país,firman el convenio para iniciar todas estaslabores de proteger los datos personales.
En ese sentido nace una agencia, pero nace una agenciaun poco sui géneris porque nace sin presupuesto.
53
Debido a la situación política que vive el país, el21 de septiembre del 2004 la presidencia delCongreso Nacional asume tuición de la Agenciapara el Desarrollo de la Sociedad de laInformación, esto nos hace una entidad suigéneris, una entidad que nos hace transversalesa los dos poderes: Ejecutivo y Legislativo, y ahí escuando empiezo a tener el cabello cano porquetengo de jefes o personas que se creían mis jefes,a todos los diputados y senadores de mi país.Entonces, casi pido la habilitación de un nuevoasiento dentro de mi Parlamento, porque yo mela vivía dando informes que trabajando en mioficina.
Realmente se me criticó o se criticaba en temasde tecnología de información y comunicaciónde por qué se utilizaba el gov con ve chica, comogovernment, en lugar de gobierno con be grandecomo lo tienen en México, por ejemplo. A esenivel de ridiculez he tenido que responderinformes del Parlamento.
La ADSIB no nace sin un presupuesto, cosacuriosa y para suplantar y para vivir de unpresupuesto nos hacen el ISP oficial del Estadoboliviano y somos los encargados de sistematizarla información, generar políticas estándares deldesarrollo de la sociedad de la información en elpaís, es por eso que estamos aquí presentes.
Nace a partir de dos instancias que existían enel Gobierno boliviano, una de ellas es la UFI(Unidad de Fortalecimiento Informático), que esuna unidad que queda del Y2-K. Y otra unidadque es el BolNet, era el que tenía los servicios deInternet en Bolivia, tiene el monopolio delregistro de dominios en Bolivia, tiene laadministración de los números IP para el accesoa Internet y tenemos los temas de proyecto deconectividad al interior del Estado boliviano.
En ese sentido ADSIB y BolNet son las dosentidades que dan sostén técnico y financiero yque se pueda trabajar fundamentalmente en eltema de la “ticks”.
Trabajamos difundiendo las “ticks”, haciendopolíticas, haciendo la coordinación en el área
“tick”, tenemos bastante trabajo, y nos nombranoperadores oficiales de la estrategia bolivianade reducción de la pobreza dentro de Bolivia enel uso de las “ticks”.
Trabajos básicamente, los ingenieros nos gustahablar en difícil igual que los abogados, en laparte de la derecha, significa que trabajamos enel Setuse o sea, ciudadano a ciudadano, en elgobierno a negocios, en el gobierno a gobierno yen el gobierno a ciudadano, tratando de trabajaren esos campos fundamentales, limitamosnuestra acción. –Se refiere a la presentación querealiza en PowerPoint–
La finalidad de la ADSIB. Somos la encargada depromover políticas, todo lo bonito que puededecir un decreto de creación. Tenemos unamisión, que es una misión bastante difícil en unpaís tan conflictivo como Bolivia. Favorecer lasrelaciones del gobierno con la sociedad bolivianamediante el uso de tecnologías adecuadas,realmente una misión bastante difícil la que nosponen, con un país, donde voy a demostrar acontinuación tiene muchas gradientesdiferenciales.
En la ADSIB nos toca, y le pongo la palabra deingeniería política, porque Álvaro Díaz de laCEPAL, en su informe a la CEPAL, dice que en laADSIB se ha hecho una ingeniería política, dondejugamos con los dos poderes. Dondebásicamente a mí me toca jugar con los dospoderes.
Yo califico ese jugo como hijo de padresseparados, hoy tal cual un adolescentemalcriado que cuando me convenía iba con elMinistro de la Presidencia y cuando me conveníame iba con el Presidente del Congreso Nacionalpara conseguir voluntad política.
Dentro de esa voluntad política hemosconseguido entregar resultados a corto plazo, amediano y a largo plazo. Uno de los resultadosde los cuales me siento más orgullo es quehemos hecho la estrategia boliviana detecnologías de información y comunicación parael desarrollo.
54
Hemos participado, hemos elaborado elanteproyecto de ley de comunicaciónelectrónica de datos, firmas digitales y comercioelectrónico, se llamaba en un principio, en laversión 63 y ha perdido las firma digitales en elcamino, ya se llama comunicación electrónicade datos y comercio electrónico. Participamosen la Red Clara, participamos en Telecentro yotros proyectos más.
En la dificultad vemos la oportunidad de trabajar.Tratamos de aprovechar la coyuntura políticapara aprovecharnos de eso justamente, de lo quees la voluntad política. Participamosinternacionalmente en la Red Geal, en la RedClara, en la Red Infolac, en la Cumbre Mundialde la Información, y nuestra participaciónreciente es dentro de la Red de Protección deDatos.
La realidad boliviana no muestra quepertenecemos a un país multiétnico,pluricultural, con más de 50 etnias agrupadasen tres regiones claramente definidas, que sehan autodefinido así, poca participaciónciudadana en los circuitos económicos del país,especialmente de pueblos originarios, lo que hamarcado la exclusión social, no somosproblemáticos, porque sí queremos serproblemáticos.
Tenemos un alto grado de necesidades básicasinsatisfechas en el país. Tenemos un país conaltos índices de pobreza y marginalidad.
Tenemos la inexistencia de un marco jurídicopara el desarrollo de alternativas tecnológicasque ayuden a cerrar la brecha digital. Muchainversión y apoyo, muchos quisieran tener lainversión que tiene Bolivia, pero cuando estámal orientada y mal organizada se convierte enun fenómeno que yo lo califico “Túpac Amaru”;como Túpac Amaru tuvo una muerte por cuatrobestias, una amarrada a cada uno de los brazosque jaló para un lado distinto. Un poco eso es loque nos está pasando en este momento conBolivia, porque tenemos la cooperaciónjalándonos en distintas direcciones y no nos estápermitiendo avanzar como país.
Entonces que ordenar esa cooperacióninternacional. Somos un país geográficamentemuy disperso. Tenemos un millón de kilómetroscuadrados, tenemos 328 municipios, 29 millocalidades pobladas, donde 43 por ciento deéstas no tienen servicio de electricidad.
Y aquí es un dato que habiendo tenido miformación en un país como México, un país tandemocrático como México es un tema querealmente me desgarra y me muestra el paísdistinto que tenemos, el país con los gradientesque mencionaba que tenemos.
Ahí hay una fotografía en la cual dos autoridadesoriginarias del altiplano y uniformados tras lafirma del Programa de Igualdad de Oportunidad,fue el 20 de abril del 2005, este año, primera vezdespués de casi 200 años de vida republicanaque un indígena puede acceder a entrar a uncolegio militar, los indígenas no tenían derechoa ingresar ni a universidades, ni al colegio militar,este año se da la igualdad para que los pueblosoriginarios y los campesinos puedan tenereducación militar.
Entonces, ese es el país discriminador del cualles estoy hablando y el país discriminador quepresenta niveles de conflicto.
Simplemente llamo a la reflexión que la brechadigital entre los países es de 390 a 1 entre lospaíses desarrollados y los países en desarrollo yesta brecha está aumentando.
El PIB de los cinco países de la CAN, los cincopaíses de la CAN juntos producen un tercio de lofactura Microsoft, quiere decir que lainformación sí había sido un buen negocio.
El bienestar dentro de una economía global estábasado en el conocimiento de individuos solos,ojalá sea ese individuo que está encargado en laespalda de su madre el individuo que puedaalcanzar un mayor desarrollo dentro de lasociedad futura.
Los reportes de telecomunicaciones muestranindicadores muy buenos, vemos una creciente
55
desde 1997, muy racional, evidentemente se haninstalado teléfonos y se han instalado puntasde conectividad en el país, pero de qué me sirveun teléfono tarjetero en medio de un camino,donde no hay ni las tarjetas, donde no hayposibilidades de desarrollo para la regióncircunvecina.
La participación de los municipios en Bolivia esde apenas un 51 por ciento del país pordepartamentos que tienen acceso a Internet.
Bolivia en el área urbana o en el eje central, comollamamos, tiene un índice de 0.48, más o menosequivalente al índice de brecha digital que setiene entre Chile y España, no estamos mal enlas ciudades del eje. Sin embargo, si vemos elporcentual en el área rural vemos que estamoscon un 0.96, una diferencia catastrófica entrelo que es ciudad y lo que es campo.
La diferencia al interior. La brecha digital alinterior de lo que está sucediendo en Bolivia esmás dramática que la brecha digital de Boliviaversus los otros países, tenemos dos países, mepermito calificar un país del siglo XXI y tenemosun país que está tratando de entrar al siglo XVII,si es que así se puede calificar.
Pese a eso tenemos la inclusión del Hábeas dataque, bueno, la primera Constitución de Boliviaes de 1826, ahora en el marco de los conflictosque se están sucediendo en mi país se habla deuna asamblea constituyente donde se va ahacer una reforma total, esperemos que parabien.
Se tienen 17 intentos de reformas, se tiene unaLey de Necesidad de Reformas del año 2002, setiene una inclusión en el 2004 dentro de laConstitución Política del Estado y se tiene unaorganización del texto, un texto ordenado en el2004 también.
El Hábeas data dentro de la Constitución Políticadel Estado de Bolivia está incluida en un soloartículo, en el artículo 23, y tiene en el párrafouno, tiene las características y derechos, en lospárrafos dos, tres y cinco, tiene los
procedimientos para el recurso de Hábeas datay en el párrafo cuatro tiene la incompatibilidadpara levantar el secreto en materia de prensa.
Los derechos y deberes fundamentales pese a lainclusión del Hábeas data en el artículo 23, noaparece como un derecho fundamental a laintimidad personal y familiar de las personas,entonces ahí ya estamos vislumbrando unposible problema de nuestra inclusión delHábeas data dentro de nuestra Constitución.
Las características del Hábeas data. La másimportante posiblemente es que está, me pareceque surge un poco forzada; es que estáredactada en términos negativos, es de carácterprocesal para la petición de datos personales, etc.
El acceso de datos a la persona, ratificación,corrección, información obtenida o almacenada,eliminación o exclusión, son básicamente losderechos que tiene cada persona.
Las omisiones que tiene. Es un tema que causapreocupación fundamentalmente, no sonsubsanadas en la Constitución Política delEstado: la confidencialidad de datos personalesy la actualización de datos personales, no sonincluidas.
El procedimiento, y aquí hay otro problemadentro de nuestro Hábeas data es que toma a laCorte Superior de Distrito o Juez en Partido, estoes a la necesidad del recurrente. No hay unaentidad destinada a hacer la protección de datos,sino son las instancias existentes ya en el país.
Esa es la primera sentencia constitucional, unpoquito de la historia, donde el Hábeas data locontraponen con la Ley de Imprenta y la Ley dePrensa, donde el fallo aprueba la resolución deimprocedencia, al corresponder la aplicación dela Ley de Imprenta.
Hay una especie de desconocimiento o unaespecie de mala aplicación de la Hábeas data ouna mala interpretación por parte tanto de losdemandantes, como por parte de las entidades queestarían encargadas de la protección de datos.
56
En cuanto a la legislación relacionada, existe laLey de Telecomunicaciones, existe el CódigoPenal, existe el Código Civil, el Decreto Supremode Acceso a la Información Pública, quemenciona el Hábeas data como tal y elAnteproyecto de Ley de ComunicaciónElectrónica de Datos, que también ya mencionala protección de datos y menciona la Hábeasdata.
Las conclusiones que podemos decir en cuantoa nuestra Hábeas data, se precisa una LeyOrgánica para el desarrollo de la misma.
Nosotros queremos aprovechar la coyuntura delAnteproyecto de Comunicación Electrónica deDatos, para hacer el Reglamento específico dela protección de datos personales. Esa es laconclusión principal a la cual puedo llegar y estees el trabajo en el cual estamos abocados en estemomento.
ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA-México.
Presento al doctor Fernando Martínez Coss,licenciado en Economía por la UniversidadAutónoma Metropolitana. Ingresó al sectorpúblico en 1983 y desde 1986 se encuentra en laSecretaría de Hacienda y Crédito Público, endonde ha colaborado en el desarrollo deherramientas de apoyo para el cumplimiento deobligaciones fiscales, como Declara-SAT,utilizando para el cumplimiento la presentaciónde la Declaración Anual de las Personas Físicas,así como la instrumentación de mejoras enservicio de atención a contribuyentes, como losmódulos de atención integral a los mismos,esquema de pagos electrónicos de impuestos,sistema integral de comprobantes fiscales, asícomo la instrumentación de la Guía paraTrámites Fiscales y es actualmente responsabledel proyecto de la Firma Electrónica Avanzada yFactura Electrónica.
PonentePonentePonentePonentePonente: Fernando Martínez Coss.
El tema que les voy a compartir esta tardebásicamente versa sobre la firma electrónica
avanzada y cómo el Servicio de AdministraciónTributaria, al cual pertenezco, ha visualizado laforma en la que en la interacción con loscontribuyentes podamos tener una relaciónsegura que sea sencilla y, sobre todo, que lleve auna forma de interacción que permita ampliarla cobertura de servicios que tiene el Servicio deAdministración Tributaria.
En ese sentido el SAT ¿qué es lo que ha hecho yen qué ha basado su desarrollo? Básicamenteha basado su desarrollo actual desde el añopasado y hasta la fecha, en un esquema que seha denominado de firma electrónica avanzada.
El primer entendimiento que quisiera quetuviéramos es, ¿qué es una firma electrónicaavanzada? Es un conjunto de datos, en esteevento estamos hablando de datos, pero sobretodo lo que hemos buscado nosotros comoautoridad fiscal es que haya alguien atrás de losdatos, que haya una identidad, que haya unapersona que de forma segura nos permita teneruna relación con el contribuyente. Esto es lo quehemos hecho.
Y la firma electrónica avanzada nos lo hapermitido, de hecho es algo que dentro del marcojurídico que nosotros tenemos ya se encuentrareconocido, es decir, ya tenemos reconocidodentro del Código Fiscal de la Federación loscertificados de firma electrónica avanzada.
Con esto abrimos un campo muy interesante aefecto de tener esta relación segura que lescomentaba. En este sentido no podría yo estarhablando de un certificado y menos deimpuestos si no estuviéramos frente a unaobligación.
En nuestro país existe desde el año pasado, elaño pasado de manera opcional, la obligaciónpara las personas físicas y las personas moralesde contar con un certificado de firma electrónicaavanzada.
Este certificado tiene, básicamente, dossegmentos de contribuyentes obligados que espersonas físicas con actividad empresarial, coningresos superiores a un millón 750 mil pesos.
57
Y el segundo. De personas físicas con actividadno empresarial, entiéndase los arrendadores, lossujetos de honorarios con ingresos superioresanuales a 300 mil pesos y, nuestra legislación, elCódigo Fiscal consagra un segmento, el cual porsu capacidad administrativa no tendrían estaobligación; esto no quiere decir que no puedaoptar por ella, en este caso básicamente referidoa los contribuyentes del sector agropecuario.
Es decir, tenemos una legislación que noshabilita la posibilidad de tener transaccionesseguras, con entes identificados, y me falto untercero que son las personas morales, que sonsujetos ya obligados de presentar, de contarprimero con un certificado de firma y de llevar acabo transacciones electrónicas.
En este sentido tenemos un mecanismo quetecnológicamente nos habilita. Tenemos unmarco jurídico que lo define y nos define a lossujetos, pero aquí lo importante es unentendimiento claro. Cuando estamos frente aun certificado de firma electrónica de quéestamos hablando, qué quiere decir esto.
Les quisiera decir que es el equivalente a lo quehoy por hoy tenemos como nuestra firmaautógrafa, pero en el mundo de las transaccioneselectrónicas o en el mundo del Internet.
En mi firma autógrafa yo solo la puedo hacer;sin embargo en la firma electrónica yo solo la sé.Hay una característica fundamental en loscertificados que es que en su creación deben dehacerse en absoluto secreto, nadie lo debe deconocer.
Mi firma autógrafa en el mundo del papel es elequivalente a mi certificado de firma electrónicaen el mundo del Internet y especialmente en elámbito de lo fiscal. Es decir, todo lo que tengaque ver con obligaciones fiscales o el mundo delo tributario tiene un equivalente que se llamacertificado de firma electrónica y que tienebásicamente tres características, que es: voy atener un certificado, voy a tener una llaveprivada, un mecanismo de acceso seguro y voy atener una clave de seguridad.
Es decir, en el mundo del papel utilizo lo queustedes tienen, su pluma y papel y en el mundoelectrónico voy a tener estas características queson un archivito punto cer, un punto key y unallave de seguridad. Esas son las analogías quequisiera que tuvieran.
Ahora bien, ¿cómo le vamos a hacer? ¿Cómo leva a hacer el Servicio de AdministraciónTributaria para lograr dotar a los contribuyentesde todo esto? Tenemos un mecanismo que espresencial, en donde básicamente lo quebuscamos es garantizar la identidad delcontribuyente que va a estar atrás de uncertificado.
Para este fin lo que le pedimos al contribuyentees que acuda con nosotros previamentevalidando datos, validando datos de identidaddel contribuyente. En los datos de identidad elServicio de Administración Tributaria tiene lareserva legal de no entregarlos ni revelarlos, estolo consagra el artículo 69 del Código Fiscal de laFederación, en donde se guarda absoluta reservade los datos proporcionados por loscontribuyentes.
Nosotros no podemos revelar absolutamenteningún dato. Sin embargo, sí nos garantiza quetengamos del otro lado de la computadora a unagente que conocemos, que sabemos quién es ya la cual le podemos proveer un servicio osimplificar que es nuestro objetivo todo esto.
¿Cuál es el ciclo de generación? El ciclo degeneración es el contribuyente nos agenda unacita, ahí iniciamos a verificar los datos deidentidad del contribuyente.
Segundo, nos llena un requerimiento del ladofiscal suena fuerte, pero finalmente es llenaralgunos datos de la identidad del contribuyente,esto lo hace en absoluto secreto. El SAT noconoce las características de esa llave privadaque genera el contribuyente. Nosotros notenemos control de esto. Actualmente tenemoscerca de 370 mil certificados ya generados hacialos contribuyentes, esto nos habla de un númeroya importante.
58
Tengo el dato de la Agencia Tributaria española,que me hablaba el año pasado de cerca de 300mil certificados generados. En el ámbito denuestro país estamos ya rebasando ya los 370mil certificados.
Nos habla de un proceso de cambio paulatino,un proceso de cambio que no hemos hecho, comolo viene previsto en la disposición porquegeneraría, creemos nosotros, un cambio culturalmuy fuerte.
Lo hemos hecho paulatinamente, de forma talque un aspecto fundamental en estastecnologías sea la asimilación del cambiotecnológico de forma pausada.
Esto creemos que lo hemos venido logrando coneste tipo de cuestiones. El contribuyente, meregreso al ámbito del que estoy platicando,genera su requerimiento, acude con nosotros,vemos que efectivamente se trate de quien es,que es quien dice ser.
Esto lo aseguramos con nuestra información, lacual contamos con el contribuyente, yfinalmente, jurídicamente lo que hacemos escerramos el ciclo.
Es decir, tenemos ya una persona física o moralplenamente identificada y con esto leentregamos un certificado de firma, con el cualpodamos llevar a cabo transaccioneselectrónicas.
Aquí hay una característica fundamental en loque el SAT ha hecho. Esto, nosotros comoautoridad fiscal lo pudimos haber hecho demanera autónoma, sin embargo, el legislador elaño pasado previó a un tercero, que en este tipode fórmulas se le reconoce como confiable, aefecto de garantizar la transparencia de todoesto. En este caso es el Banco de México, en elcaso de nuestro país, nosotros, como autoridadfiscal, estamos proponiéndole a Banco deMéxico, cuáles van a ser nuestras prácticas decertificación de identidad.
Es decir, no actuamos de manera autónoma. Esonos da la absoluta transparencia. Aún siendoautoridad, nosotros, en este caso nuestro país,los legisladores, previeron la posibilidad de queaún siendo autoridad fiscal hubiera un terceroconfiable. En este caso fue el Banco de México, aquien le estamos dando estos certificados.
¿Y con esto a qué estamos llegando? Esto habilitadesde el mundo de lo tributario a una serie deservicios. Es decir, si en el mundo del papel lo quehacemos nosotros con nuestra firma autógrafaes suscribir o aceptar obligaciones o ejercerderechos, en el mundo de lo fiscal tenemos esteescenario, que ahorita es el que vamoscaminando.
Es decir, los contribuyentes ya pueden optar porun comprobante fiscal digital, ahí ya estamosteniendo un cambio, un comprobante fiscaldigital que en el mundo del comercioelectrónico viene a minimizar todas lasoperaciones.
Con este medio seguro la administracióntributaria le permite el acceso al contribuyentea sus datos, es decir, los contribuyentes ennuestro país ya tienen acceso a la informaciónque en materia fiscal el SAT tiene, esto que si lohubiésemos pensado de manera presencialresultaría algo complejo, hoy por hoy ya es unarealidad el que el contribuyente de maneraelectrónica y remota pueda accesar a sus propiosdatos.
Adicionalmente, ya lo comentábamos, está lapresentación de la declaración anual, los agentesaduanales en operaciones de comercio exteriorya utilizan este tipo de mecanismos.
Y para el año que entra ya tendremos queutilizar este mecanismo de certificado de firmaelectrónica en los pagos provisionales, es decir,el cumplimiento de obligaciones periódicas quevenimos haciendo ya tendrá que ser a través deeste mecanismo.
Y bien, si estamos hablando de un encuentro dedatos, pues, finalmente yo quisiera cerrar mi
59
charla con el acceso que pueden tener loscontribuyentes mediante este certificado a susdatos, creo que es algo que es muy valioso, sobretodo para los contribuyentes el saber, digo, si hayalguien que conoce de los contribuyentes o delos ciudadanos en este país creemos que es laautoridad fiscal.
Nosotros aglutinamos una gran cantidad dedatos que están reservados, sin embargo, lo queofrecemos ahora es la posibilidad de que sea elcontribuyente quien los conozca, que sepa quées lo que nosotros tenemos, en este caso es laaplicación que hoy por hoy existe en la páginadel Servicio de Administración Tributaria, endonde a través de estos tres datos: RegistroFederal de Contribuyentes, lo que es lacontraseña, lo que es su certificado y lo que essu punto key la llave privada, puede tener accesoa todos los datos que el SAT tiene de loscontribuyentes.
Esto creemos que es una oportunidad muyvaliosa que no lo permite y no lo habilita latecnología, pero sobre todo, que nos garantizaque del otro lado de la computadora hay alguienque es conocido, que nos garantiza la absolutaintegridad y que no tenemos la posibilidad deque haya la corrupción de estos datos o que hayael jaqueo de estos datos, son transacciones cienpor ciento seguras.
Tecnológicamente, como dato para que ustedeslo tengan, este tipo de llaves son de mil 24 bits,cosa que nos da la amplia seguridad de quedifícilmente se podrían jaquear y que nos dan latranquilidad de quien accede a estos datos esquien debe ser.
ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA–México.Continuamos con la presentación de AlfredoReyes Krafft, doctor en Derecho por laUniversidad Panamericana, Director Jurídico deE-Bussines en BBVA-Bancomer, Presidente de laAsociación Mexicana también de Internet.
PonentePonentePonentePonentePonente: Alfredo Reyes Krafft.
Yo quisiera retomar un poquito el tema de lamesa y en particular bordar un poquito sobre lamisma, estamos hablando de las tecnologías dela información y su impacto en la privacidad, eltema es de las computadoras a lastelecomunicaciones.
Yo ahora quiero de alguna manera comentar queestoy representando a la industria de Interneten particular en México y en ese sentido yoquisiera aclarar una cuestión, la tecnología o lastecnologías de la información y comunicaciones,Internet, es un medio, no es un fin en sí mismo;es decir, no podemos hablar de ética de Internet,sino tenemos que hablar de ética de las personasque utilizan este medio que se llama Internet otecnologías de la información, como quieranllamarle.
Y en ese orden de ideas tendríamos quedistinguir entre el uso de la información, el bieninformático como un concepto jurídico o técnicoy también el bien informático o la informáticacomo instrumento para realizar un determinadoacto o un determinado acto jurídico.
En ese contexto y sobre ese punto de referenciano debemos dejar de considerar que Internet esun medio, no es un fin en sí mismo, estamoshablando de las personas.
Ahora, también debemos considerar el tema deprivacidad. Nos queda muy claro que laprivacidad y el derecho a la protección de losdatos es un derecho fundamental, es un derechofundamental de las personas.
Y en este sentido, este derecho fundamentaldebe también estar en equilibrio con otrostemas también importantes, como serían losintereses de mercado, la libertad de expresión,el libre flujo de información, así como cuestionesrelativas al lavado de dinero y lucha contra elterrorismo.
Considerado entonces así y tomando enconsideración también el tema que y Fernando,
60
hace un minuto, había comentado en relacióna la delicada línea. Es decir, él hacía referencia aalgunas mejores prácticas y a los efectossecundarios que estas mejores prácticaspudieran llegar a tener.
Y tomando en consideración el tema yplaticando en particular del tema del Spam, yocreo que también debemos de tomar el puntode referencia.
Por un lado, dentro de Spam se está exigiendoque los proveedores de servicios de Internetcuenten con mejores prácticas de protección yde prevención ante ese problema grave: Filtrosanti-Spam, detección y registro de entidadesriesgosas, conformación de gruposespecializados para su combate, distribución deherramientas, campañas de concientización,atención muy pronta ante reportes.
Pero los efectos secundarios que podemosencontrar ante una situación como ésta, seríael tema a que ya hizo referencia también elexpositor anterior de falsos positivos; el temarelativo, por ejemplo, a la diferencia entre Spamy mercadotecnia directa; que los filtros pudieran,en un momento dado, atrapar mensajes quepudieren ser válidos o también el hecho de quela propia auditoría, respecto de los mensajes queyo estoy realizando en los buzones de misclientes, pudiera considerarse una violación a laprivacidad de cada uno de los usuarios.
A final de cuentas no es culpable el proveedorde servicios de Internet respecto de esteesquema. A final de cuentas el Spam le generaun problema muy grave al proveedor de serviciosde Internet; ocupa ancho de banda del proveedor,el volumen de almacenamiento en cuanto aniveles de almacenamiento es a costa del propioproveedor y no lo puede incidir en el costo por elservicio que está prestando.
Independientemente de eso el ISP no debe dejarde garantizar al usuario una eficaz entrega demensajes, confidencialidad y respeto yrespuesta ante reporte de abusos.
¿A final de cuentas a qué queremos llegar conesto?
Nos queda muy claro que debemos de cuidareste derecho fundamental de privacidad yrespeto a la privacidad de las personas. Nos quedamuy claro también que en México contamos conlegislación, si bien dispersa en algunas entidadeso en algunos esquemas, contamos conlegislación sobre la materia.
Es muy importante y no es por querer evitar unesquema legislativo, sino por el contrario, es muyimportante propugnar por una legislacióncongruente sobre la materia.
¿Y a qué me refiero con congruente?
Voy a poner tres ejemplos que se han suscitado,a raíz de una Iniciativa de Ley Federal deProtección de Datos Personales, que fuepresentada por un senador en México, AntonioGarcía Torres, en febrero del 2001 y fue aprobadapor el Senado de la República.
Vamos a poner un ejemplo típico. Un esquemade opt-in el requerimiento de unconsentimiento previo y expreso de la persona,a la cual se van a tratar estos datos.
Por otro lado, también y dentro del contextolegislativo y como una política de carácterpresidencial, tenemos la promoción de lainversión de pequeñas y medianas empresas enese contexto.
¿Qué es lo que queremos hacer?
Estamos obligando a las empresas a utilizarmedios de promoción para las mismas, quepuedan generarle un mayor costo, porquerequerirá un consentimiento previo y expresode cada una de las personas, a las cuales lesenviarán la información, publicidad o esquemacomercial. Y, por otro lado, procuramos incentivarla inversión de estas empresas generándoles uncosto.
61
Otro esquema. El esquema de la prohibición alflujo transfronterizo de datos personales. Seestablece en la normativa que queda prohibidoel flujo transfronterizo de datos a entidades opaíses que no cuenten con un nivel deprotección, cuando menos equivalente al quese está planteando en ese contexto.
¿Cuál es el problema que tenemos? Contamoscon un Tratado de Libre Comercio con Américadel Norte, con Estados Unidos y con Canadá endonde se establece que no se va a limitar esteflujo transfronterizo de datos personales.
No estamos en contra de la legislación. Noestamos en contra del respeto a este derechofundamental de protección de datos personales,lo que buscamos es hacerlo congruente connuestro esquema jurídico.
ModeradoraModeradoraModeradoraModeradoraModeradora: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA–México.
Para terminar la doctora Katitza RodríguezPereda, Directora del Computer ProfessionalsSocial Responsibility –CPSR– de Perú. Su trabajoconsiste en analizar disposiciones sobrederechos de autor en el entorno digital,incorporados en el Tratado del Libre Comercioentre Estados Unidos y los países andinos, laspropuestas presentadas por los Estados relativosa los derechos de autor en las negociacionessostenidas en el seno de la OrganizaciónMundial de Propiedad Intelectual y lasdirectrices sobre la privacidad elaboradas en elsubgrupo de privacidad del Grupo de ComercioElectrónico, del Foro de Cooperación EconómicaAsia-Pacífico; también es responsable decoordinar los reportes de privacidad en España yLatinoamérica y de mantener comunicación conautoridades en protección de datos, funcionariospúblicos y organizaciones de la sociedad civil enIberoamérica.
El tema de su presentación es la protección dedatos personales y las medidas de proteccióntecnológicas, piratería de obras contra pirateríade datos personales.
Ponente:Ponente:Ponente:Ponente:Ponente: Katitza Rodríguez Pereda.
Antes de pasar a mi exposición, quisiera hacerdos precisiones; decir que como consumidoresdebemos exigir que las empresas antes de tratarnuestros datos deban exigirnos elconsentimiento previo, informado de queefectivamente deseamos que traten nuestrosdatos.
Segundo. Si hay países como los europeos quelos Estados se preocupan por proteger los datospersonales de sus ciudadanos, es justo que si ellosquieren hacer negocios con otros países, elmismo nivel de protección se les den a esospaíses.
En este panel sobre tecnologías de lainformación y su impacto en la privacidad voy atratar un tema importante pero poco conocido,salvo entre aquellos que siguen o han seguidode manera más o menos constante este tipo decasos.
Se trata de la recolección y tratamiento de datospersonales que se efectúa a través de las medidasde protección tecnológica o medidas deautotutela incorporadas a las obras protegidaspor los derechos de autor.
Antes de que irrumpiera en la vida diaria lastecnologías de la información y que sedifundiera el fenómeno de la digitalización, noexistía relación directa entre protección de datospersonales y derechos de autor.
Una adquiría un libro o disco, lo leía, releía, lohojeaba, escuchaba la música una y otra vez,todo ello en forma anónima. Hace 20 años noexistía cruce de caminos y menos colisión entreprotección de datos y derechos de autor.
Actualmente con el desarrollo de las tecnologíasde la información y en particular de las medidasde protección tecnológicas el vínculo entreambos derechos personalísimos se entrecruzacada vez más.
62
¿Qué sucedió en el entretanto? La digitalizaciónde las obras protegidas por derecho de autor, elabaratamiento de los medios de reproducción yla Internet han facilitado enormemente lapublicación, copia, distribución y comunicaciónal público no autorizada de obras protegidas porel derecho de autor, lo que ha originado que elíndice de infracciones a estos derechos seaelevado, y que exista perjuicio económico paralos autores y productores.
Lo que se ha traducido, a su vez, en unincremento sostenido y real de los niveles deprotección legal de los actuales modelos denegocio en este campo, llegándose al extremode utilizar el derecho penal, las más graves delas disciplinas jurídicas para reprimir conductasque discutiblemente son consideradas ilícitas.
Como los intentos por disminuir o detener lacopia no autorizadas de obras mediante loscauces legales han sido fallidos, ello dio pie a quelos titulares de derechos de autor optaran porimplementar las denominadas medidas deprotección tecnológica, orientada a auto tutelarsus derechos.
En términos sencillos las medidas de proteccióntecnológica son una suerte de candadosvirtuales que permiten restringir o controlar elacceso y/o uso de las obras protegidas por elderecho de autor. Estas medidas tecnológicaspueden estar en el sistema operativo, en elsoftware aplicativo, en el hardware o en unacombinación de ellos.
Generalmente cumple las siguientes funciones:controlan el acceso a la obra, impiden las copiasno autorizadas de las mismas, e inclusive la copiaprivada, que es un derecho del consumidor.
Autentica la obra con el titular de derechos deautor, e impide que la obra sea alterada,modificada, transformada.
Lamentablemente estas medidas de proteccióntecnológicas también suelen ser utilizadas porlos productores fonográficos y de audiovisuales
para controlar los usos que los consumidoreshacen, por ejemplo, de los discos, películas y librosdigitales.
Pueden registrar el número de veces que se veuna película, escuche un disco o lee un librodigital. Permite verificar si éstos son alterados,copiados, impresos, guardados y permitenrestringir, no, perdón, ellos dicen administrar elacceso de una obra.
En síntesis, para los titulares de derecho de autorla respuesta a los desafíos presentados por latecnología sólo puede estar en la propiatecnología. Sin embargo, las medidastecnológicas suelen operar violentando nuestraprivacía e irrespetando el tratamiento de datospersonales.
¿Qué ha pasado con el uso de algunas medidasde protección tecnológica? Pérdida delanonimato. Asistimos al desarrollo de una eraen la que progresivamente disminuye elanonimato, no por buenas razones o porque noshayamos convertido en famosos, sino porque nosestá siendo arrebatado por una cultura en la quenos solicitan que nos identifiquemos para todo,en particular para usar los bienes digitales.
Una vez que el anonimato se pierde, los titularesde derecho de autor argumentan que tienenderecho a explotar dichos datos, por tanto esnecesario reafirmar la necesidad de permitirtransacciones anónimas o con seudónimos enInternet. Esto ha sido establecido por el grupode trabajo del artículo 29 desde surecomendación sobre el anonimato en Internet,aprobado el 3 de diciembre de 1997, en el que seconcluye que el almacenamiento de datospersonales en la Internet tiene que respetar losprincipios de protección de datos personales, aligual que en el mundo “Of line”.
Otro tema. El Código de Identificación Único.Existen medidas de protección tecnológicas queasignan un código de identificación único alcontenido o al reproductor de contenidos, y queadjuntan información personal de los usuariospara la identificación y otros fines desconocidos.
63
Por ejemplo, el Media Player de Microsoft tieneembebido un identificador único global, quepermite rastrear a los usuarios. Similar al iBookReader, también de Microsoft, pide al usuarioactivar el software y vincularlo a una cuenta depassword.
Luego Microsoft captura una identificación dehardware único de la computadora de losusuarios.
El código de identificación único puedealmacenar los datos en un fichero, interconectarinformación personal de diversa índole yvincularla, por ejemplo, como informaciónfinanciera, obtenida al momento de pagar contarjeta de crédito o personal, dirección de laoficina, casa, teléfono y mail.
Tercer punto. Recolección innecesaria,información personal, gustos y preferencias deconsumo.
Algunos candados tecnológicos van más allárecopilando información personal sobre loshábitos y preferencias de consumo y no sólosaben quién es usted o quién puede ser usted,sino cuantas veces repite la misma escena deuna película, qué partes de la película,información que almacena nadie sabe porcuánto tiempo.
Windows Media Player, crea un fichero log,registro, del contenido de las visitas de unusuario IP a un servidor central para obtenertítulos de contenidos.
Según el Electronic Privacy Information Centerel vincular la información personal identificablecon el contenido puede traer comoconsecuencia una discriminación en el precio,ésta es la venta de un bien digital a preciosdiferentes a consumidores diferentes.
En el caso, por ejemplo, de Napster To Go, elusuario realiza un pago mensual que le otorgaacceso ilimitado a una biblioteca de archivosmusicales al que puede bajar y transferir músicaa otro equipo.
iTunes de Apple, vende track individuales demúsica y los archiva en un álbum, música quesólo puede ser tocada en un equipo específico.
En ambos casos las medidas de proteccióntecnológicas permiten llevar un control de lasactividades del consumidor, frecuencia, ordendel uso de las canciones, entre otros, informaciónque nada tiene que ver con el fin primario deproteger los derechos de autor, sino que sonrecogidas para fines comerciales de marketingdirecto o cualquier otro interés que pueda tenerla industria.
En suma, el uso de medidas de proteccióntecnológica que no respeta los principios básicosde privacidad configuran una situación, por unlado, de ejercicio abusivo del legítimo derechoque tienen los titulares del derecho de autor aproteger su obra, pero que además es trasgresorde los principios de protección de datospersonales.
En otro contexto muchas de estas medidas deprotección tecnológica serían consideradasspyware.
En conclusión, para suprimir la piratería de obrasprotegidas por el derecho de autor no debeapelarse a la piratería de datos personales.
ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA–México.
Si la mesa me lo permite podríamos dejar unos10 minutos para responder preguntas.
PrPrPrPrPreguneguneguneguneguntatatatata: Mi nombre es Tlacaí Jiménez, soy eltitular de la Unidad de Transparencia eInformación del Instituto Electoral del Estadode Jalisco.
Mi pregunta es para los señores José RubíNavarrete y Alfredo Reyes Krafft, si pudierandarme su opinión y versa respecto de algo queen lo personal me pasó hace unos días; comofuncionario público lógicamente tengo unadirección de correo electrónico, pero desde hace
64
varios años vengo manejando una cuentapersonal en Yahoo, esta compañía tiene, los quesomos usuarios de ella, convenios con Northonpara antivirus y un filtro anti Spam.
Hace unos días revisando mi correo veo un títuloque dice invitación a foro o invitación a congreso,no recuerdo ya bien las palabras, me llamómucho la atención y lo abrí, normalmente no lohago cuando no reconozco la dirección de quienme envía el correo, sin embargo, lo abrí einmediatamente se activa el antivirus, me diceque es un archivo de JPG que no implica, no tienevirus, lo abro y era una presentación muy bonitade unas conferencias, ya no recuerdo ni el tema,pero me llamaba mucho la atención que no podíayo identificar quién me lo estaba mandando,tanto el tema, como supuestamente la direccióneran la misma, decía invitación a foro, pero luegode ver y de checar las fechas y de qué se iba atratar, hasta abajo venía una leyenda que decía:“Este correo no es publicidad comercial, por lotanto, no constituye Spam y es único y exclusivoy no se le van a seguir generando o mandandoeste tipo de correos”.
Entonces, me llamó muchísimo la atención pordos situaciones: Primera, ¿de dónde tomaron midirección de correo electrónico?; segunda,¿quién me lo mandó?; y, tercera, si esa leyendaefectivamente podríamos considerar que eso noes Spam.
Del contenido del mensaje, uno de losorganizadores decía que era el ITESO, el InstitutoTecnológico de Estudios Superiores deOccidente. Entonces quiero suponer que por allívenía la pista de dónde me mandaron esainformación. Pero no encontré yo ningunadirección y esa leyenda que me llamó mucho laatención.
PonentePonentePonentePonentePonente: Alfredo Reyes Krafft.
Te voy a contestar en dos planos: En un primerplano como abogado y en ese contexto lo quequiero preguntarte es, seguramente tú, almomento de contratar inicialmente el serviciode Yahoo, seguramente leíste el contrato y al
momento de leer el contrato pusiste tus datos ydefiniste un compromiso, hay un acuerdo devoluntades.
Y dentro del apartado o algunos apartados deeste contrato, específicamente se establece laposibilidad de que el propio Yahoo o terceros quecon él contraten, puedan enviarte publicidad oasuntos en ese contexto. Esa es una parte.
Y dentro de ese contexto habría que verlo, si nosvamos a un estricto purismo.
Dos. Hay un error grave porque no sigue lo relativoo lo que establece la Ley Federal de Protecciónal Consumidor, en relación al envío de datos.Debe de identificar quién es el que estágenerando el envío.
Y esa leyenda que dice al final, pues la verdad esque no tiene mucho sentido, cuando menos enlo que es la normativa mexicana, de inicio.
Ahora, ¿a qué quiero llegar? Es importante elesquema de Spam. Dentro del contexto de Spamqueda claro, es un riesgo, es un vicio muy grande,pero ninguna legislación va acabar con el Spam,¿para qué nos hacemos patos?
Es decir, por más que queramos hacer unalegislación restrictiva y prohibir el uso en un paísen particular el Spam, pues lo que va pasar esque probablemente las empresas que generanmercadotecnia, que pagan impuestos y que lohacen de acuerdo con la ley, no lo van a poderseguir haciendo, porque va a haber un control yva a haber una restricción muy objetiva, por partede la propia legislación.
¿Pero tú crees que dejarías de recibir por ello esosmensajes? No. Los vas a recibir y van a partir, puesyo no sé si China o de alguna otra entidad.
Entonces, ¿qué es lo que tenemos que hacer?
Establecer esfuerzos muy grandes, en un planointernacional. Estoy completamente de acuerdoque es necesario contar con una legislación adhoc, pero tenemos que hacerla congruente con
65
la propia industria: Uno, Yahoo o el prestador deservicios de Internet no necesariamente es elmalo contigo. Y en relación con ese puntodebemos de adecuar perfectamente bien quées a lo que nos referimos por Spam, tomar unadefinición muy clara y muy precisa al respecto.
Porque la distinción entre Spam y lo que seríamercadotecnia directa es muy pequeña.
PonentePonentePonentePonentePonente: Jesús Rubí Navarrete.
Me alegro de la pregunta y además de quetengamos debate, porque algún matizdiscrepante vamos a tener en la propia mesa.
Efectivamente, en el entorno europeo este tipode comunicación sólo es posible con unconsentimiento previo y expreso.
Y además hay un problema adicional, que es queaunque uno celebre un contrato legítimamentecon una empresa que le provee de un servicio,en este contrato lo que no es posible es incluircláusulas vinculantes, como las relativas a lacesión de datos a terceros o la utilización parafines indeterminados, como es la publicidad o lapromoción comercial, que se puede referir acualquier tipo de actividad, de forma que pasena formar parte del contenido esencial de esecontrato.
Si ese contrato es la prestación de undeterminado servicio a la sociedad de lainformación, ¿qué tiene que ver con el objeto deese contrato el compromiso ineludible desiempre y en todo caso tener que asumir laposibilidad de que se reciba publicidad propia ode terceros?
Esto es contrario al principio de calidad de datosy es contrario al principio de finalidad.
Y, en el ámbito en el que trabajamos cabe laposibilidad de revocar ese tipo de cláusulas y, ensu caso, esto ya no es una cuestión de protecciónde datos, de llevar a los tribunales hasta quépunto son congruentes con la finalidad delcontrato.
Y el hecho de que se produzca, creo que no sepuede comparar a la hora de hacer valoracionesen esta materia, el hecho de que hayatratamientos ilícitos con las empresas quetratan de realizar tratamientos lícitos.
No se puede justificar que las empresas quequieren realizar tratamientos lícitos tengan unmargen de maniobra superior, porque sino, entodo caso, recibiremos tratamientos ilícitos dela información. Y como da lo mismo porque losvamos a retribuir igual, pues ampliemos el campode trabajo o reduzcamos el sistema de garantíascuando se pretende hacer un tratamiento ilícito.
Es verdad que hay que buscar una situaciónequilibrada, pero ese equilibrio no puede tenercomo punto de referencia la conducta de los queactúan ilegalmente.
Y en lo que se refiere a la leyenda, efectivamentees necesario delimitar qué es Spam. En lalegislación de la Unión Europea el Spam searticula como una comunicación de caráctercomercial directo o indirecto.
Probablemente esta promoción que ustedrecibió, desde el punto de vista de esa normativatendría que ser considerado Spam, auque el quela emite voluntaria o directamente por sí mismoasegure que no lo es.
PonentePonentePonentePonentePonente: Katitza Rodríguez Pereda.
Yo quisiera dar una sugerencia como consumidoro ciudadano mexicano.
¿Actualmente se están discutiendo proyectos deley en tu país en México sobre este tema?
Sería bueno que tomen conciencia para que seincluya el conocimiento previo informado quetal vez algunos sectores como la industria noestán interesados en preservar en la ley, que todoel mundo nos involucremos y que también queseamos conscientes que en casi todas lastransacciones que realizamos día a díadepositamos y soltamos nuestros datospersonales que pueden ser utilizados e
66
incorporados en una base de datos einterconectados con otras bases de datos.
Muchas veces el tratamiento de datospersonales es invisible al ciudadano, elciudadano no sabe que ha sido marginado. Unova a una entrevista de trabajo y te dicen no, note contrato. Y el empleador tiene toda una basede datos y por ahí ha visto tu récord médico y araíz de eso ha tomado una decisión de nocontratarte.
Tú nunca te vas a enterar porque eso a veces esinvisible al ciudadano. Entonces hay que serconscientes y responsables en todo momentoque uno entrega o llena una forma, una ficha,que rellena sus datos con su nombre, teléfono ypensar si efectivamente esos datos sonimportantes para el servicio que estácontratando o le están pidiendo informaciónadicional. Eso es todo.
PrPrPrPrPreguneguneguneguneguntatatatata: Alejandro Coto. TEC de Monterrey.
Yo tengo un par de reflexiones que quiero hacerjunto con la mesa y, con todo respeto que semerecen, pero yo siento que el tema de Interneten estos últimos 20 años se ha venidoautorregulando y el Spam, se va a autorregulartarde o temprano. Y yo quisiera observar que enlo personal, Alejandro Cota, no agrede un Spammis datos personales, al menos de que haya dadomi dirección de correo, pero soy muy libre decambiarlo cuantas veces quiera y de cambiarmede proveedor.
Sin embargo sí me extraña y me llama laatención que no estemos cuidando el hecho dela identidad. Uno de los crímenes más fuertesque hay al día de hoy es el robo de identidad yeso sí está agrediendo mis datos personales, y elrobo de la identidad no se debe a quién le di o nole di mis datos, si no se debe a cuál es el nivel deseguridad que les estamos solicitando nosotroscomo sociedad o nosotros como esta red que seestá formando, a las dependenciasgubernamentales o todas estas organizacionesa las cuales nosotros les damos la información.
Hay organizaciones internacionales en el áreade Estados Unidos o ITSEC en el área de Europaen donde sí marca niveles de seguridad de lossistemas de información.
Entonces a mí me gustaría saber qué es lo queopina la mesa al respeto, porque yo sí esperaríaque la mesa estuviera preocupada por ver cuálesson las medidas de seguridad que estaríamossolicitándole a las organizaciones que poseanestas bases de datos, porque creo que esinevitable que las tenga.
Hoy, después del terrorismo que estamos viendoen el mundo, la identidad es fundamental.
Cuando yo llego a un aeropuerto y casi medesvisten y me piden mi pasaporte y revisan quesea yo quien digo ser, me da seguridad de subirmeal avión al que me voy a subir, de lo contrario medaría miedo hacerlo. Sin embargo, qué tanto estáagrediendo realmente mis datos personales encontra de la seguridad que todos queremos vivir.
Entonces, vuelvo a plantearlo. ¿Cómo vamos ahacer para que estas organizaciones que poseenmis datos personales realmente tengan nivelesde seguridad de los más altos?
Hoy en día los sistemas de identidad de losgobiernos no se preocupan por estos niveles deseguridad.
En México estamos viviendo un proceso, que nosé si se va a llevar a cabo o no. Hacienda esprecursora en esto, que era la cédula de identidadpara el país.
Sin embargo el nivel de seguridad que estabanplanteando en sus estándares era nulo. Nadamás decían que hubiera un nivel de seguridad,un estándar internacional, cuando esconsiderado por Garner Group y por todas lasgrandes empresas que se dedican a investigarestos rollos, que el nivel de seguridad debería deser un ITSEC E6, que es el nivel más alto al día dehoy en seguridad. Y esto no está casado conninguna tecnología.
67
Entonces, dejo mi preocupación en la mesa.
ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA–México.
Turno la pregunta al que la quiera contestar, perosí quisiera hacer un brevísimo comentario.
La cuestión del terrorismo, que se acaba demencionar, ese es el gran conflicto que me da laimpresión de que no nos hemos concientizado yque sí va a hacer falta por parte de la sociedadcivil, académicos, universidades, y nosotros losabogados también, que hagamos énfasis en ellímite que debe de haber precisamente entre loque es la cooperación judicial para efectos decombatir el terrorismo, el narcotráfico, lavado dedinero, tráfico de personas, tráfico de emigrantes,etcétera, y el respeto a lo que son los derechoshumanos de los individuos, porque so pretextode proteger precisamente ciertos intereses, laverdad es que se alude en la exposición demotivos de estas convenciones internacionales;por ejemplo la de Delincuencia Organizada, quelos Estados han perdido control y autoridad, yque entonces la única manera es convencer alos que llaman arrepentidos, que son los quefinalmente forman parte del grupo, que sonnarcotraficantes, o en fin, cambiarles suidentidad, darles una vida distinta, ahí está todala temática.
Y ya con eso gozan de impunidad y finalmentepueden combatir con los datos que les dan alresto de los integrantes del grupo, ya se habladel grupo delictivo. En estas situaciones no hayrespeto, jamás se alude en esta ConvenciónInternacional del respeto a la privacidad.
El secreto bancario, expresamente se dice: Noopera para esos efectos. Ya con eso uno se puedeimaginar que no hay mucha protección ante lacual argumentar frente a precisamente esosesfuerzos internacionales en materia penal,sobre todo terrorismo y narcotráfico, que hacende lado totalmente los derechos de la personahumana.
Yo me acuerdo que en un foro de discusión sepresentó la iniciativa del Presidente, en materiapenal, precisamente se distinguían dos tipos deindividuos: los que cometen delitos graves y losque no. Los graves no gozan de ningún derecho,se permite la denuncia anónima. Obviamenteno se le informa cuál es la causa de la denuncia,vemos que goza del derecho de la presunción deinocencia, en fin, no hay derecho a la privacidad,exactamente igual que en la época de laInquisición, más o menos ahí podemos ubicar alos que suponen o presuponen que sondelincuentes.
Sí hay que tener claro que en estos momentosde presentarse una iniciativa por el buenmanejo de los datos personales hay que tomaren cuenta que además del buen manejo y losotros objetivos que se tengan, que es mejorar elcomercio internacional, el combate anarcotráfico, la transparencia, etc., finalmentelas normas jurídicas están destinadas paragobernar a individuos, a personas y no ainstituciones, bueno, obviamente instituciones,pero el principal gobernado, objeto de la normason individuos y si no se van a respetar susderechos humanos las cosas no andan bien.
PonentePonentePonentePonentePonente: Alfredo Reyes Krafft.
Yo quisiera nada más comentar una cosa muypequeña y es en relación al tema que túplanteaste, es decir, estás hablando de robo deidentidad, en dónde va a constar esta identidad,es decir, hoy por hoy una identidad puede constaren una credencial que me puede emitir unaautoridad y si yo robo esa credencial o la falsifico,pues de alguna manera estoy usurpando tuidentidad.
También esa identidad puede constar en undato, en un dato pero no necesariamente todoslos datos constituyen una identidad y yo creoque aquí habría que hacer un cierto distingo,obviamente es muy importante tipificar comodelito, pero no todos los datos que puedo tenerreferidos a ti van a constituir tu identidad.
68
Y tercero, otro medio para poder identificarte opara poder definir tu identidad es a través de unesquema biométrico, es decir, conocer que túeres tú a raíz de la aplicación de una huelladigital o el iris de tu ojo.
El problema que existe en la práctica en relacióncon esos elementos es que no existe un estándarhoy por hoy en la materia.
Entonces, mi huella digital a final de cuentas seva a traducir en un dato, en un uno o cero, y enese sentido, pues, corre el riesgo de que pudieraser apropiado por un tercero e interactuar en minombre.
Entonces, obviamente se debe de interactuar,se deben de establecer penas muy fuertes enese sentido y se deben establecer criterios, claro,de custodia de todos aquellos datos que puedanservir para identificarme, que acrediten dealguna manera directa o indirecta la identidad.
Completamente de acuerdo contigo.
PonentePonentePonentePonentePonente: Jesús Rubí Navarrete.
Yo le diría en lo que se refiere a la parte deseguridad. Efectivamente hay que buscarequilibrios en todos los casos, por ejemplo, en elcaso de las investigaciones criminales, nosotroshemos tenido atentados tremendos en Madridque han implicado su resolución, el tratamientode determinados tipos de datos decomunicaciones electrónicas.
Pero ese equilibrio se puede contar, se puedeencontrar, hemos estado analizado qué tipos dedatos son los necesarios para poder realizar esetipo de investigaciones, cómo no es necesarioacceder al contenido de las comunicacionespara hacer ese tipo de investigaciones, hemosestado analizando para qué finalidades sepueden permitir esos accesos, porque no es lomismo permitir acceso a determinadainformación para perseguir el terrorismo, quepoder utilizar esa información, pongamos porcaso absurdo, para perseguir sanciones de tráfico.
Entonces, aunque todos sean fines de interéspúblico, hay que acotar las finalidades y hay queestablecer plazos máximos, en su caso, deltratamiento de esta información.
¿Y a qué lleva todo esto? Pues a que desde elpunto de vista de la seguridad es imprescindibleque las medidas de seguridad sean de un nivelelevado, por dos motivos: Primero, porque estauna información muy sensible, inclusive desdeel punto de vista de quien la utiliza para hacerinvestigaciones criminales y si se producenalteraciones en esa información, las propiasinvestigaciones criminales pueden fracasar. Portanto, hay que mantener íntegra la informacióny eso exige un nivel de seguridad elevado.
Y, en segundo lugar, porque hay que controlaradecuadamente quiénes son los usuarioshabilitados para acceder a esa información ypoder evaluar e impedir que accedan, porejemplo, nuevas ideas sobre el terrorismo,usuarios no autorizados, y ellos nos vuelva allevar a la necesidad de que las medidas deseguridad sean de un nivel elevado.
No se pueden poner en marcha proyectos queimplican un riesgo desde muchos puntos devista, no sólo desde la protección de datospersonales para el tratamiento de lainformación, si no se está dispuesto a asumir quetienen que tener unas medidas de seguridadtécnica y organizativa de un nivel elevado.
69
Desarrollos NormativosDesarrollos NormativosDesarrollos NormativosDesarrollos NormativosDesarrollos Normativosy Globalizacióny Globalizacióny Globalizacióny Globalizacióny Globalización
Mesa 3:::::
ModerModerModerModerModeradoradoradoradorador: Isidro Cisneros. Profesor Investigador de la Facultad Latinoamericana de CienciasSociales –FLACSO– México.
Está tarde nos acompañarán el doctor Juan Antonio Travieso, Director Nacional de Protección deDatos Personales de Argentina; David Banisar, Director Adjunto de Privacy Internacional del ReinoUnido; Jesús Orta Martínez, Director General Adjunto de Operación de la Secretaría de Economíade México; Juan Pablo Pampillo Baliño, Director Jurídico de IBM de México y Roberto AndradeMartínez, Gerente de Contratos de Telefónica Móviles-México.
CCCCConfonfonfonfonferererererencia Magistrencia Magistrencia Magistrencia Magistrencia Magistral:al:al:al:al: Juan Antonio Travieso.
Ante todo voy a agradecer, como es habitual, a los organizadores, por supuesto a María Marván conesa fuerza, con ese talento; a los amigos de España, a José Luis, a Jesús, siempre cuando uno tieneamigos les dice por su nombre. Así que es la forma habitual de poder tratar a esos queridos amigos,a José también, a todos los que siempre luchan y realmente están en una cruzada muy importante.
Hoy me voy a referir a dos temas que aparentemente son absolutamente difíciles de poder unir queson: los desarrollos normativos y la globalización, en realidad voy a invertir los términos. Vamos ahablar primero de la globalización, que es el gran tema y que tiene que ver con la reunión que eneste momento se está realizando en la ciudad de Mar del Plata en la Argentina, donde precisamentelos países de América estamos discutiendo el esquema con relación a América y estamos pidiendonuevas condiciones que tienen que ver fundamentalmente con los subsidios.
Hace pocos años que estamos percibiendo un cambio en la sociedad nacional e internacional.
Hay un terremoto que sacude al Planeta: terminó la guerra fría, estamos en la guerra caliente de laeconomía. Estamos en plena época de la globalización y sucede que hace pocos días leía un artículoen que las situaciones que esta globalización hace que los viejos estén más jóvenes que nunca, noes mi caso, y los jóvenes son más viejos que nunca.
En los unos se perciben las alegrarías chispeantes de la biotecnología. En los otros, la prudencia y elcálculo anticipado; de responsabilidades, nada, vivimos la vida en tiempo real, no hay tiempo para
70
otra cosa. Esta situación se denomina hoytecnonihilismo en lo que estamos viviendo y loque tiene que ver básicamente con laglobalización.
Y la herencia del nihilismo del siglo pasado enlas sociedades tecnológicas del nuestro no es yaun nihilismo hacia atrás, sino hacia delante.Antes indicaba el colapso del pasado, ahora es elcolapso del futuro.
Es decir, la globalización se presenta entoncescon unos enormes desafíos y con unos enormesriesgos. Nos encontramos con verdaderasApocalipsis, las dos variantes más temidas: laamenaza terrorista y verdaderamente el futurocomo desilusión.
Esto tendría que ver parcialmente con laprotección de datos, porque la protección dedatos en la globalización es un detalle más, es eltema de la soberanía, es decir, cómo vacambiando y cómo los nuevos ejes en el Estadonación en la actualidad pueden entenderse enuna forma distinta en los que los datospersonales van a jugar un rol protagónico.
El eje económico, el eje tecnológico, el ejeinformático, dinero electrónico, capitalespeculativo y el eje de las comunicaciones,fundamentalmente el de Internet. Esto planteanuevos paradigmas con la posibilidad deredefinir al Estado.
He escrito hace unos años en que la forma depoder encontrarle la solución a todas estascuestiones es a través de plantear laglobalización desde un criterio pentagonal. Elcriterio pentagonal, no quisiera ser calificadocomo un intelectual burocratizado.
Recuerdo que decía Ortega que la tarea delintelectual siempre es tomarle el pulso a sutiempo.
Y esta globalización en la que los ricos cada vezse llevan más y los pobres menos; la clase mediase va vaciando lentamente, se está generandouna inestabilidad, quizá un proceso de
discontinuidades en la que la cuestión social nopuede soslayarse cuando un 20 por ciento selleva el 80 por ciento de los ingresos.
Y por eso el Plan A, para entender la globalización,es entenderla desde un criterio pentagonal queconsistiría en un enfoque crucial de la pobreza,el empleo, la distribución de la riqueza, la nocontaminación que tiene que ver con losdesastres ecológicos y el desarrollo del conceptode ciudadanía el que nos subimos acá entoncescon la protección de datos.
¿Qué es la ciudadanía? En realidad es laposibilidad que existe desde mediados del sigloXX en la cual se presenta la condición de lossujetos para pasar a considerarse como unacapacidad para el ejercicio de los derechos.
Un ciudadano o una ciudadana construyen suciudadanía en su relación con el Estadoresponsable de garantizar ese ejercicio.
Con sus políticas públicas el Estado fortalece odebilita la ciudadanía de sus habitantes,promoviendo o no el respeto, la accesibilidad, ladifusión, la participación y el control de susderechos que también implica, por supuesto, laprotección de datos personales.
Lo que sucede en esta época, sobre todo enAmérica Latina, es que nos encontramos con unasituación enormemente dispar y complicada.Pero más allá de eso, también, con relación a lainformación y la informatización nosencontramos en que hay una nueva forma deinterpretar el mundo. Hoy el tema es el mundo,es el mensaje, ahora el medio es un byte, estácomprimido, está sintetizado, excede elpanorama de lo que puede ser un diario. Ya undiario es una información hasta pretérita.
No hay una transmisión diaria, sino que latransmisión es en segundos. No hay tiempo parala reflexión. Es la época del tiempo real, pero hayalgo más, porque asimismo ante el nuevoesquema tiene relación con el esquema de lasrelaciones de producción.
71
En la sociedad industrial todo se medía a travésde relaciones de producción y la atención entrecapitalistas y trabajadores. De ahí salían losganadores y perdedores.
En el sistema de información, lo que impacta esla exclusión y no la explicitación. El tema no essi uno es o no explotado, sino el problema es siuno tiene acceso al flujo de información o no.
Aquellos que no acceden al flujo de informaciónson los nuevos desarraigados del siglo XXI y losfuturos desaparecidos del siglo XXII, los incluidosson los que se conocen cara a cara en la ciudadglobal aunque no se hayan visto nunca.
Ante esta situación, para poder entender unaprotección de datos que atienda esa realidad sedebe tener en cuenta lo que algunos autoreshan llamado las tres nuevas lógicas rectoras.
La primera, que lo nacional es desplazado por loglobal, y eso sucede en cuanto aspectosfinancieros y tecnológicos como los que mereferí al principio cuando dije acerca de los ejes.Y en el plano político las institucionessupranacionales que sustituyen a lasinstituciones del Estado nación.
La segunda es la lógica de la información, quesustituye a la lógica industrial.
La tercera es el desplazamiento de lo social porlo cultural, como se trata de una sociedad deflujos, los flujos están compuestos de bienessimbólicos o culturales con una declinaciónintensa de las instituciones, tales como lasiglesias y los partidos políticos.
Lo que importa no es la relación dentro de lainstitución, sino la relación interpersonal y aquí,entonces, se produce el cambio de paradigma,se materializa un nuevo paradigma. En realidad,el nuevo paradigma es el derecho a estar a solasen compañía de los demás, una sociedad conautoridad que en su expresión más extrema sepresenta en la persona conectada por Interneten un Chat sin rostro alguno, compartiendo todos
sus datos incluso, su propia identidad con ungran hermano que lo vigila todo.
También verificamos que la protección de datospersonales tiene un desarrollo de décadas y severifica dentro de un amplio cambio deparadigmas de los cuales esta reunión es laexpresión más cabal.
En consecuencia, entonces, lo que importa esque hay un enfoque alternativo que tiene quever con esta nueva sociedad del siglo XXI en lacual le tenemos que agregar esa ecologíainformática, la protección de datos es lo que leagrega ese plus para la ecología informática.
Entonces, la clave sería incentivar el flujo dedatos y la información, pero al mismo tiempoconcienciar, como se está haciendo aquí, acercade la protección de los datos personales.
La prueba es encontrarles la solución a todosestos modelos y sabemos perfectamente quehay cuatro modelos fundamentales para laprotección de la privacidad.
El primero es el de las leyes de marcos, en el queuna ley comprende la captación, el uso y ladiseminación de información personal de lossectores públicos y privados, este es el esquemapreferido por Argentina y la mayor parte de losestados europeos, otros países como Canadá yAustralia usan un modelo de corregulaciónmediante el cual la industria adopta reglas parala protección de datos personales que luego soncontroladas por la propia industria y losorganismos de control.
El segundo modelo es aquel que evita la sanciónde una norma general y propicia reglassectoriales, como es el caso de Estados Unidos.
Cabe resaltar que este es un sistema que implicaintroducir normativas para lograr estándares deprotección.
El tercer sistema es el de autorregulación.
72
Yo creo que este primer enfoque, que es elenfoque general y el marco conceptual, desearíaparticipar con ustedes de algunas experienciasque he vivido en mi función como DirectorNacional de Protección de Datos Personales.
En primer lugar, debo decir que la Argentina,igual que en todos los países del área, la únicaley, la ley que más se cumple, la ley que más seobedece y se cumple es la ley de gravedad.
Y fundamentalmente la clave de todos, es unaclave casi colonial, que es: la ley manda, pero nola cumplo. Por eso, el otro día cuando entreguélos certificados de inscripción, uno a uno fuientregando a los distintos actores que habíanrecibido y que habían sido calificados como parapoder tener su certificado, cada uno de ellos medijo: gracias.
Yo realmente no pude reprimir la emociónporque sentí, gracias por qué, porque lo que estánhaciendo ustedes es simplemente cumpliendocon la ley.
En un lugar donde no se cumple ninguna ley,como en todos nuestros países, yo no quierohacer autocrítica de la Argentina, la clavenuestra fundamental es el irrestrictocumplimiento de la ley y fundamentalmente nosolamente tenemos eso, sino que además, leagregamos otros problemas, en algunos paísesnuestros tenemos regímenes federales condistintas autonomías, donde le vamosagregando más inconvenientes o másproblemas, más condimento a esta ensalada.
Y ahí se produce esa interacción mutua, endonde es necesario atender al marcoconceptual, pero también atender a latransversalidad de los temas.
Yo creo que más que una conferencia el mismoprograma que ilustra la realización de esteseminario, de este Encuentro, es la expresiónmás clara, más patente de lo que es unaglobalización, una intersección y unatransversalidad de cumplimiento de acciones.
Les digo básicamente que he recibido lainfluencia y no tengo ningún problema endecirlo, la influencia muy benéfica de lalegislación española, en especial mi país harecibido la influencia en cuanto a la política yejercicio de la protección de datos, hemosrecibido la influencia también de casi todaEuropa y también participamos con muchos delos criterios de protección de Estados Unidos, encuanto a la protección del consumidor.
Debo decir también que en todos los momentos,cuando se organizó, cuando se está organizandolo que yo llamo los cuatro motores: motornúmero uno, el Registro Nacional de Base deDatos Privadas. He recibido la influenciabenéfica, los aportes, los consejos de las distintasautoridades, en especial de la autoridadespañola, que siempre nos ha acompañadoprácticamente como una sombra de nuestradirección, una sombra benéfica, no una sombramala.
Debo decir también que tanto en las sanciones,fíjense ustedes, a veces es importante copiar,pero no copiar del todo. El primer acto de mioficina fue dictar la norma sobre las sanciones yla copié, porque a veces dicen “es mejor noinventar la pólvora”, pero a veces es necesarioinventar la pólvora, aunque uno se queme unpoco.
Y precisamente en la primera parte apliqué esanorma de sanciones y hace pocos días firmé unanueva norma de sanciones mucho más elástica,mucho más práctica, mucho más funcional.
Estoy al borde de cambiar el procedimiento,hacer un procedimiento que asegure losderechos para las dos partes.
Si ustedes me permiten, les voy a dar un consejoa los que no tienen ley: Traten de hacer, lo hagocon toda humildad, traten de hacer de que la leyno sea el objeto de una expresión autoritaria, deun sector o de un grupo de iluminados, sino quela ley o las disposiciones sean exclusivamenteel objeto y el motivo de una discusión razonadaentre distintos sectores en pugna.
73
Incluso es muy bueno aquellos que no opinancomo nosotros; nos facilitan, nos dan ideas, nosaportan creatividad, nos aportan modernización.
La crítica es fundamental y para esto cuento conel bagaje de ser un profesor universitario, endonde la crítica para nosotros es fundamental yeso, entonces, me permite poder actuar en unmarco de formación participada de normas.
Así lo hice cuando fui Jefe de Gabinete de laSecretaría de Justicia y se dictó el primer decreto.Todo el mundo participó, todo el mundo aportó,así lo estoy haciendo ahora con las normas deseguridad, que incluso las he metabolizado adistintos sectores y, por supuesto, también a laautoridad española, que me dio bastantesconsejos sobre la forma de implementarla.
Y al mismo tiempo también ejercitamos laglobalización. ¿Cómo? La globalización empiezapor casa, empieza con los cuatro motores; sigueen las provincias, en las provincias conectadas.Tenemos 400 puntos de denuncias y reclamospara derechos de supresión, de rectificación dedatos, en todas las oficinas que pertenecen adefensa del consumidor. Se ejecutan esasdenuncias y esas denuncias pasan a nuestraoficina, para que sean también analizadas.
Otro consejo que me permito darles con todahumildad es: Utilicemos las acciones del Estadoen forma eficiente. No nos quedemosdirectamente en que la oficina es un círculocerrado, un castillo de marfil, utilicemos todaslas distintas acciones.
Fíjense ustedes, ahora viene, por ejemplo, eltema de las inspecciones. ¿Cuántos inspectoreshay que tener en la calle?, en un país en que laúnica ley que cree y que se aplica es la ley degravedad. Ustedes dirán: cuatro mil. Sí,efectivamente, hay que tener cuatro milinspectores.
¿Y cuánto cuestan cuatro mil inspectores?Bueno, en este momento estamos efectuandoun acuerdo con distintos sectores de la sociedad,para que tengamos inspectores que actúen para
nosotros y que nos digan si está inscrito o noinscrito que es la primera parte, para elcumplimiento de estos temas.
Pero la globalización no termina allí, sigue en elMERCOSUR. Tenemos que influir en los ámbitoscercanos con nuestros vecinos.
Todos ustedes son vecinos, todos ustedes soncompatriotas de la gran patria americana. Perotambién tenemos que incentivar en los ámbitosen los que estamos desarrollando la integracióncomo, por ejemplo, en el MERCOSUR, criterios depolíticas, criterios de estructura en cuanto a laprotección de datos.
En este sentido estamos trabajandoactivamente en el Subgrupo de Trabajo número13 de comercio electrónico, con un texto que alprincipio fue el texto argentino y hoy en día esetexto es brasileño-argentino, hemos incluido unnuevo eje en el esquema, que me permiteagregar, a nivel internacional, en cuanto anuestro sistema de MERCOSUR y de integraciónlocal, agregar fundamentalmentetransversalidad y calidad institucional.
Porque fundamentalmente, en ese sentido,nosotros hemos tratado de establecer cuatropuntos fundamentales, que son el tema de losdatos sensibles. Y en datos sensibles no hemostenido la tentación directa que es el de aplicarcomo una autoridad de control, sino conjugar,tener en cuenta que atrás de cada dato sensibleno solamente estamos protegiendo a unapersona, sino que también estamos protegiendoindustrias que son muy importantes para eldesarrollo de nuestra economía. Y del desarrollode nuevos medicamentos. Es decir, tenemos queconjugar ese sistema mediante el cual noprovoquemos el síndrome del elefante en unbazar, que por el hecho de controlar rompemostodo.
Siempre recuerdo consejos de autoridades decontrol que me decían no hay que serfundamentalista en materia de datospersonales, hay que ser constructivista, hay queconstruir, hay que trabajar.
74
Hoy escuché una excelente conferencia acercade transferencia internacional sobre la cuestiónen la Unión Europea y en el mercado interno,estamos aplicando las mismas reglas copiadas,ahí sí hacemos marketing de la Unión Europea,copiamos incluso las mismas fórmulas paratransferencia internacional idénticas, noinventamos nada, no inventamos la pólvoraporque la pólvora ya está inventada, muy simple,y además esto genera negocios, generadesarrollo, genera crecimiento y creatividad.
En cuanto marketing directo. Hace pocos díasestuve en Atlanta en un seminario, en uncongreso de marketing directo. Yo realmente selos digo desde mi humilde punto de vista, noconocía que era tan importante el marketingdirecto, marketing directo es el 10 por ciento dela economía norteamericana, mil 230 millonesde millones de dólares; la economía argentinason 150 mil millones de dólares.
Y el congreso éste estaba integrado por 11 milpersonas. Es decir, 11 mil personas donde uno leestá diciendo a ellos, ojo con los datos personales,no molesten a la gente con el telemarketing.Recuerden ustedes que con el telemarketing yahay anotadas cien millones de personas en elno me llamen.
Es decir, hay un esquema en donde tambiénpodemos ser útiles, al mismo tiempo que somosútiles y que estamos agregando creatividad.Estamos, también, no solamente protegiendo alas personas, que es nuestra obligación principal,sino protegiendo el trabajo, la actividad denuestros compatriotas y la creación de riquezay, por supuesto, la información crediticia que esel otro sector que es en donde estamosprecisamente desarrollando una acción deprotección a las personas y de mantenimientode criterios lógicos.
Debo decir que les agradezco mucho poder haberhecho esta combinación tan difícil entre laglobalización y el desarrollo normativo.Disculpen que he hablado de mi persona, perorealmente es lo que más conozco o lo que másdesconozco, pero lo he hecho precisamente con
el ánimo de poder construir o de aportar algúntipo de solución.
No los dejen solos, un último consejito si mepermiten, no dejen solos a los legisladores, loslegisladores no son dioses. Mañana cualquierade nosotros podemos ser legisladores ynecesitamos el aporte de todos y cada uno;llévenles aportes, llévenles soluciones, porque ellegislador está esperando estas cuestiones.
ModeradorModeradorModeradorModeradorModerador: Isidro Cisneros. ProfesorInvestigador de la Facultad Latinoamericana deCiencias Sociales –FLACSO– México.
Muchas gracias al doctor Juan Antonio Travieso,quien además es un defensor y un estudioso delos derechos humanos, lo cual hace doblementegrata su presencia esta tarde.
Ahora pasaremos a escuchar al profesor DavidBanisar. Es Director del Proyecto para la Libertadde Información, investigador visitante en laFacultad de Derecho de la Universidad de Linzen el Reino Unido y Director del Proyecto para laLibertad de Información de Privacy Internationalen Londres; antes, fue investigador de políticaen el Open Society Institute e investigador de laUniversidad de Harvard; en la actualidad haceinvestigación y escribe sobre desarrollos globalesen relación a información y la privacidad; hatrabajo en el campo de la política de informaciónpor 14 años y es autor de numerosos libros deestudio relativos al acceso a la información yartículos sobre libertad de información, libertadde expresión y privacidad.
PPPPPonenonenonenonenonent et et et et e: David Banisar. (Traducciónsimultánea)
Vamos a ver los conflictos que existen entreEstados Unidos y la Unión Europea en cuanto acuáles son los que se van a adoptar en todo elmundo.
Tal vez sea exagerar un poco que se haextendido la influencia de parte de EstadosUnidos y la Unión Europea sobre qué modelo sedebe adoptar.
75
Se puede ver esta batalla en muchas sedesdistintas, se puede ver a nivel nacional en unpaís como México, porque ahí se proponenmuchas cosas. Hay delegaciones de ambasjurisdicciones que hacen visitas, presentan suspuntos de vista, hay organizaciones y haycompañías de estas jurisdicciones quepresentan sus puntos de vista y también lo veoen acuerdos de libre comercio internacionales,y también otras facetas de la globalización, encosas como lo que es el desarrollo de los principiosde la APEC, y es importante ver a los países queno tienen todavía leyes, hay que ver cuálesserían las sanciones o cómo están construyendola democracia.
Hay muchas presiones y muchos factores queinfluyen aquí. Entonces voy a hablar delcontraste que hay entre los dos modelos.
Creo que el contraste más importante, y estohablando de que yo estudié abogacía en EstadosUnidos y puedo ver a ambos lados.
Esto es realmente el contraste entre lo que esmás importante, el respeto por los derechoshumanos o el respeto por los derechoscomerciales.
Ya ha habido mucha discusión sobre Europa, enuna primera sesión. Vamos a ponerlo encontexto, en Europa se respeta mucho lo queson los derechos humanos y esto incluye casitodo el continente con algunas pequeñasexcepciones.
La Convención Europea de los DerechosHumanos, que ahora ya está en vigor y que esaplicable en todos los países de la Unión Europea.Y el artículo ocho da mucha protección a laprivacidad y obviamente esto ha estado en vigoren el Tribunal Europeo de Derechos Humanos,incluyendo el reconocimiento por parte de esteTribunal, de que hay derechos de protección yrestricciones sobre la difusión de información,las formas de acceso y los derechos de corrección.
No solamente es un asunto de estatutos, sinode derechos constitucionales que se han
adoptado más o menos en 45 países en sussistemas legales.
Y en comparación con esto en los Estados Unidosla Suprema Corte, desafortunadamente,solamente tiene o ha reconocido un derechomuy limitado a la privacidad y han existidoalgunos casos especiales en relación con losregistros médicos, pero la mayor parte de losdatos los tienen terceros, pueden ser datosfinancieros, pueden ser datos detelecomunicaciones, registros detelecomunicaciones como los registros delteléfono, y la Suprema Corte no ha querido darun reconocimiento formal con el derecho deprivacidad, puedo mencionar datos todavía másimportantes.
Hay algunos estados en la Unión Americana queya tienen derechos constitucionales a nivelestatal nada más, pero no llevan el nacional.
El segundo contraste que creo que ya semencionó es el de la autorregulación contra laley.
La pregunta, la cuestión aquí es: ¿Si es mejortener muchos derechos que proteger o basarnosen las empresas con sus reglas internas y lasdecisiones que toman para proteger estainformación? Obviamente ya escuchamosmucho sobre los sistemas y lo voy a extender unpoquito más en un momento.
Tal vez ya lo saben, el sistema de Estados Unidosestá más enfocado en la autorregulación dondelas compañías hacen compromisos o promesasde no revelar la información o solamente lautilizan de manera legítima, pero en general,estos compromisos no solamente incluyen elacceso de algunas personas a esta informacióno el derecho de corregir información correcta oincorrecta. Y no hay una ley específica que reguleesto. Normalmente no se pueden aplicarexcepto en casos muy limitados.
Por ejemplo, tenemos una aerolínea, se llamaJet Blue y tiene una página Web, ahí ustedes seregistran, seleccionan el vuelo que quieren y la
76
política de privacidad menciona que lainformación financiera y personal no secomparte con ningún tercero; excepto cuandose descubrió que en realidad sí se estabatransfiriendo esta información al Pentágono, alos militares.
Los militares usaban la compañía para manejareste registro de transferencias y los viajes de lospasajeros, para ver si ésta se podría utilizar en laguerra contra el terrorismo, pero esto no estabaen la política de privacidad, dice que para ningúntercero. Pero le estaban dando esta otra partesin que nadie lo supiera.
(Se refiere a su presentación en PowerPoint) Esla misma compañía que tomó los datos de JetBlue y compró información adicional de otraempresa que se llama International ActionCenter que estaba colocando información muysensible y la daba a las agenciasgubernamentales y esto en realidad no seguíala Ley de Privacidad.
Y Action estaba vendiendo, estaba dandoinformación relacionada con datos de niños, elseguro social, ocupaciones, información de losvehículos y todo estaba en esta base de datosgigante.
Lo que se descubrió es que hubo una demandaenorme contra ellos, contra Jet Blue y contraAction, y el Tribunal dijo hace poco que como losindividuos no podían salir dañados, entonces notenían ningún derecho, aunque la promesa quese les había hecho se había violado.
La solución quedó pendiente para terminar deinvestigar la demanda, y no quisiera saber cómova a terminar el asunto.
Otra área donde estas promesas no estánfuncionando muy bien es en la seguridad. Eldirectivo de la Unión Europea requería que lainformación personal se protegiera, que hubieraalgunos medios técnicos administrativos paraque no se difundiera esta información demanera accidental o a propósito. Y las políticas
de privacidad pueden tender a algo parecido aesto, pero finalmente no hay tanto problema.
En California hay una empresa que ha guardadomucha información y creó puentes para elproceso de información. Había informaciónpersonal a gran escala, que se pasó sinautorización y era de más de 50 millones depersonas. El estado de California indicó que partede esta información se dio a conocer de maneraaccidental y la compañía le tenía que decir aesta gente por qué. Esta entidad tiene un granmercado, y obviamente podría incluir al resto delpaís.
Mucha de esta difusión fue accidental,desconocida. Por ejemplo, cintas magnéticasque contenían información financiera de losbancos, que se entregaban por camión ysimplemente desapareció. Esperemos quesolamente la hayan tirado por algún lado, perono sabemos qué sucedió en realidad.
En algunos casos los hackers entraron en lossistemas de cómputo, en otros, algunas personasde adentro utilizaron las contraseñas paraaccesar la información. La información es unproblema importante, en ausencia de unrequerimiento legal para hacerlo.
La tercera área de la que quisiera hablar es elasunto de que si tienen una ley o quieren unaley completa y no una ley que solamente cubraun sector, es mejor tener un marco. Obviamentelos europeos prefieren un marco más completoy ha sido el enfoque durante 35 años, desde quese empezó a adoptar esta ley. Esto es común encasi todos los países en la Unión Europea y encasi todos los países en Europa, hoy se trata de40 países que han tomado este sistemacompleto.
La consecuencia de no tener este sistema es quesi solamente tiene una ley sectorial las cosascambian, la tecnología cambia, y si la tecnologíacambia la ley no necesariamente cubrirá lanueva tecnología. Por ejemplo, Estados Unidoscon la televisión por cable interactiva está
77
protegida, pero los registros por Internet no. Setienen anomalías muy extrañas cuando se haceesta información, dependiendo de quién la tieney no está protegida. Este es uno de los casos porlos que suceden o se dan los fraudes tan seguidos,y en Europa no es tan común tener Spam.
Otro caso que se mencionó es Australia yCanadá, que tienen otras formas de hacerlo,como la combinación de los dos. Tiene algunascosas positivas, otras que funcionan nada másen Canadá y no ha tenido mucho éxito enAustralia, por la falta de aplicación y de autoridad.
ModeradorModeradorModeradorModeradorModerador: Isidro Cisneros. ProfesorInvestigador de la Facultad Latinoamericana deCiencias Sociales –FLACSO– México.
Tiene la palabra Jesús Orta Martínez, es DirectorGeneral Adjunto de Operación de la Secretaríade Economía; es licenciado en Economía por elInstituto Tecnológico de Estudios Superiores deMonterrey y maestro en Economía por El Colegiode México.
Ha desempeñado distintos cargos en laAdministración Pública Federal y entre susresponsabilidades y funciones actuales seencuentra la de ser Coordinador del Programapara el Desarrollo de la Industria de Software,responsable de la Política Regulatoria y deFomento del Comercio Electrónico, delegado delGobierno mexicano ante el Comité de Políticade Tecnologías de Información yComunicaciones de la Organización para laCooperación y el Desarrollo Económico.
PonentePonentePonentePonentePonente: Jesús Orta Martínez.
Para la Secretaría de Economía es un foro muyimportante y además de mucha actualidadporque, como ustedes saben, en México estamosdiscutiendo legislación al respecto.
Y yo, naturalmente, siendo representante de laSecretaría de Economía, tengo una perspectivaregulatoria muy identificada con la parte de losflujos de información y su impacto económico.
Déjenme centrarme en un par de cosas queiremos viendo a lo largo de estos 10 minutos.
(Presentación en PowerPoint) Voy a introducirel tema de este panel y decir que globalizaciónen este contexto implica necesariamente unincremento en el tráfico de flujostransfronterizos de datos personales. ParaMéxico esto es importante, porque es el país conmás tratados comerciales en el mundo,naturalmente el tema de los flujos de datos queson consecuencia o que provienen de relacionescomerciales, es un asunto importante entérminos de no impedirlos y, en todo caso delograr un equilibrio entre lo que es un derechofundamental, como ya se dijo, es el derecho deprivacidad; otro aspecto importante desde elpunto de vista económico que es ese flujo fluido,valga la redundancia, de datos transfronterizos.
El grado de sensibilidad respecto al tema deprivacidad, hay diferencias entre las regiones,evidentemente para Europa que es una regiónhipersensible a este tema. Hay países en Asia queno les importa en absoluto el tema y hay paísesen Latinoamérica en donde no hay conciencianecesariamente o conciencia generalizada delasunto de la privacidad.
Eso también tiene una influencia sobre elenfoque que un país pueda llegar a tener sobreel aspecto de la privacidad. Por cierto yo presidoel grupo de comercio electrónico de APEC, y tuvela oportunidad de darme cuenta de este factor,de palparlo muy claramente. O sea, el tema deprivacidad o el grado de sensibilidad de ese temadifiere drásticamente entre regiones.
Los enfoques normativos regulatorios sondiversos y en ocasiones divergentes; ya se hablódel caso de Estados Unidos y la Unión Europeapor mencionar uno, que ese es más claro y másrelevante tal vez y los esfuerzos multilateralesentonces se han centrado en buscar laconvergencia.
Voy a mencionar rápidamente cuáles sonalgunos de esos esfuerzos multilaterales ynaturalmente me estoy enfocando en aquellos
78
en donde México tiene una presencia pormembresía, particularmente la OCDE y esedocumento que seguramente todos ustedesconocen, que es como quien dice el padre detodos los documentos junto con naturalmentelas disposiciones de la directiva europea alrespecto.
APEC, como lo mencioné, acaba de sacar ennoviembre del año pasado su marco deprivacidad, y México actualmente estáinvolucrado en una negociación a nivel regióncon Estados Unidos y Canadá en el marco de laAlianza para la Seguridad y Prosperidad deAmérica del Norte (ASPAN), que viene a ser algoasí como una especie de transición entre lo quees el TLCAN y lo que se ha llamado en los mediosel TLCAN Plus, que es ir más allá de lo que es larelación comercial para ir a una integración deotro tipo, de mayor valor agregado,naturalmente.
Me voy a concentrar en este aspecto de APEC,¿por qué? Porque es el desarrollo multilateralmás nuevo. Y aquí hay un matiz importante,Europa no participa, pero sí participan los paísesasiáticos y hay que recordar que APEC es el foromultilateral que congrega a las economías másdinámicas en términos de crecimientoeconómico en el mundo, incluido por supuestoChina, pero también Japón y Corea; además elbloque norteamericano: Estados Unidos, México,Canadá, dos países adicionales de Latinoaméricacomo son Chile y Perú, y en general todos los dela zona de la Cuenca del Pacífico.
Dentro de lo que es el grupo de comercioelectrónico de APEC, que fue creado en 1999, apartir de un mandato de los líderes de este foro,tiene como actividades prioritarias protecciónal consumidor, seguridad cibernética, comerciosin papel, Spam, y por supuesto el tema de laprivacidad.
El tema de la privacidad adquiere dentro de esteforo, desde hace tres años, un papelfundamental, y no es para nadie un secreto quenuestro vecino del norte fue quien lo empujó;porque como ya se mencionó Estados Unidos al
igual que la Unión Europea tienen interesesimportantes en términos de quién va aprevalecer en cuanto al enfoque o laaproximación hacia el marco regulatorio, entodo caso, que va a tomar el mundo.
Hablaba al principio de que los esfuerzosmultilaterales se han tratado de centrar en laconvergencia. ¿Por qué?, porque se haidentificado una divergencia grave que puedetener consecuencias como las que está teniendoel problema de los estándares en lo que son lossistemas de cómputo, es decir, si no vamos haciaestándares que puedan comunicarse entre sí, yaquí el símil sería si vamos hacia marcosregulatorios o enfoques normativos que sondivergentes o incompatibles, vamos a tener unproblema de otro tipo.
Es decir, en pasar de un marco normativopensado para un país, pensando hacia adentro,las consecuencias al interactuar, y el temaentonces de la globalización es relevante conotros países, podríamos tener un conflictoimportante. Ese conflicto, el caso más claro o elejemplo más claro de cómo se ha concretado esel de Estados Unidos y el de Europa que haderivado, como seguramente todos conocen elinstrumento en el Safe Harbor 1 o el puerto libreo no sé cómo se diga en español eso, pero que afinal de cuentas no es más que un parche haciados enfoques regulatorios que son distintos,porque en su origen tienen distintas formas deatacar el problema.
Este esfuerzo de APEC busca generarconvergencia y naturalmente al estar EstadosUnidos dentro de este foro y no Europa, pues yase imaginaran el sesgo. Se crea un grupoespecial, un subgrupo especial, que es elsubgrupo de privacidad de información.
Y en general este marco de privacidad de APEC,o el APEC Privacy Framework, que es como se
1 El safe harbor es el nombre con el que se conoce el protocolo quegarantiza un nivel adecuado de seguridad en la protección dedatos. Fue el Departamento de Comercio de los Estados Unidosquien creó la lista y es de inscripción voluntaria. Actualmentehay 72 empresas norteamericanas registradas.
79
llama originalmente y que va a ser publicadooficialmente y distribuido en la próxima Cumbrede Líderes de APEC en noviembre, fuedesarrollado tomando evidentemente losprincipio de la OCDE sobre privacidad y tomandoen cuenta disposiciones de la directiva europea.
Tiene como fin los siguientes aspectos: Protegerla información personal, como principiofundamental; pero también, prevenir la creaciónde barreras innecesarias al flujo transfronterizode datos.
Y aquí la palabra más importante y másrecurrente de este desarrollo multilateral sobreprotección de la privacidad es equilibrio,equilibrio entre protección a la privacidad y flujode datos; fomentar la uniformidad por parte deempresas en los métodos utilizados para larecolección uso y procesamiento de datospersonales, y aquí viene una innovación, que eslo que se conoce como “corporate policy rules”,que no son más que una especie de reglas a nivelde empresas que tratan de hacer uniforme loque son estos elementos que son recolección,uso y procesamiento de los datos, y launiformidad nos puede dar muchas ventajasimportantes a la hora de abordar el tema de laprotección a la privacidad y naturalmentefomentar los esfuerzos naturales einternacionales para promover y hacer cumplirlas disposiciones legales.
Son nueve principios, no me voy a ir sobre ellos,ustedes lo pueden consultar en todo caso en lapágina ap.org y además va a salir pronto lapublicación, pero son nueve2 principios queabordan de manera holística este problema dela privacidad.
Y en cuanto a la implementación tiene dosanexos que salieron este año, la parte domésticaque es para todas aquellas economías que nocuentan con un marco regulatorio, ya seaespecífico o sectorial sobre el tema con enfoqueo con la idea de darle importancia a la consultaa los sectores involucrados, el diálogo entresector público y privado para no sesgar ni haciaun lado ni hacia otro en cuanto a los intereses,
fomentar la educación y la conciencia delderecho de la privacidad porque, como yamencioné, muchas economías no tienen nisiquiera esa conciencia.
Y un aspecto que es el de la cooperacióninternacional y que aborda, digamos, aspectosque tienen que ver con la importancia de que alfinal del día si tenemos un problema que es deglobalización, que es de flujo de datos y así comosucede con el Spam, no se va a poder resolver o agarantizar la protección de datos en la medidaen que los países no tengan acuerdos para podercolaborar y cooperar internacionalmente enmateria de investigación, como de persecucióny de otro tipo de asuntos propios de hacer cumplirlas leyes y los marcos legales.
ModeradorModeradorModeradorModeradorModerador: Isidro Cisneros. ProfesorInvestigador de la Facultad Latinoamericana deCiencias Sociales –FLACSO– México.
A continuación Juan Pablo Pampillo Baliño.Director Jurídico de IBM de México, quien esabogado egresado con honores de la EscuelaLibre de Derecho, diplomado de estudiosavanzados equivalentes a maestría, egresadocon honores de la Universidad Complutense deMadrid con estudios completos de doctorado.
PonentePonentePonentePonentePonente: Juan Pablo Pampillo Baliño.
Quiero reflexionar sobre este tema tanextraordinariamente complejo, novedoso y quees un tema que a mí me llena de perplejidadesantes que de certezas, que es precisamente elde los desarrollos normativos en el contexto dela globalización.
Quiero también aclarar que a pesar de que seme ha presentado como abogado de IBM, novengo aquí, en esta tarde, en calidad de abogadode IBM, sino en calidad de abogado o deprofesional del Derecho a título estrictamenteparticular y, en todo caso, en mi condición de
2 Privación de datos, aviso, limitación a la recolección, uso de in-formación personal, salvaguardas de la seguridad, acceso, co-rrección y responsabilidad.
80
académico y de profesor de Derecho en otrasuniversidades.
De manera tal que la posición, las perspectivas ylos conceptos que quisiera yo compartir conustedes y someter, desde luego, a suconsideración, son conceptos, perspectivas yángulos estrictamente personales, que en modoalguno responden a la posición oficial de laempresa para la que laboro.
En tercer lugar, quisiera también resaltar comocuestión de previo y de especialpronunciamiento, como dicen los abogadosprocesalistas, que ante el inmenso reto depresentar y de someter a la consideración deustedes una ponencia sobre este tema tanrimbombante, pero a su vez tan profundo y tanradical Desarrollos Normativos en el Contextode la Globalización, realmente no supeencontrar la forma de aterrizarla a manera deponencia, porque, como les intimaba hace uninstante, realmente es un tema éste que hacreado en mi ánimo y que me permite decantartambién en mi pensamiento, un cúmulo dedudas, un cúmulo de preguntas, un cúmulo deinterrogantes, que no de certidumbres, que nome permiten propiamente que le imprima, porasí decirlo, a esta exposición, el cariz de unaponencia, sino más bien de un cuestionamiento.
Es un cuestionamiento, a su vez, que recoge enparte los planteamientos de quienes me hanprecedido en el uso de la palabra.
Quiero citar, por ejemplo, al doctor Travieso, quenos decía hace unos instantes, precisamente ensu Conferencia Magistral, cómo nuestro tiempoes un tiempo de la tecnología; esto es, de la razónde la técnica, pero también del tecnonihilismo.
Nos decía también y nos hablaba de cómovivimos en tiempo real y sin embargo parece queno tenemos tiempo para nada. Y nos hablaba deuna cuestión que es igualmente fundamental,de cómo nuestra época, la época de laglobalización, es una época de cambio deparadigmas.
Igualmente, mi colega el profesor David Banisarnos hablaba precisamente de los contrastes enlos entrecruzamientos que se producenprecisamente entre el Derecho, o más bien, eltema de la protección de los datos personales,vistos desde el ángulo de Derecho fundamental,pero visto también desde el contrapunto,precisamente, de los derechos comerciales.Contrastes, contrastes que crean dudas yperplejidades y no certezas ni convicciones.
Y también Jesús Orta nos hablaba hace unosinstantes de la sensibilidad, que la sensibilidadpropia y característica de la sociedad de nuestrotiempo, de la sociedad que nos escontemporánea, nos ha impuesto respecto deeste tema, que no era tan importante haceapenas unos 50 años.
Y reflexionando sobre estas perspectivas de loscolegas que me antecedieron en el uso de lapalabra, refrendo mi perplejidad respecto de estetema, por tres razones fundamentales: En primerlugar porque se trata propiamente del tema dela protección de los datos personales, de un temaque yo caracterizaría como un tema límite ofrontera.
Un tema límite o frontera que se encuentra enalgún lugar que está por ahí en medio del ámbitode lo privado, pero también, por así decirlo, de lacomarca de lo público, donde se produce, comoen todo lugar de encuentro, una especie comode choque entre intereses entrecruzados
Y específicamente por lo que respecta a midisciplina, por lo que hace a la ciencia delDerecho, se encuentra este tema apasionantede la protección de los datos personales, acaballo precisamente entre los distintos ámbitosde la ciencia del Derecho Constitucional, de laCiencia del Derecho Civil, de la Ciencia delDerecho Laboral.
Se trata, pues, en definitiva, el tema central dela protección de los datos personales, de laprotección de la privacidad de los datospersonales, precisamente en este lugar deencuentro.
81
Pero además de ser un tema límite, es un tematransfronterizo, precisamente porque losproblemas sociales, que supone precisamente laprotección de la privacidad de los datospersonales, son problemas que exceden yrebasan toda localización y, por ende, laproblemática social que plantean no es unaproblemática social susceptible de serreconducida desde una perspectiva localista niregionalista, sino precisamente global, máximeconsideren ustedes como el tema precisamentede los derechos de la intimidad cuando sufre unarevolución que lo exponencia precisamentecreando esta mayor sensibilidad en nuestrotiempo, ante los peligros que supone el manejoinescrupuloso de sus datos personales, se veprecisamente potenciado con motivo de larevolución tecnológica y muy acusadamente apartir de la década de los ochenta.
Porque, precisamente dada la irrupción delfenómeno de la globalización informática,fenómeno éste que supone que en algún lugar,casi por recordar la obra de Tomás Moro, utópicoesto es, en ningún lugar, utopo significa enninguna parte, pero utópico que no se encuentralocalizado en ninguna parte pero que a su vezse encuentra en todos los lados, ubicuo, ucrónicoporque no es que lo que suceda en la redacontezca en algún tiempo específico, sino queacontece de manera simultánea en todo tiempo.
De manera tal que por su misma deslocalizacióngeográfica de un lado y, cronológica de otro, elfenómeno de la red de redes supone el fenómenode problemas que son actuales,contemporáneos, sincrónicos y que se producende manera simultánea en todo tiempo y en todolugar. De ahí la dimensión exponencial ygravísima del tema de la protección de los datospersonales.
Y en tercer lugar digo yo que es un temacomplejo, precisamente en virtud de que es untema que pertenece a una época muy propia denuestro tiempo, a una época que ciertamenteno parece ser ya más la época contemporánea,sino una época en la que claramente, recogiendode nueva cuenta la expresión afortunada del
doctor Travieso, es una época en la que nosencontramos ante la existencia de nuevosparadigmas.
Pero yo diría más, no solamente de nuevosparadigmas, nos enfrentamos también a larealidad de que los paradigmas fundacionalesde nuestra cultura y de nuestra civilización, sonparadigmas que se encuentran en crisis y al ladode estos paradigmas que se encuentran en crisis,surgen y aparecen otros nuevos paradigmasemergentes que se debaten respecto de estosotros paradigmas en crisis anteriores,precisamente la prevalencia fundacional, por asídecirlo, de las actitudes propias y característicasdel hombre inserto dentro de una determinadacivilización y dentro de una cultura específica.
Voy a tratar a partir de estas tres perplejidadesfundamentales que me suscita este tema, deproponerles a ustedes, porque les insisto, yo novengo a manera de ponente a plantearles otrascosas, sino precisamente cuestiones que a míme ha suscitado la reflexión de este tema y queson cuestiones muy puntuales.
Respecto del primer punto hay que entender, yyo creo que es muy importante que tengamosese punto de partida, que el tema de laprotección de la privacidad de los datospersonales, es un tema que se caracteriza por suinterdisciplinariedad y consecuentemente esun tema que no puede abordarse, sinoprecisamente desde una relativacontaminación metodológica, donde no cabepurismos ni cabe tampoco la asepsia, sino quees menester que nos enfrentemos a unarealidad, por así decirlo, que tal y como se nosaparece, tal y como se nos plantea. Se nosplantea contaminada precisamente a partir desu pertenencia a muy distintos ámbitossociológicos de un lado y jurídicos de otro.
En segundo lugar, precisamente por virtud deesta ubicuidad global de los fenómenosinformáticos, es necesario que partamos de lapremisa fundamental, a mi modo de ver las cosas,de que tratándose como se tratan los problemasque nos ofrece precisamente el flujo, la
82
recolección y la circulación de estos datospersonales, como se trata pues de un fenómenoeminentemente global son necesariassoluciones igualmente globalizadas y de estaforma no pueden considerarse sino comoprincipios de solución, como puntos de partidahacia una solución definitiva y eficaz de estosproblemas suscitados por la protección a laprivacidad de los datos personales, aquellassoluciones locales y regionales.
Es menester que se busquen nuevas y novedosasfórmulas de armonización jurídica que permitanreconducir precisamente de manera eficaz ycomprensiva estos problemas sociales; y entercer lugar, respecto de cómo estos problemassuscitados por la protección de la privacidad delos datos personales son problemas propios denuestra época, y cómo responden precisamentea una sensibilidad mayor de nuestro tiempo. Porlo que respecta precisamente a la proyección delos derechos propios de la intimidad, es necesariotambién que reflexionemos cuáles debieran serlos valores conforme a los cuales dichosproblemas debieran abordarse en el contexto dela globalización.
Partiendo de estas premisas, por así decirlo,ordenadoras, y que más que premisasordenadoras suponen ante todo unos referentesque nos permiten dimensionar la complejidad yhasta cierto punto la inaprensibilidad de losproblemas propios de la protección de los datospersonales, las preguntas o los planteamientosque yo quisiera dejar como parte de estaexposición son fundamentalmente lossiguientes:
En primer lugar, ¿es posible la regulación de laprotección de la privacidad de los datospersonales a través de las legislaciones de losEstados nación?, ¿es posible?, ¿es realmenteposible? En segundo lugar, en caso de no serlo ode serlo sólo relativamente, ¿puedenconsiderarse como alternativas razonablementesustitutivas de la legislación de los Estados losdistintos acuerdos regionales o universales, entodo caso multilaterales celebrados por distintosEstados, con el propósito de armonizar y
relativamente homologar los criterios para laprotección de los datos personales?
Una tercera pregunta más radical quepresupone precisamente las dos interrogantesanteriores, ¿es posible a la postre elaborar undesarrollo normativo de cualesquiera índolepara efectos de regular la debida protección delos datos personales? Y en todo caso este tipo deregulación, ¿qué tipo de regulación debiera ser?¿Debe ser una regulación autoimpuesta,autorregulada, realizada por la industria o debeser una heterorregulación? En todo caso si setrata de una heterorregulación, ¿cuáles seríanlos centros de creación jurídica de estassoluciones para reconducir este problema: elEstado, las regiones, las empresas, la industria,etcétera? Y, ¿qué tipo de normatividad jurídicasería necesaria para reconducir este tipo deproblemática, una ley en el sentido de Harlockcomo se denomina actualmente en el ámbitode las comunidades europeas o de Softlock comoparecieran indicar ciertas recomendacionesdadas en el seno de las comunidades europeas?
En fin, son muchos los temas de los quepudiéramos hablar respecto de los desarrollosnormativos en el contexto de la globalización.Yo me permito limitarme únicamente a suscitarestas inquietudes que me ha provocado lareflexión respecto del tema, y prefiero, si asíestán ustedes de acuerdo conmigo, en queabramos el espacio, si acoso el tiempo lo permitepara preguntas y respuestas, y seguir dialogandosobre este tema.
ModeradorModeradorModeradorModeradorModerador: Isidro Cisneros. ProfesorInvestigador de la Facultad Latinoamericana deCiencias Sociales –FLACSO– México.
Le toca el turno a Roberto Andrade Martínez, eslicenciado en Derecho, egresado de laUniversidad Latinoamericana, postgrado enDerecho Mercantil por la Universidad deSalamanca, España, y actualmente forma partede la Junta Asesora de Latinoamérica LawInstitute de la Universidad de Tulane. Ha sidoabogado de Martínez, Algaba, Estrella, De Haro,Galván, Duque. Gerente Jurídico de Exon Móvil
83
México, Director Jurídico de Panasonic México,y actualmente es Subdirector Jurídico deTelefónica Móviles-México.
PonentePonentePonentePonentePonente: Roberto Andrade Martínez.
Mi idea aquí es un poco transmitirles qué es loque estamos haciendo desde el GrupoTelefónica Móviles-México respecto a este temade protección de datos.
La empresa se encuentra no preocupada, pero símuy interesada, y toma esto muy en serio.
Nosotros actualmente enfrentamos diversosproblemas al tratar de emitir un código tipodentro de cada uno de los países debido a lasdiversas legislaciones o la falta de legislacionesen algunos casos.
Voy a tratar aquí tres temas, que es la protecciónde datos de Grupo Telefónica, cual es el presente,futuro, y los próximos pasos que pensamos dar.
El siguiente sería la implantación de códigos tipode todas las empresas de Telefónica, estaríamosimplantando tomando como el modelo deTelefónica España.
La tercera fase es el diseño de unas normascorporativas vinculante, Binding Corporate Rule,en las cuales tenemos la intención de que todoslos países podamos homogenizar la protecciónde datos en una empresa detelecomunicaciones que todos los días vainnovando y va obteniendo nuevos retos.
La situación actual, parte difícil, la inexistenciade una política corporativa de protección dedatos, no tenemos una política global dondetodos los países de alguna manera hayamoshomogenizado el tratamiento de protección, eltratamiento de datos.
En la mayoría de los países donde nosotros nosencontramos o tenemos presencia hay unaausencia de regulación.
¿Cuáles son las previsiones futuras? Lo primeroes diseño de una política corporativa deprotección de datos.
La compatibilidad de las distintas regulaciones,se imaginarán ustedes el problema que es hablarcon cada uno de los países y tratarles de explicarque tenemos todos que ponernos de acuerdocuando tres o cuatro personas nunca nosponemos de acuerdo en un mismo país.
La aplicación de principios y procedimientoscomunes.
¿Cuáles son las ventajas que nosotros le estamosviendo a esto? Es la agilización de tratamientosde datos personales entre las empresas delgrupo, importantísimo en nuestro negocio.
Obtención de la confianza en las autoridadesregulatorias. Y una valoración positiva de losclientes, lo más importante.
Los próximos pasos los tenemos en dos fases: laprimera, lo que les había platicado, laimplantación de códigos tipo en todas lasempresas del Grupo Telefónica. Y el segundo, esel diseño de las normas corporativasvinculantes.
Para lo que es la implantación de códigos tipoen las empresas de Telefónica, es elestablecimiento de un marco de obligadocumplimiento en el grupo que garantice un nivelmínimo de seguridad en el tratamiento de losdatos de carácter personal.
En concreto, las obligaciones de la empresa y eldeber de confidencialidad, una de las partes másimportantes es la confidencialidad y lasobligaciones que la empresa tiene que tomarpara la protección de los datos que tiene en supoder o que se ha hecho de su poder pordiferentes situaciones.
El tratamiento de los datos de carácter personaly la transferencia internacional de los datos,punto importantísimo para nosotros.
84
Diseño de procedimientos comunes deactuación en materia de protección de datos.
Lo primero que tenemos que hacer en unaempresa cuando esta materia es nueva es laidentificación de los ficheros de carácterpersonal; uno tiene que ir con cada una de lasáreas y decirles: ¡Oye!, aunque tú no lo sepastienes esta información muy importante quepertenece a cada uno de los individuos a la cualtú se lo solicitaste en algún momento.
Ustedes se sorprenderán que digan:-No es cierto, nosotros no tenemos eso.-Les digo, ¿cómo no?-Pero es que nada más tengo el nombre, ladirección, el teléfono; si es casado, si es soltero.-Tiene una cantidad de información.
Entonces, lo primero que tenemos que hacer esir con las áreas y con cada una de las áreas lo quetenemos que decirles es: ¡Mira!, toda estainformación pertenece a cada uno de los señoresque te la proporcionó y lo que tenemos que darlees un debido cuidado.
Lo primero, por consecuencia, es sensibilizar alas diferentes áreas de los diferentes países;imagínense esto hacerlo a nivel global.
El control de los ficheros es la misma situación.Tenemos que organizarnos de alguna maneraya que si estamos nosotros en 19 países delmundo, hablar con ellos y decir, vamos a tenerun control porque va a haber o queremos tenerun intercambio de información.
Para lo cual tenemos que garantizar la seguridadde datos. Vamos a ver cómo tienes organizado ycómo tienes controlados tus ficheros.
Tratamiento y uso de datos personales, losprincipios. Lo primero que tenemos es tener unarecopilación lícita y leal de los datos, respetandola obligación de información y consentimientode los afectados.
La veracidad de los datos. Los datos deberán serexactos, puestos al día en forma que respondan
con veracidad la situación actual del afectado,es importante que sean exactos y que seencuentren actualizados.
La conservación limitada de los datos en funciónde su destino, serán cancelados cuando hayandejado de ser necesarios o pertinentes para lafinalidad a la cual hubieren sido recabados oregistrados.
Cuando uno recaba datos tiene una finalidad,tendrá un proyecto. Este proyecto o la razón porla cual se obtuvieron esos datos tiene unacaducidad, yo no soy un banco de datos paraestarme haciendo de ficheros en los cualesdespués yo no les puedo dar un debidomantenimiento, porque al final de cuentas a míya no me interesa.
Seguridad física y lógica de los datos. Garantizarla seguridad de los datos de carácter personal yevitar su alteración, pérdida, tratamiento oacceso no autorizado.
Los niveles de acceso a los datos. Los datos seencuentran en la empresa a disposición de losempleados y de diferentes personas dentro dela misma empresa, pero con grados de acceso;no todas las personas podrán acceder, digamos,al fail que se tiene o al fichero que se tiene, derecursos humanos, donde vienen los datos sobrela persona, sobre su sueldo y demás. Tendrán queestar limitados sobre grados de acceso ylimitantes en éste.
Tenemos la implantación de códigos tipo de lasempresas. Otros temas de consideracióncontienen el código tipo de Telefónica España,que es el que estamos tratando de utilizar comoun marco de referencia, es el acceso de losempleados a la información de los clientes, loque les acabo de comentar, el movimientointernacional de datos y la adaptación demedidas de seguridad.
Y este es nuestro verdadero reto: Llegar a undiseño de Normas Corporativas Vinculantes oBinding Corporate Rules, que son instrumentospotenciados por la Unión Europea, enfocado a
85
flexibilizar los movimientos internacionales dedatos. Las ventajas nos facilitan lastransferencias internacionales intragroup,mejora el cumplimiento de la normatividad deprotección de datos.
¿Qué desventaja le estamos viendo nosotros?
Sólo son aplicables a las transferenciasinternacionales entre compañías del grupo ypueden configurarse como mínimos si lalegislación local es más exigente.
Para nosotros poder facilitar, para que la empresa,para que la corporación pudiese realizar demanera continua, fácil y ágil, las transferenciasinternacionales de datos, que es una de laspartes de la globalización, necesitamos nosotrostener implementadas estas NormasCorporativas Vinculantes, donde en algunospaíses, en los cuales nosotros tenemos presencia,no existe una legislación que le dé unaseguridad a la Unión Europea, en este caso, sobreel tratamiento que se le va dar a los datos que seestarían transmitiendo.
Entonces, ¿qué es lo que nosotros tenemos quehacer? Pues adecuarnos al organismo reguladory decirle: Ya estamos listos, tenemos nuestrasnormas corporativas vinculantes eindependientemente que en todos los paísesestaban trabajando los diferentes gobiernospara regular este tema, nosotros ya estamoslistos, como compañía.
Fases y el diseño de implantación. El período quenosotros nos estamos poniendo es del 2005 al2008. Parecería un poco largo, pero en realidadno lo es. Estamos en la constitución de gruposde trabajo en el país, que al día de hoy ya lostenemos; un análisis marco normativo por país.
Ha sido algo difícil en algunos países, porque hantenido que hacer una recopilación de diversasaplicaciones o de diversas legislaciones, dondehabla un poco o casi nada o quieren hacerreferencia o quieren relacionarlo, cuando enrealidad no lo es, a la protección de datos.
La elaboración y remisión de los primeros análisisa las secretarías generales del país, dondenosotros al día de hoy, en este momento nosencontramos. Tenemos que diseñar un plan deimplantación, elaborar y remitir un informe delas valoraciones que se hicieron en cada uno delos países y la implantación.Como ven, para Telefónica este es un temaimportantísimo y en todos los países estamostrabajando arduamente.
Nos hemos planteado una fecha, una fecha quepara nosotros es un reto importante, pero sé quelos vamos a lograr.
ModeradorModeradorModeradorModeradorModerador: Isidro Cisneros. ProfesorInvestigador de la Facultad Latinoamericana deCiencias Sociales –FLACSO– México.
Tendremos unos minutos que quisiera queaprovecháramos de la mejor manera parapreguntas del auditorio a nuestrosconferencistas.
PrPrPrPrPreguneguneguneguneguntatatatata: Alonso Lujambio, Comisionado del IFAI.
Me han parecido especialmente interesanteslas reflexiones que haz hecho, Jesús. Si lo vemosdesde una perspectiva estrictamentedoméstica, necesitamos un equilibrio, sí, entreprivacidad y flujo de información comercial, esaes la posición que ha asumido el IFAI.
Desde una perspectiva internacional, tenemoscompromisos con la Unión Europea, estamos enla APEC, estamos en el entorno del Tratado deLibre Comercio con nuestros socios comercialesy tenemos ahí demandas, ciertamente ocompromisos aparentemente contradictorios.
Hablas de un equilibrio, que se busca laconvergencia, nunca desarrollaste, en quéconsiste el equilibrio desde la perspectiva tuyao de la Secretaría de Comercio. Creo que ahí estáuna clave de nuestro debate y me gustaría quedesarrollaras un poco, por lo menos por dónde sevan perfilando esos equilibrios.
86
Otra cosa que te pregunto. Dices, no hayconciencia, te cito, no hay concienciageneralizada sobre la cuestión de la privacidaden América Latina.
Yo te pregunto si eso lo juzgas positivo, como unhecho neutral o si lo juzgas negativo. Porqueentiendo que la conciencia es un valor positivoy que tú digas que no hay concienciageneralizada, supongo que estás haciendo unjuicio valorativo sobre esa realidad.
Juan Pablo, hablas de tres perplejidades, pero voya mencionar una cuarta que es la que meproduce tu ponencia. Me sorprende que alguienque expresa de manera tan elocuente tantotalento, no asuma una posición, aquí vinimos aasumir posiciones.
Quiero que me respondas una pregunta clave ysé que la puedes responder, pero de ahí sederivan muchas consecuencias: datospersonales. Ese es un concepto que tú avalas,porque lo usas.
Yo te pregunto: ¿Quién es propietario de los datospersonales que tiene una empresa, la persona ola empresa?
Creo que cualquier respuesta que des a esapregunta se deriva una serie impresionante deconsecuencias y me gustaría que un pocoespecularas sobre ella, aprovechando el talentoque tienes y que no te nos vayas sin que loexprimamos.
PreguntaPreguntaPreguntaPreguntaPregunta: La presente pregunta va dirigida aJuan Pablo Pampillo.
Respecto a la explicación que nos ha hecho vera lo largo de este espacio, quisiéramos saber si lapostura sobre la cual versó esta explicación espersonal o bien si nos está hablando a nombrede la empresa de IBM.
Si es personal, ¿cuál sería entonces la posturaque está asumiendo IBM respecto del tema quenos ocupa?
PrPrPrPrPreguneguneguneguneguntatatatata: José Luis Piñar.
Yo creo que la mesa ha sido enormementeinteresante, pero yo creo que en efecto ycoincido con alguna otra pregunta, falta o hechode menos alguna posición más concreta ydefinida.
Se ha puesto de manifiesto una tensión en losplanteamientos que han estado sobre la mesa,que es la tensión entre marco o modelo deregulación, modelo de autorregulación.
Creo que la última ponencia de Telefónica hasido muy equilibrada, sin embargo en este puntoal distinguir perfectamente entre los modelosde regulación y lo que se debe hacer desde unaempresa multinacional para intentar garantizarque en todos los países, incluso donde no hayuna legislación de protección de datos serespeten los datos personales.
Pero mi duda es, lo planteo a la mesa en generaly a ninguno en particular. Vamos a ver, si estamoshablando de un derecho fundamental, yo creoque todos estamos de acuerdo en que estamoshablando de un derecho fundamental, como esel derecho a la protección de datos personales,cómo es posible dejarlo de la mano sólo de laautorregulación o señalar que hay dos modelos:el de autorregulación o el modelo normativo.
En los textos internacionales como laDeclaración Universal, Derechos Humanos,pactos, derechos libres y políticos, Convenio 108,Carta Europea, Pacto de San José de Costa Rica,no recuerdo ni un solo caso en que se haya dejadola regulación de un derecho fundamental almodelo autoregulatorio, ninguno.
En todos, en ningún caso se dice que quedará enmanos de los actores el regular el contenido deun derecho fundamental, siempre se exige quelos Estados adopten textos normativos quegaranticen el derecho fundamental.
Entonces mi pregunta es: ¿No estaremos aquíplanteando no un debate entre autorregulación
87
y regulación o marco normativo sino entreintereses contrapuestos? ¿No estaremos aquíhablando realmente de determinados interesesque prefieren un marco de autorregulaciónantes que la imposición de un marcoregulatorio? Si aquí se ha dicho incluso queestamos por encima de marcos normativosnacionales dado el carácter transnacional de laprotección de datos, cómo es posible que se optecomo modelo, no de convivencia, sino modelosalternativos, que ese es el problema, el problemano es plantear que convivan dos modelos, sinomodelos alternativos, ¿cómo es posible que seplantee como modelo alternativo el que laspropias empresas sean las que regulen elcontenido de un derecho fundamental, como esla protección de datos?
PreguntaPreguntaPreguntaPreguntaPregunta: Es para a Jesús Orta, ya que él esexperto en la APEC. Hace poco en la revistaEtcétera apareció el caso de un periodista chinoque hizo una denuncia en una de estascomunidades de Internet, y la empresa Yahoo,que proveía el servicio dio la información dequién era este periodista y fue arrestado por lasautoridades de ese país, tengo entendido queYahoo hizo un convenio precisamente con lasautoridades chinas de respetar las leyes chinas,y entre ellas se encuentra precisamente el dehablar en contra de las autoridades.
Yo quisiera una aclaración a este tipo de cosas,porque si estaba hablando de la normatividadinternacional acerca del respeto, en este caso ala protección de datos personales, ¿cómo es quese da un ejemplo tan flagrante de violación a losmismos?
La pregunta es para el doctor David respecto a ladiferencia que él establece entre la visiónestadounidense y el de la Comunidad Europearespecto a la protección de datos personales, sitiene que ver en algún sentido; me extraña,porque el origen del derecho norteamericanoobviamente es el derecho inglés, pero no sé si enla Comunidad Europea es por la relación que hayde dos tradiciones jurídicas distintas. Una quees la del Common Law, y la otra es la del DerechoRomano, bueno, el Derecho Civil de origen
neorromanista, si tiene que ver algo esteaspecto.
Y finalmente quisiera preguntarle a la personade Telefónica si considera que esta normatividadque ellos están dando va a incidir, en este caso,en México, porque entre los planes de Telefónica,tengo entendido, está próximamente entrar encompetencia con Telmex que es uno de losgrandes violadores precisamente de datospersonales de este país.
Me gustaría saber, si eso va a promover unacompetencia que van a ser más competitivas lasempresas que ofrezcan precisamente una mejorprotección a datos personales. En este caso si esTelefónica en comparación con Telmex.
PreguntaPreguntaPreguntaPreguntaPregunta: Les agradecería si me dieran laoportunidad de llevarme algo concreto de estareunión. Escuché al maestro Juan AntonioTravieso, y lo he escuchado en otras ocasionesde que la única ley que se cumple enLatinoamérica es la de la gravedad.
Después de escuchar todas las disertaciones queme han parecido bastante interesantes, análisisprofundos, detallados, en lo que es laproblemática de la protección de los datospersonales, pero en un entorno como el quemenciona el maestro Travieso y otro panelistaslatinoamericanos pues realmente me lleva a unrío bastante fuerte, en cuanto lo que sería laestrategia de venta para aquellos que hacenposible que se vuelvo algo concreto,específicamente a lo que son nuestros gobiernos.
Yo le a agradecería los panelistas si pudierandarme al menos un acercamiento, unaaproximación de lo que sería una estrategia deventa e implementación del resultado de susdisertaciones y análisis en Latinoamérica sobrela protección de datos personales.
PreguntaPreguntaPreguntaPreguntaPregunta: Octavio García Ramírez, el de la voz.Inicialmente felicitar a todos y cada uno de losponentes por parte del Consejo Nacional deJóvenes; preguntarle a nuestro amigorepresentante de la República Argentina, ¿cuál
88
fue su experiencia acumulada particularmenteen materia del ámbito financiero? Al igual queal amigo representante del Reino Unido.
La pregunta se enfoca al ámbito financiero ensu país, sobre ¿cuál ha sido la experiencia enambas naciones?
PonentePonentePonentePonentePonente: Roberto Andrade.
Primero trataré de contestar la pregunta o unade las preguntas que hizo José Luis Piñar.
Aquí la situación es difícil, nosotros somos unaempresa y nosotros tenemos que trabajar en unmercado, tenemos una tecnología que vaavanzando, estamos posicionados en diferentespaíses y nosotros no nos podemos esperar a quelos gobiernos decidan.
Me encantaría que en todos los países dondenosotros tenemos presencia existiera unaverdadera regulación sobre protección de datos,pero no es la realidad.
Y yo como empresa no me puedo esperar o nome puedo dar el lujo de que los gobiernos enque en algunas ocasiones actúaneficientemente y en otras no regulen, yentonces sí nosotros arranquemos, yo creo queeso para una empresa transnacional y unaempresa de vanguardia es imposible.
Entonces, como Telefónica no nos daremos eselujo y si el gobierno nos pide nuestra ayuda,siempre contará con ella, estaremoscoadyuvando para que en ningún momento sediga que los particulares no quisieron participaro le temen a tomar una postura respecto a laprotección de datos. Esa es la primera.
En la segunda, ya estamos en el mercado,estamos luchando tú a tú con Telmex, peronosotros con una propuesta diferente, nosotrostenemos una propuesta de innovación ytenemos una propuesta ética y dentro de esapropuesta ética viene la protección de los datosde nuestros clientes.
Cuente usted que si se convierte en cliente deTelefónica sus datos estarán protegidos.
PonentePonentePonentePonentePonente: Jesús Orta Martínez.
Primero, Comisionado, la razón por la que yo nopude hacer una exposición más amplia sobrequé significa para nosotros el equilibrio, esporque me dieron 10 minutos y ciertamente esmuy difícil.
Déjame decir rápidamente qué quiere decirequilibrio y lo voy a tratar de decir con un ejemplopara ser concreto y breve. Con todo respetoobviamente a los distintos enfoques normativosque existen en diversos países en el mundo.
En materia de flujos transfronterizos de datos.Para nosotros no es una postura que favorezcael equilibrio el exigir a un Estado un grado deprotección a nivel legislación como condiciónpara poder transferir datos, eso es una cuestiónque atenta contra el equilibrio en cuanto al flujode los datos.
¿Qué sería algo que sí lo favoreciera? Voy aestablecer las salvaguardas necesarias y esopuede ser a nivel de relación contractual entreprivados y de ahí déjenme aprovechar paracontestar una segunda inquietud; de ningunamanera el gobierno mexicano está proponiendoel que no haya una regulación sobre un derechofundamental, de ninguna manera. En México vaa haber ley sobre la materia. Ahorita se estádiscutiendo, tiene cinco años en discusión, perova a haber ley, de eso no debe haber duda.
Lo que estamos diciendo es que a favor de eseequilibrio debe haber, si tenemos que respetar yeso es lo que tenemos que hacer, la tradiciónjurídica o el enfoque normativo que tome unpaís, eso no puede por sí mismo limitar los flujosde datos.
Tienes que encontrar alternativas y entonces laalternativa puede ser, desde nuestro punto devista, que las relaciones contractuales entreprivados puedan hacer las veces de factor deequilibrio.
89
Es decir, al mismo tiempo que a nivel nacionalprovees legislación para proteger los derechos,en este caso de la protección de datos o laprivacidad de los individuos, también favorecesel flujo de datos.
Y aquí no hay que perder de vista que estamoshablando no solamente de un derechofundamental consagrado en diversosdocumentos, sino también estás hablando de laviabilidad de un modelo económico que nos esinevitable a todos, que es: Cadenas de valorglobales. El ejemplo de Telefónica es muy claro.Para poder operar en diversos países si Telefónicava ha mandar datos sobre su nómina a sucorporativo en España o en donde lo tenga, perola legislación impide que así sea por cuestionesde privacidad, donde evidentemente no va ahaber, tratándose de arreglos corporativos éticos,sólidos, no puedes limitar el flujo de estos datos,tiene que haber alternativas. Y allí es dondehablamos de un equilibrio.
De ninguna manera estamos, como gobierno,tratando de reemplazar la regulación formal, esdecir, la ley o cualquier ordenamiento jurídico olo que sea, sino tratando de establecer lonecesario, con complementos, para podergarantizar ese equilibrio.
Sobre el juicio, sobre la sensibilidad, es malo queno haya conciencia, por supuesto. Si seinterpreto que yo decía que era bueno, pido unadisculpa; no, de ninguna manera.
Lo que quiero decir es que es un hecho que nohay una alta sensibilidad en la región y en otras,hacia este tema. Me refiero a una sensibilidadgeneralizada. Sí la hay, por supuesto, en capasespecíficas de la sociedad.
Casos como el de China se mencionaban. Porsupuesto que aun y cuando haya leyes y demás,siempre va a haber violaciones a la privacidad.
Y alguien hablaba sobre proponer unaestrategia en Latinoamérica o algo así. Yo diríaque es muy difícil. Es muy difícil, porque sólo pormencionar rápidamente el ejemplo de México,
la situación de México es muy distinta a la decualquier otro país latinoamericano y nada másvoy a dar un dato del por qué.
El volumen de comercio entre México y EstadosUnidos es mayor que el del resto del comerciointralatinoamérica, es decir, entre todos lospaíses de Latinoamérica.
Entonces, si tenemos en cuenta eso es obvio quepara el MERCOSUR es un contexto distinto quepara México en sus relaciones, hablando en locomercial, ya no digamos sobre otros aspectosque naturalmente también hay cuestiones dedivergencia potencial.
PPPPPonenonenonenonenonentetetetete: Juan Antonio Travieso.
Veo que ha generado muchas dudas einquietudes y muchas veces el tiempo es unverdadero elemento que nos obliga a hacer estaposdata, el Post Christum, que muchas veces estan importante. Y por eso, entonces, vamos ahacer los Post Christum.
A la pregunta de José Luis, a la participación deJosé Luis, le quiero decir que quizá como se omitiómi presentación, quizá no se aclaró que yo soyprofesor de Derechos Humanos y yo considero ytengo escrito en muchos libros el tema acercade que los Derechos Humanos son básicos eincluso la cuestión de la protección de datos. Lohe escrito en el año 1981, en mi primer trabajoen un libro que fue galardonado con el premiode UNESCO.
Así que quizás en un tiempo en queposiblemente José Luis todavía no soñaba condesempeñar el cargo que está desempeñando,yo ya dije y sustentaba que era un derechofundamental, sostenido desde el principio de laconvención de 1981 que fue la señera y tal es asíque en el próximo mes de marzo vamos a invitara que asista a la Argentina, en los últimos díasde marzo, vamos a tener la presencia del queprimero habló de los derechos fundamentalesde la protección de datos que es el señor SpiroSimités, así que muy buena la participación deJosé Luis en este sentido.
90
Solamente quiero agregar que cuando se hablade marcos autoregulatorios, por supuestoestamos hablando de marcos autoregulatoriosen el seno de regulaciones jurídicas.
En la República Argentina en la Ley 25326(Protección de los Datos Personales) se permitencódigos de conducta y ya tenemos aprobado uncódigo de conducta en donde es un elementomuy dinámico poder producir un código deconducta que al mismo tiempo permita que laautoridad de control pueda ejercer su controlsobre uno y sobre todos en forma rápida,eficiente y sencilla. Ese es el sistema a través delcual yo considero la autorregulación.
Sin duda hay regulación a través de los derechosfundamentales, hay regulación a través de lossistemas básicos que existen a nivelinternacional, a nivel regional, etcétera.
Voy a la otra pregunta que es con respecto a laley de gravedad. Y ahí por supuesto yo lo planteécomo una hipérbole, discursiva, negativa. Es decir,lo planteé como un exceso en el cual yo dijehipérbole discursiva, negativa.
¿Qué quiere decir hipérbole? Es un término enel cual uno agranda una situación para que elespectador entienda una situación; al mismotiempo es discursiva porque pertenece a undiscurso.
Yo dije, no estoy de acuerdo con eso, tal es asíque me emocionó cuando entregué losdiplomas, los certificados de cumplimiento y lagente me dijo: gracias. Estabas cumpliendo conla ley, es decir, estoy seguro que eso habla de latensión que ustedes han tenido. Y les agradezcomuchísimo que me hayan considerado contanta exactitud mis humildes palabras.
Y en tercer lugar, ¿cuál es la estrategia quepodemos hacer?
Yo puedo hablar de lo que yo hago, la estrategiaque tengo es múltiple, tengo muy pocosrecursos, tengo la ayuda de los amigos,
especialmente los amigos de España que son losque siempre me acompañan, no hay otros.
También cuando viajamos estamos difundiendo,esta es una estrategia de difusión con muy pocosrecursos. Es decir, estamos explicando que estose puede hacer, que no hacen falta grandespresupuestos.
Recién alguien me habló, no voy a decir quién,es un secreto de datos, alguien me dijo que enmuchos casos, en determinadas estrategias seaplican enormes cantidades presupuestales ymuchas veces el presupuesto es un obstáculopara poder hacer muchas cosas.
Debemos hacer un mentís a eso, el presupuestono es un obstáculo, el obstáculo más importantees nuestra propia incapacidad, esa es la parte, elobstáculo más importante y nuestra propiaineficiencia, porque por supuesto tenemosineficiencia, hacemos una autocrítica. Hay quedifundir y en eso estamos.
Último muy rápido. Con respecto al sectorfinanciero, por supuesto hay una estrategia muygrande que tiene que ver con una acciónvinculada con la forma en que presentan losinformes los bancos, en este caso nosotrosestamos actuando dentro de los ciento y picosde bancos, en este momento ya se estáninscribiendo en el registro de datos personales yal mismo tiempo actuar junto con el BancoCentral para moderar la actividad del organismocentral en materia de dictado de políticasmonetarias.
Es decir, actuamos en forma concertada,protegemos a la gente, le posibilitamos elderecho de acceso, posibilitamos la supresión enun marco como es el argentino en el que se hatomado una determinación de carácterestratégico financiero, que es la de no establecerel consentimiento para la información crediticiay para ella existe ese tipo de posición.
Es el área que más rápidamente ha aceptado elcontralor, porque otra áreas son un poco más
91
renuentes, pero el área de los Burós de Créditoha sido, no obstante los cuales para nomonopolizar las respuestas me ofrezco paradespués darle con amplitud, incluso, estadísticasy presentaciones y todo lo demás a la personaque no puedo distinguir por la luz, pero que nodude al final de preguntar.
PPPPPonenonenonenonenonentetetetete: David Banisar.
Voy a decirle algo sobre la Ley Inglesa contra laLey Romana, entonces no hay una sola fuenteen lo que es el derecho a la privacidad.
Tenemos muchos casos antiguos en Inglaterra,donde se han protegido a personas que, porejemplo, cuando el rey les quitaba las casas, ycasos en Francia durante el siglo XIX, cuando sevioló el derecho a la privacidad. Hay muchasfuentes de sistemas legales distintos.
Y esto ha surgido como una combinación demuchos de ellos, y se ha desarrollado a partir deéstos. Hubo otra sobre la protección de datosfinancieros en el Reino Unido.
En general los registros financieros se protegencon una ley. Hay una ley general que protegetodo tipo de datos personales y ha estadofuncionando bastante bien. Hace poco hubo uncaso en que el banco sacó algunos registros parauna compañía hindú que estaba vendiendo losregistros. Esto fue de hecho un robo de identidad,y como en cualquier otro sistema legal es másperfecto, pero creo que ha funcionado bastantebien.
Y finalmente el papel de las empresas. Sepensaba en 1995 cuando el Director de la UniónEuropea veía la importancia de la privacidad porlas corporaciones transnacionales, que queríantrabajar mucho, y querían trabajar una solanorma y querían tener una sola directiva deprivacidad, y no ha funcionado muy biendesafortunadamente.
También se han hecho esfuerzos másrecientemente para cerrar la brecha entre lo queson las leyes de privacidad y la autorregulación
y esto se ha desarrollado a través de las normasinternaciones, a través de ISO.
Desafortunadamente estos se basaban en lasnormas canadienses. Son bastante buenas. Sedesarrollaron en los bancos, en institucionesfinancieras, en algunos grupos que estabantrabajando juntos en Canadá, y la OrganizaciónInternacional de Estándares, y lasorganizaciones europeas tuvieron bastantesabotaje de las corporaciones estadounidensesy por eso no se llegaron a estándares generales.
Y fue una gran pena porque esto hubieraproporcionado muy buena información, y sehubiera difundido de una manera muy buenapara no entrar en un modelo completo que seaautorregulatorio.
PonentePonentePonentePonentePonente: Juan Pablo Pampillo Baliño.
Empiezo con la segunda pregunta, y empiezo porla segunda, porque yo creo que es segunda entiempo, pero primer en términos de orden.
Como dije desde el principio de mi exposición,las perspectivas y ángulos que he queridoexternarles a ustedes son estrictamentepersonales, y desde luego no responsabilizo porellas a IBM, en primer lugar.
En segundo lugar, cuál es la posición oficial de laempresa, pues desde luego de cumplimiento dela ley en todas aquellas jurisdicciones en las queejerce el comercio, pero bajo la premisafundamental, premisa ética fundamental de unestándar mínimo de eticidad en la conducciónde sus negocios en aquellas jurisdicciones en lasque no existe una legislación aplicable enmateria de protección de los datos personales.
En este sentido yo diría que es una posturacorporativa muy similar a la postura corporativade Telefónica. Esto es de observancia del derecho,observancia estricta del derecho en aquellospaíses en los que existe un ordenamientojurídico y regulatorio respecto del particular yen aquellas otras jurisdicciones en las que noexiste un marco normativo en materia de datos
92
personales, tratar como estándar ético deceñirse específicamente a los principios propiosde la legislación norteamericana por virtud dela propia situación corporativa de laInternational Business Machines que seencuentra matrizada en los Estados Unidos deNorteamérica y obviamente los principiosjurídicos norteamericanos permean toda suestructura.
Por lo que respecta a las preguntas delComisionado Alonso Lujambio, en primer lugar,con toda sinceridad decir que si no he podidohacer otra cosa sino de exponer precisamentecuestiones e interrogantes que me ha suscitadola reflexión de este tema desarrollos normativosy globalización, es por aquello que decían losfilósofos y los lógicos de que nadie da sino lo quetiene, y consecuentemente nadie da lo que notiene.
Después de reflexionar respecto de este temame quedan más dudas que certidumbres y hecreído que la mejor forma en la que podíacolaborar con esta mesa de trabajo era plantearprecisamente estas dudas que a mí me suscitóla reflexión de este tema.
Por lo demás, por lo que respecta al tema de losdatos personales sí decir que evidentemente yocreo que los datos personales son por así decirloo el derechohabiente respecto de la protecciónde los mismos es precisamente la persona, y ¡ojo!,empleo precisamente el término persona en suacepción no solamente usual, sinoespecíficamente etimológica y hasta filosófica,precisamente porque la persona no es elindividuo, la persona es el individuo en suproyección social y consecuentemente laprotección de la privacidad de los datospersonales, si bien es cierto que le compete demanera directa e inmediata a la persona titularde los mismos, cierto es también que le interesaa la comunidad dentro de la cual dicha personapues juega un determinado rol social.
Por último, por lo que hace al planteamiento deJosé Luis Piñar, yo me remitiría a la exposicióninmejorable del doctor Travieso que a eserespecto recoge básicamente mis opinionesrespecto del particular.
93
Protección de datos personalesProtección de datos personalesProtección de datos personalesProtección de datos personalesProtección de datos personalespor los Gobiernospor los Gobiernospor los Gobiernospor los Gobiernospor los Gobiernos
Mesa 4:Mesa 4:Mesa 4:Mesa 4:Mesa 4:
ModerModerModerModerModeradoradoradoradorador::::: Alonso Gómez Robledo Verduzco: Comisionado del IFAI.
Carlos Arce Macías estudió la licenciatura de Derecho con Especialidad en Derecho Público en laUniversidad de Guadalajara y en la Universidad de Guanajuato.
Se ha desarrollado como abogado del Consejo Nacional de Ciencia y Tecnología; maestro de laFacultad de Derecho de la Universidad de Guanajuato; oficial mayor de la Presidencia Municipal deGuanajuato; director ejecutivo de la Asociación de Municipios de México, A.C.; asesor jurídico delgobernador Vicente Fox, entre otros cargos.
Participó en diversos cursos y diplomados en Alemania, Costa Rica, Chile, Brasil, entre otros países.Se desempeñó como Coordinador Jurídico del Equipo de Transición del licenciado Vicente FoxQuesada.
Fue el titular de la Comisión Federal de Mejora Regulatoria, un órgano desconcentrado de laSecretaría Economía, de diciembre del 2000 a marzo del 2004; encargado del control de lanormatividad del Gobierno Federal. Actualmente es Procurador Federal del Consumidor.
Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Carlos Arce Macías.
Agradezco la invitación a este IV Encuentro Iberoamericano de Protección de Datos Personales.Me da mucho gusto estar aquí discutiendo un tema tan importante para México.
Primeramente, sabiendo que en este encuentro participan, evidentemente, personalidades deotros países, con mucha puntualidad señalaré, en atención a ellos, el trabajo y la institución querepresento, que es la Procuraduría Federal del Consumidor.
En la ponencia, primeramente, voy a hablar precisamente de qué es y qué hace PROFECO, laproblemática en el manejo de datos personales y cerraría con una serie de soluciones quepropondríamos, en relación a la Ley Federal de Protección al Consumidor, la óptica nacional, laóptica internacional respecto a PROFECO los consumidores y los datos personales, concluyendoevidentemente con las conclusiones a las que llego en mi presentación.
94
Primeramente qué es y qué hace PROFECO. Esun organismo descentralizado de servicio social,tiene personalidad y patrimonios propios,desarrolla funciones de autoridadadministrativa.
Estas funciones son las relativas al encargo deproteger y promover los derechos de losconsumidores, procurar la equidad y la seguridadjurídica en la relación entre proveedores yconsumidores, y en ese sentido brindamosatención a los consumidores que no están deacuerdo con la relación que han establecido conlos proveedores. Tramitamos anualmente cercade 150 mil quejas de consumidores contraproveedores. En este sentido la PROFECO seconvierte en un sistema de acceso a la justiciapara un gran número de mexicanos.
También atendemos a los proveedores. Tenemosprogramas para mejorar precisamente todos sussistemas de calidad y de atención al cliente.
Impulsamos el cumplimiento de la ley, en la cualtenemos una serie de funciones especiales,algunas de ellas, de las cuales voy a hablar, quetocan precisamente lo relativo a datospersonales de una manera tangencial, y la parteprobablemente más importante de PROFECO,que es la relativa a la educación del consumidor.A crear una cultura del consumo inteligente:Impulso al cumplimiento a la ley, educación alos consumidores, atención a los consumidoresson los puntos vitales, los ejes principales deltrabajo de la Procuraduría Federal delConsumidor.
Pasaré a la parte relativa a la problemática en elmanejo de datos personales.
¿Cuál es la problemática que en estos momentosestamos enfrentando?
México no cuenta con un marco jurídico queregule el manejo adecuado de los datospersonales. Ello evidentemente afecta al titularde datos personales, dado que su uso se hace demanera indiscriminada. Esto quiere decir, no
sabemos dónde puedan acabar los datospersonales de cada uno de nosotros. Puedenandar circulando hoy ad limitum, sin ningún tipode regulación.
Para la política pública de protección alconsumidor, las actuales prácticas demercadotecnia directa e indirecta, en algunasocasiones, no hacen un uso adecuado de losdatos personales. Simplemente si nos vamosnada más a la parte de mercadotecnia tantodirecta como indirecta, veremos que de repentellega una serie de publicidad que no sabemoscómo llegaron nuestros datos, nuestro domicilioo bien nuestro número telefónico a manos deciertas empresas.
El titular de los datos, el consumidor, resultaafectado por prácticas comerciales que puedenser engañosas e incluso fraudulentas tanto anivel nacional como internacional.
Yo quiero comentarles que durante mipermanencia en la COFEMER, en la ComisiónFederal de Mejora Regulatoria, ahí procesamoslo que fue, sobre todo la iniciativa de acceso a lainformación, de la Ley Federal de Transparenciay Acceso a la Información. Ahí la construimos, yla promovimos junto con algunas otrasinstancias de gobierno; pero precisamentedurante este proceso de construcción de la LeyFederal de Transparencia y Acceso a laInformación, y analizando sobre todo el derechocomparado nos quedo, desde entonces, muyclaro que a México le faltaban otras dos leyespara complementar el paquete precisamente detransparencia y no era otra cosa sino dos leyesimportantes: La Ley de Archivos y, por supuesto,la Ley de Protección de Datos Personales.
De tal manera que este paquete, que tiene trespilares, hoy por hoy en México únicamente estásostenido en uno, que es la Ley Federal deTransparencia y Acceso a la Información PúblicaGubernamental, pero le faltan estos otros dosinstrumentos jurídicos tan importantes, comoson la Ley de Archivos y la Ley de Protección deDatos Personales.
95
La problemática en el manejo de los datospersonales. Esta institución, PROFECO, esespecialmente sensible en el contexto de lastecnologías de la información y de la economíadigital.
En México, en 2005 hay 17 millones deinternautas, de los cuales casi el 73 por cientoson jóvenes y jóvenes adultos que van de los 13 alos 34 años. Estos grupos poblacionales sonespecialmente vulnerables a un mal manejo desus datos personales en la transacción de bienesy servicios en línea.
Imagen ustedes que hoy por hoy gran parte delfuturo del comercio es esencialmente elcomercio electrónico y precisamente en la redvan a estar subidos todos los datos personales ogran parte de nuestros datos personales.
¿Qué está pasando ahí? ¿Qué regulación hay enMéxico? Es un gran reto, es un gran no solamentea nivel de México, sino realmente a nivelmundial.
Estos grupos poblacionales son especialmentevulnerables en estos servicios en línea yasimismo en el fenómeno de los correoselectrónicos no solicitados o publicidad nosolicitada en el Internet, como es el Spam. Tiene,entre otros orígenes, un manejo ilegal de basesde datos personales, además de que pueden servínculos para cometer prácticas fraudulentas.
Nuestro mail, nuestra dirección electrónica,¿cómo llega a una enorme cantidad de empresasque luego nos mandan precisamente publicidada nuestro correo electrónico?
Otra problemática, he hecho una lista de algunascuestiones fraudulentas que hemosidentificado desde la PROFECO, precisamente enel Internet, el llamado phishing, que no son otrascosas sino correos electrónicos falsos solicitandoinformación financiera. Esto ha dado lugar a unsinnúmero de fraudes, sobre todo, correoselectrónicos de bancos en los cuales solicitannúmeros de tarjetas, números de cuentas,
etcétera y luego vienen fraudes que pueden sermuy cuantiosos.
La carta nigeriana, acaban de pescar algunosnigerianos que hacían fraudes, se dedicaban acometer fraudes aquí en México; sin embargo,esta carta no es otra cosa sino una solicitud deque le guarden dinero a un riquísimo reynigeriano en el exilio que necesita poner sudinero en alguna cuenta, para eso le requierena usted la cuenta y pues evidentemente va atener grandes ganancias y con ese número decuenta evidentemente viene el fraude; hayloterías y otros premios. Todo esto esesencialmente para captar datos personales delos cibernautas.
Servicios financieros que sea ofrecen, esquemasde trabajo en casas, ofertas, grandes ofertas detrabajos, empresas petroleras que ofrecentrabajos de tres meses en el Mar del Norteganando miles de dólares al mes, en fin, ventade títulos y grados académicos, sin estudiar porsupuesto, paquetes vacacionales, toda la partede pornografía, adquisición de música y juegos.
¿Dónde están nuestros datos personales?, ¿cómose protegen los datos personales?, ¿quéseguridad tenemos los consumidores en elmomento de usar Internet? Cuando Internet seusa cada día más en la parte comercial.
Algunas soluciones. PROFECO, para empezar,visualiza una solución esencialmente global,ésta debe basarse en una combinación demarcos regulatorios claros, con prácticas éticas,que es lo que cerraría la pinza, las prácticaséticas por parte del sector privado.
Actualmente, el texto de la Ley Federal deProtección al Consumidor incluye elementosorientados a lograr una mejor protección de losdatos personales en los consumidores, hay querecordar que la Ley Federal de Protección alConsumidor apenas acaba de sufrirmodificaciones al respecto, acaba de expresarseestas modificaciones apenas en el 2004,empezaron a entrar en vigor en 2005.
96
Tenemos la función de poder ya establecer unalista telefónica para evitar las llamadas demercadotecnia directa a las casas, en estas listasllamadas No Call, por ejemplo, de no llamadas,como hay en Estados Unidos y en otros países.Este es uno de los proyectos que esperamosavanzar de manera significativa en el próximoaño desde la Procuraduría General delConsumidor.
Tenemos algunos datos importantes, algunasfunciones en relación a mejorar la protecciónde datos personales de los consumidores.
Los elementos más destacados, el titular de losdatos tiene derecho a saber si los proveedoresposeen datos personales sobre él. El titular delos datos personales tiene también el derecho aacceder a sus datos y corregirlos, de existir erroreso inconsistencias.
Los proveedores que poseen datos personales delos consumidores no pueden compartirlos ocederlos a terceras personas de maneraindiscriminada.
Este problema, por ejemplo, ya lo vivimos en elcaso de la base de datos de Direct-TV a SKY,precisamente en el momento en que se retiradel mercado mexicano Direct-TV y queda nadamás la empresa SKY como la oferente de losservicios de televisión satelital.
Los proveedores no podrán usar esta informacióncon fines distintos a los originales, o sea,exactamente los establecidos en su negocio, nopueden, en principio, estar pasando las bases dedatos indiscriminadamente a otros comercios, aotras corporaciones.
Y desde la óptica nacional se debe reconocercabalmente la inserción de México en laglobalización y en las innovaciones tecnológicas,hay que aceptar el nuevo ambiente económicogeneral y para los actos de consumo enparticular, por ello la PROFECO busca fortalecerla protección y defensa de los derechos de losconsumidores en un nuevo contexto digital.
PROFECO busca crear mayor conciencia entrelos consumidores de lo que puede implicar el malmanejo de sus datos personales, sobre todo enel contexto electrónico.
La visión, la perspectiva hacia futuro de lacuestión electrónica realmente no reconocefronteras, ni ve barreras posibles, tiene todo lorelativo, por ejemplo, a lo que llamamos comerciomóvil, o sea, la sustitución de las tarjetas decrédito por la portabilidad de númerostelefónicos, nos vamos a convertir en un número,nosotros somos el número telefónico quetengamos y ese número lo vamos a estarconservando, de tal manera que a través de todoslos sistemas electrónicos, por ejemplo, si esto lovemos en combinación con la etiquetaelectrónica, pues, vamos a ir al supermercado,vamos a llenar el carrito, vamos a pasar por unarco electrónico y automáticamente se va acargar la suma de todo lo que compramos, eltotal de lo que compramos a nuestra cuenta deteléfono, ya no necesitamos pasar tarjeta, nimucho menos.
Incluso, llegando a un hotel seguramente vamosa tener un número al cual vamos a marcar en elhotel sin tener que pasar al mostrador y ahídirectamente nos van a decir cuál es nuestracuenta, cuál es el cuarto que tenemos asignadoy vamos a recoger una tarjeta o alguna cosa asípara entrar a la habitación. Toda esta parteelectrónica pues significa datos de nosotros,domicilios, Registro Federal de Contribuyente,etc., en manos de un sinnúmero de corporacionesy de comercios.
¿Dónde van a quedar estos datos? ¿Qué va a pasarcon estos datos?
La página de PROFECO, www.profeco.gob.mxcontiene una sección de consumo informado,con énfasis en el comercio electrónico y en elSpam, áreas en las que los datos personales delos consumidores pueden ser fácilmentevulnerados, son explicados precisamente allí, enestas páginas de Internet.
97
Las alertas que saca continuamente PROFECOtambién son otro mecanismo que busca ayudara la población para cuidar, entre otras cosas, susdatos personales.
Soluciones:
Desde la óptima internacional, primeramente,creo que PROFECO participa sobre todo enejercicios internacionales a fin de conocer lasmejores prácticas internacionales de la políticapública de protección al consumidor y aquellosaspectos que están ligados a la protección dedatos personales.
Verificación de sitios electrónicos, lo quellamamos sweep days, días de limpieza; análisisde los correos de Spam, de dónde vienen y lascampañas internacionales de educación. Todoel asunto electrónico, sobre todo del Internet, sino hacemos acciones de tipo internacional,realmente no vamos a llegar a ningún lado, asíde sencillo.
Existe consenso internacional de que eltratamiento ilegal de datos personales conducea prácticas comerciales transfronterizas,engañosas y fraudulentas.
Algunas soluciones que alcanzamos a visualizar,desde la óptica internacional esencialmente:
Los países deberían de instrumentar, comomínimo, los lineamientos sobre protección de laprivacidad y flujos transfronterizos de datospersonales de la OCDE, de la Organización deCooperación y Desarrollo Económico. Según lapropia OCDE, el manejo de los datos personalesdebe de ser, primeramente, simple ytecnológicamente neutro, o sea, que se puedanutilizar diversas tecnologías, no estar sujetosúnicamente a algún tipo de tecnología.
Se deben instrumentar esquemas de regulacióno autorregulación o bien esquemas mixtos, quevean la parte de regulación desde los Gobiernosy una dosis de autorregulación.
Los sectores público y privado deben participaren el buen manejo de los datos personales enuna sociedad.
Es muy importante dejar claro que este no es unasunto únicamente de incumbencia delgobierno, sino que tiene que habernecesariamente la participación de losparticulares.
Conclusiones:
Es necesario generar una legislación nacionalsobre la materia. Es una legislación realmentecompleja, difícil, que incluso en estos momentosno está suficientemente discutida al interior delgobierno.
Hay diferentes líneas de política de protecciónde datos privados, ya que tenemos la líneaeuropea sumamente constrictiva, precisamenteen el traspaso de los datos personales y tenemosla línea americana, que es más permisiva, perotambién con ciertos acotamientos.
Nos encontramos realmente en el momento dedecisión de ver qué camino de esta bifurcaciónpodemos tomar, si la línea de las políticasesencialmente norteamericanas o las políticaseuropeas, en relación a los datos personales.
Pero lo que sí es claro es que México requierenecesariamente de una legislación nacionalsobre la materia. La posibilidad también de crearmercados de sociedades de información esimportante, hay que verla también con estaperspectiva.
La exigibilidad, pues, de conductas específicas alrespecto es necesaria y solamente se puede dara través de la legislación.
Es muy importante la educación de los ciberusuarios especialmente y que los proveedoreshagan del conocimiento de los consumidorescuál es su política de privacidad; o sea, la parte,como ya les comentaba, de responsabilidad porparte de las empresas.
98
Los consumidores confiarán más en la economíadigital cuando se les garantice un uso adecuadoy legal de sus datos personales. Esto de unamanera muy rápida, ya que estamos muyconstreñidos de tiempo, es lo que teníapreparado para ustedes en esta presentación.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco:Comisionado del IFAI.
Antes de conceder la palabra a nuestrosdistinguidos invitados y especialistas en estetema, cuya importancia capital ya no puedeescapar a nadie, permítaseme un muy breve, unmuy pequeño prólogo a este mismo tema.
El pasado mes de septiembre se celebró enMontreux, Suiza, la XXVII ConferenciaInternacional Sobre Protección de Datos y VidaPrivada.
En esta importante conferencia internacional,se elaboró una declaración final, en donde sereconoció, entre otros muy relevantes puntos lossiguientes, que quisiera destacar: Primero, sereconoció que el desarrollo de la sociedad de lainformación está dominado por la globalizacióndel intercambio de información, y por el uso detecnologías de procesamiento de datos con unainjerencia cada día más peligrosa, cada díamayor y progresiva en el ámbito de laomnipresente vigilancia sobre las personas entodo el mundo.
Así como el hecho de que el rápido incrementodel conocimiento en el campo de la genéticapodría convertir el ADN humano, nada más ninada menos que en el dato personal más sensiblede todos ellos.
Tercero, se reconoció que el derecho a laprotección de datos y a la privacidad es underecho humano fundamental. Así como unacondición esencial en una sociedad democráticapara asegurar las garantías individuales, un flujolibre de información y una economía de mercadoabierta.
De igual suerte en esta declaración de Montreuxse hace un formal y enfático llamado, y esto noes menor, a las Naciones Unidas, la ONU, paraque prepare un instrumento jurídico vinculanteque establezca en forma clara, así dice ladeclaración final, en forma clara y detallada losderechos a la protección de datos y la intimidadcomo derechos humanos de obligadocumplimiento.
Por otro lado, es ya un lugar común, pero no porcomún menos cierto sostener que el acceso a lainformación pública y la protección de datospersonales constituyen los dos lados de unamisma moneda.
Sin embargo y especialmente por estevertiginoso avance de la tecnología, losgobiernos mantienen cantidades masivas,creíblemente masivas de información personalsobre sus propios ciudadanos, declaraciones delimpuesto sobre la renta, archivos de impuestopredial, gravámenes de títulos, archivos deasistencia social, registros de inmigración,registros de empleo y esto para sólo mencionarlos más comunes y corrientes, digamos los másclásicos y tradicionales.
Aquí el acceso al público a tales registros ennombre del acceso a la información pública, a lainformación gubernamental podría, en algunoscasos o en muchos, todo depende, podría privaral individuo de su capacidad, de su facultad paraproteger su privacidad. En este sentido y enteoría, podrían concebirse como conceptospotencialmente opuestos por naturaleza.
Sin embargo el derecho positivo, la prácticainternacional demuestra lo contrario y esto loha demostrado con creces. Se ha evidenciadoque estos dos polos o caras de la moneda sonbien compatibles. Esto es, son absolutamenteconciliables en su aplicación.
Todo ello, y aquí quiero enfatizarlo, todo ello, ycon esto termino, a condición que una ley sobredatos personales prevea mecanismos eficacespara la, digamos, no injerencia a la privacidad, ala par que prevea nítidamente que no se
99
entorpezca el libre flujo de información para eleficiente y óptimo funcionamiento de losmercados y la economía en general.
Sin más preámbulo quisiéramos dar la palabra anuestros muy distinguidos invitados de estamañana. Y si ustedes me permiten podríamoscomenzar con la doctora María AlejandraSepúlveda Toro. Directora Ejecutiva del Proyectode Reforma y Modernización del Estado en Chile,ministerios de la Secretaría General de laPresidencia. Ella es abogada por la Universidadde Chile y tiene Master en Gerencia Pública yDiplomada en Dirección por Valores de laUniversidad de Barcelona, España.
Ha sido docente en la Universidad deMagallanes, asesora jurídica en la ContraloríaGeneral de la República de Santiago yContraloría Regional de Magallanes y AntárticaChilena. Igualmente Directora de Operacionesy Directora Nacional del Servicio del Registro Civile Identificación.
PPPPPonenonenonenonenonentetetetete: María Alejandra Sepúlveda Toro.
La protección de datos es una materiaestrechamente vinculada al desarrollo de lastecnologías de la información y lascomunicaciones y al proceso de globalización alque asisten todos nuestros países.
Es así como estamos reunidos entorno a lainquietud, a la necesidad de proteger los datospersonales y entorno a los desafíos que estoplantea a nuestros distintos países.
Las declaraciones de la Antigua, de mayo 2003,de Santa Cruz de la Sierra, de noviembre 2003,de Cartagena de India, de mayo del 2004, hanexpresado que la protección de los datospersonales constituye un derecho fundamentalde las personas, relevándose las iniciativasregulatorias desarrolladas en los paísesiberoamericanos para proteger la privacidad delas personas y propender al acceso a lainformación y al control de sus datos que puedanhacer los ciudadanos.
Es importante destacar que estas materias sevinculan muy estrechamente con el desarrollocompetitivo en nuestros países y con elbienestar social, especialmente de los sectoresmás postergados o más rezagados de nuestrascomunidades.
El marco jurídico en Chile, lo vemos nosotros apartir de la Declaración Universal de los DerechosHumanos, del año 1948, en esta declaración seconsagra el derecho a la intimidad y merece porprimera vez un reconocimiento internacional.El artículo 12 de esta declaración dice que nadiepodrá ser objeto de injerencias arbitrarias en suvida privada, su familia, su domicilio o sucorrespondencia; ni de ataques a su honra o a sureputación; estableciéndose que la ley debebrindar el amparo y la protección contra talesinjerencias o ataques.
Desde entonces con mayor o menor desarrollonormativo los distintos tratados internacionesreferidos a los derechos humanos hancontemplado el derecho a la intimidad y demanera sistemática también ha sido recogidopor las Cartas Fundamentales de nuestrosEstados.
En Chile el artículo cinco de la ConstituciónPolítica del Estado, establece que la soberaníareside esencialmente en la nación y que suejercicio reconoce como limitación el respeto alos derechos esenciales que emanan de lanaturaleza humana y que es deber de losórganos del Estado respetar y promover talesderechos, que están garantizados por laconstitución y por los tratados internacionalessuscritos por Chile y que se encuentran vigentes.
Por su parte, el artículo 19 de la Constitución altratar de las garantías individuales en sunúmero cuatro, establece el respeto y laprotección a la vida privada y la honra de lapersona y su familia.
Y en el número cinco se establecen lainviolabilidad del hogar y la correspondencia.
100
La Ley 19,628, sobre protección de la vida privada,del año 1999, recoge todo lo anterior y supropósito es brindar una adecuada protección ala privacidad de las personas, reconociendo queésta pertenece a la categoría de los derechoshumanos y que los órganos del Estado estánobligados a reconocerla y ampararla.
La ley fue publicada el día 28 de agosto de 1999 ylo que hace es regular el tratamiento de los datospersonales contenidos en los registros o bancosde datos de los organismos públicos y privados.
La propia ley define lo que debemos entenderpor datos personales y dice que son los relativosa toda información concerniente a personasnaturales identificadas o identificables.
La naturaleza jurídica de este derecho es suigéneris, pues no hay un derecho absoluto dedominio sobre la información por parte deltitular, ya que éste puede adquirir un carácterde supraindividual, cuando el conocimiento deesa información sea necesaria para la protecciónde su titular o responda a fines superioresestablecidos por el bien común.
También la ley define el dato sensible y dice quees aquel dato personal que se refiere acaracterísticas físicas o morales de las personaso a hechos o circunstancias particulares de suvida privada o de su intimidad, tales como sushábitos personales, sus creencias religiosas, susopiniones políticas, su origen racial, los estadosde salud físico psíquica y la vida sexual.
La fuente de los datos sensibles se encuentra enla propia Constitución, que ya he señalado y quese refiere a la protección de la vida privada de laspersonas de su familia.
El tratamiento de los datos personales. Estetratamiento sólo puede efectuarse cuando laLey 19,628 lo autoriza. ¿Y cuándo lo autoriza estaley? Cuando proviene de una fuente de accesopúblico, de registros públicos o privados de accesono restringido a sus titulares.
También pueden tratarse estos datos cuandootras disposiciones legales lo permitan, como porejemplo, el Código del Trabajo, que en materiade fiscalización permite el acceso a los registrosde asistencia y de remuneraciones. Y finalmentelo permite cuando el titular consientaexpresamente en ello.
El consentimiento del titular, de ser unconsentimiento informado. Él debe conocerclaramente la finalidad y el propósito delalmacenamiento de sus datos y la posibilidadde que éstos sean dados a conocer a terceros. Laautorización debe darse por escrito y la manerade revocarla es de la misma manera.
En cuanto al tratamiento de los datos sensibles,éstos no pueden ser objeto de tratamiento, salvoque la ley lo autorice, que exista consentimientodel titular o que sea necesario para ladeterminación o el otorgamiento de losbeneficios de salud. Solamente en aquellos casospueden ser tratados.
El tratamiento de los datos personales por losorganismos públicos. Aquí se señala por la leyque esto sólo puede hacerse dentro de lacompetencia y de acuerdo con las normas de lapropia ley.
Es decir, hay un tratamiento legal de los datospor parte de organismos públicos y la propia Ley19,628 se encarga de definir quiénes son losorganismos públicos, indicando que estocorresponde a los municipios, las intendencias,las gobernaciones, los servicios públicos y lasempresas públicas, y que ellos, como son creadostodos estos organismos por ley, siempre van atener que enmarcar su actuar dentro de lascompetencias que la propia ley le establece.
Respecto de los datos personales relativos acondena y delitos por infraccionesadministrativas o faltas disciplinarios, sólopueden comunicarse a los tribunales de justiciay a los otros organismos públicos, dentro delámbito de su competencia, debiendo estoguardar reserva o secreto, según corresponda.
101
En general esta información no puede sercomunicada, una vez prescrita la acción penal oadministrativa o cumplida la sanción o la pena,salvo en los casos en que los tribunalessolicitasen esta información para la tramitaciónde sus asuntos que se encuentren pendientes.
El tratamiento de los datos por los organismosprivados. En este caso pueden comunicarinformación de carácter económico, financiero,bancaria o comercial, cuando conste en letrasde cambio, pagaré o cheques que hayan sidoprotestados o en el incumplimiento de mutuoshipotecarios, préstamos o créditos, sólo hastacinco años después que la obligación se hizoexigible.
También debe cesar esta comunicación en elcaso de que la obligación se haya pagado o sehaya extinguido por cualquier otro modo legal.La excepción a esto es la información a lostribunales cuando esto lo requieran.
Aquí se excluyen todas las cuentas relativas alos consumos o servicios básicos, que son agua,luz, teléfono y gas. La ley contempla el recursode la Hábeas data, como una acción sumarísimaque da protección a los datos personales frentea un registro o a un banco de datos.
Los derechos amparados o la información, lamodificación, la cancelación y el bloqueo de losdatos, y las causales de procedencia son estasmismas cuando el titular de los datos hayasolicitado esta información, y ésta no se le hayaotorgado dentro de dos días o no haya sidodenegada por el interés superior de la Nación.
Este es un proceso sumario que se inicia con lareclamación que hace el titular de los datos anteel Tribunal competente del domicilio delreclamado. En esta reclamación debe establecerla circunstancia de esta problemática que él estáenfrentando, y acompañar los mediosprobatorios con los que cuenta.
De esta reclamación el Juez le da traslado alreclamado, que tiene el plazo de cinco días parahacer sus descargos, y también acompañar sus
medios probatorios. Luego lo cual el tribunal puedeabrir un término de prueba que tiene un plazo decinco días, vencido el cual dentro del plazo de tresdías debe dictar la sentencia definitiva, sentenciaque es susceptible del recurso de apelación enambos efectos, y para lo cual este Tribunal debeponer los antecedentes y conocimiento delPresidente de la Corte de Apelaciones respectiva,quien sin necesidad de que comparezcan laspartes va a recibir estos antecedentes en cuenta yva a resolver en definitiva.
Contra estas sentencias no proceden losrecursos de casación. Ahora, no puede ejercerseesta acción cuando entorpezca actividadesfiscalizadoras de organismos que tienen comomisión realizar esta fiscalización o afecta laseguridad de la Nación o el interés nacional. Esasson las limitaciones que tiene el Hábeas data.
Por otra parte, la ley crea un registro de bancosde datos personales a cargo de organismospúblicos, señala que éste será deresponsabilidades de servicio del Registro Civil eIdentificación, y le da a este registro lacaracterística de público, como una manera dehacerlo transparente para el ciudadano.
En este registro las bases de datos se informanpor medios electrónicos y contiene un índice delos bancos de datos personales que están a cargode los organismos públicos.
Las menciones que debe llevar este registro son:El nombre del banco de datos personales, elnombre de los organismos públicos que lo tienena su cargo, el rol único tributario del organismopúblico, el fundamento jurídico de su existencia.Aquí volvemos nuevamente al principio delegalidad en cuanto al tratamiento de los datos,la finalidad del banco de datos, es decir, elobjetivo de persigue, el tipo de datosalmacenados y una descripción del universo depersonas que éste contempla.
Sobre este registro, el Servicio de Registro Civil eIdentificación, otorgará por medios electrónicosla información a todo aquel que la solicite, y dela manera, más rápida y transparente posible.
102
Esta es una visión panorámica del ordenamientojurídico en Chile, teniendo en cuenta laimportancia que esta materia reviste y de lapreocupación que debemos mantener en tornoa proteger los datos y a velar por el desarrolloeficiente, eficaz y ético de las tecnologías deinformación en nuestro país.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
La doctora Guillermina González Durán esegresada de la Facultad de Derecho de laUniversidad Nacional Autónoma de México, dela UNAM; su experiencia profesional ha sidoprincipalmente en la administración pública yen particular en el Instituto Nacional deEstadística, Geografía e Informática en el áreade política informática; ha participado en eldesarrollo de diversos proyectos normativos coninstituciones como las Secretaría de Economía,de Gobernación, así como en el Cámara deDiputados en temas de firma electrónica,protección de datos personales y normas para laconservación de mensajes de datos; asimismoha participado en la delegación mexicana eneventos internacionales relacionados con lostemas antes mencionados; actualmente ocupael cargo de Directora de Estándares yNomenclaturas en la Dirección General deCoordinación de los Sistemas Nacionales,Estadísticos y de Información Geográfica delINEGI.
PonentePonentePonentePonentePonente: Guillermina González Durán.
Quiero dividir mi presentación en tres grandesapartados:
El primero de ellos, hablar un poco del contextoy del ámbito de atribuciones del INEGI y el porqué de la participación en este tema.
En segundo tema las acciones que el INEGIrealiza para proteger los datos que son obtenidospara fines estadísticos dentro de la institución yque son proporcionados por los informantes.
Y como tercer tema, quisiera hacer referencia alas acciones que está realizando el INEGI encumplimiento de las disposiciones de la LeyFederal de Transparencia y Acceso a laInformación Pública.
Como primer punto, quisiera mencionar, el INEGItiene, dentro de sus atribuciones que le confierela Ley de Información Estadística y Geográfica,dos grandes funciones.
Una de ellas es la integración de los sistemasnacionales, estadístico y de informacióngeográfica. Y la otra es la de captar, producir,procesar y difundir información estadística ygeográfica que pueda ser de interés general.
Para llevar a cabo estas funciones, el INEGIrequiere de la participación de los informantes,mediante la obtención de datos que pueden yque tienen la finalidad de ser estadísticos.
En el contexto de la confidencialidad de los datosque el INEGI recaba para estos fines, la Ley deInformación Estadística y Geográfica estableceel derecho, en primer término, de laconfidencialidad de los datos que sonproporcionados; seguido, consagra el derecho derectificación de los datos que le concierne a losinformantes cuando exista algún error en ellosy, en su caso, de denunciar ante autoridadcompetente cuando no se respete laconfidencialidad y reserva de dichos datos.
Asimismo, determina de una manera muy clarala finalidad para lo cual van a ser recabados losdatos que son para fines estadísticos. Y que sudivulgación únicamente podrá ser referida a tresunidades de observación con el propósito de noidentificar de manera individual a la persona queproporcione los datos.
Otro artículo que hace referencia a la protecciónde datos es el artículo 40, que establece elderecho que tienen las personas de solicitar anteautoridad competente que quede sin efecto lainformación que haya sido proporcionadamediante engaño o ilícitamente.
103
Y finalmente contiene un apartado deinfracciones que pueden ser imputables aservidores públicos, recolectores o censores queviolen la confidencialidad de los datos queobtienen para los fines estadísticos.
Por su parte, el Reglamento de la Ley deInformación Estadística establece qué debemosentender por dato estadístico confidencial y lodefine como los informes cualitativos ycuantitativos proporcionados por losinformantes, para fines estadísticos referidos auna unidad de observación.
En síntesis, los elementos de protección queestablece la Ley de Información Estadística sonlos siguientes: El principio a la confidencialidadde los datos, el derecho a la rectificación de losdatos que son proporcionados para dicho fin, lafinalidad del uso de los datos, su difusión referidaa un mínimo de tres unidades de información, elderecho que tiene el informante de solicitar quequeden sin efecto cuando son proporcionados uobtenidos mediante engaño, infraccionesimputables a las personas o servidores públicosque intervienen en la captación de informaciónpara fines estadísticos y la definición del datoestadístico como tal.
El segundo apartado en cuanto a los aspectosde confidencialidad previstos en los censos yencuestas del INEGI, se refiere a la protecciónde la información en las diferentes fases que sonde captura, procesamiento y explotación delproceso de generación y actualización deinformación estadística y geográfica.
Para cada una de estas fases existenresponsables del manejo de la información queen sus diferentes momentos tienen que hacersecargo de preservar los derechos deconfidencialidad.
Algunas de las acciones que se realizan paraestos fines es, se elimina o suprime lainformación de carácter confidencial, datos queson traducidos a código numéricos que nopermiten una identificación personal.
La información se presenta en diferentes nivelesde desagregación a nivel país, estado, municipio,hombres, mujeres, sin que haya unaidentificación del nombre de la persona a la quese está refiriendo.
La confidencialidad aplica a los niveles másdesagregados, a mayor detalle se agrupan mayornúmero de variables.
Desde el punto de vista del uso de las tecnologíasde la información el INEGI tiene un programaintegral de seguridad que contempla un sistemade prevención contra ataques internos yexternos a la red. Esto es, a través de antivirus,antispam o el firewall, con esto se resguarda y seprotege la integridad de la información que escontenida en bases de datos en las cuales se vaintegrando aquella información que finalmenteva a tener un destino de información estadísticao geográfica.
En cuanto a las acciones para el cumplimientode la Ley Federal de Transparencia y Acceso a laInformación Pública Gubernamental, el INEGItiene la obligación de identificar y registrar anteel Instituto Federal de Acceso a la InformaciónPública los nombres de los sistemas utilizados,en cumplimiento de sus funciones, quecontienen datos personales de los funcionariospúblicos que laboran en la institución y de laspersonas físicas y morales que proporcionan susdatos.
Esto es, cuando las personas participan en sucarácter de informantes, tienen la certeza deque sus datos no van a ser manejados de maneraindividual y que van a estar resguardados, desdeel punto de vista tecnológico y desde el puntode vista también de la integridad de lainformación.
Esta información se encuentra disponible paratodo el público en la Sección de Transparenciadel INEGI en Internet, bajo el nombre Listado deSistemas de Datos Personales del INEGI.
El INEGI lleva a cabo estas acciones con elComité de Información del Instituto, a través de
104
la Unidad de Enlace del INEGI, que realiza lasgestiones necesarias para garantizar el flujo deinformación entre el Instituto y los particulares.
A través de esta Unidad de Enlace se atiendensolicitudes de información en los módulos deatención ciudadana del INEGI, que estádiseminada en el país y que es atendida por losjefes estatales de atención a usuarios ycomercialización.
Cuenta con un sistema de datos personalesdenominado Capital Humano, así como convarias listas de sistemas derivados de lasencuestas que realiza, donde éstos se recaban yprotegen, en donde existe un responsable delmanejo de esta información.
Y, finalmente, el INEGI observa las políticasgenerales y procedimientos, para garantizar laprotección de los datos personales publicadospor el IFAI el 30 de septiembre del 2005. Se estárealizando las acciones conducentes para llevara cabo el cumplimiento de estas disposiciones.
En términos generales y de una manera muybreve, estas son las acciones que realiza el INEGI.
Quiero comentar, adicionalmente, que estainstitución tiene un compromiso, desde hacevarios años, cuando ejercía la función de políticainformática, de trabajar en los proyectos deprotección de datos personales, en el contextode lo que era la política informática dentro de lainstitución y que ahora continúa con estecompromiso, a través de su responsabilidad degenerador, producto y difusor de la informaciónestadística y geográfica.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
El doctor Alfredo Chirino Sánchez es profesorcatedrático de Derecho Penal, de la Facultad deDerecho de la Universidad de Costa Rica. Obtuvosu Maestría y Doctorado en Derecho en laUniversidad de Joan Wolfart Gate de Frankfurt,en la República Federal de Alemania. Hapublicado numerosos artículos, ensayos y libros
sobre temas de Derecho Penal, Procesal Penal,de Derecho Constitucional y sobre el Derecho ala Protección de la Persona frente al Tratamientode sus Datos. Entre ellos podríamos mencionarlos siguientes: El Derecho a información y laAdministración de Justicia en América Latina;Informática y Derecho a la Intimidad;Perspectivas de Política Criminal; El Derecho ala Información y el Papel de las Instituciones delSector de Justicia.
Ponente:Ponente:Ponente:Ponente:Ponente: Eric Alfredo Chirino Sánchez.
Muchas gracias. Muy buenos días a todos y atodas, distinguidos y distinguidas miembros deeste presidium, y compañeros, compañeras ycolegas todos preocupados por el problema dela protección de datos.
Antes que nada agradecer a los organizadores ycopatrocinadores de este evento, no sólo por lacapacidad de convocatoria que han tenido paraque este tema se localice en muy alta, lajerarquía de los temas que preocupan a México,como también por darnos la posibilidad a la RedIberoamérica de Protección de Datos Personales,tener la ocasión de hacer este IV Encuentro, quecomo lo decía nuestro Director, indudablementemarcará un hito, donde se hablará de un antes yun después de este IV Encuentro que estamosrealizando.
No quería hacer una presentación dondehablara exclusivamente de mi país, quería, másque todo, compartir con ustedes algunosproblemas que probablemente nos tienenunidos a todos los países de América Latina, yque nos presentan hoy en día una dificultadenorme para poder superar los déficit de ordenlegislativo y cultural que actualmente tienenel desarrollo de la protección de datos sometidaa una grave situación espiritual. Si me permitenustedes usar esa palabra.
Principalmente quería comenzar con unaproposición. La proposición es: ¿Realmente seráel problema de la protección de datos en manosdel Estado un problema del Estado de derecho?Y quiero con esa proposición que les va a parecer
105
a ustedes paradójica comenzar diciendo que enefecto nadie va a dudar que el Estado, el gobierno,los gobiernos, las administraciones públicastengan necesidad de un procesamiento intensode datos personales.
Esto es evidente en la administración tributaria,es evidente en la administración de justiciapenal, es evidente también a la hora de tomardecisiones de carácter público en el sector salud,en el sector financiero, en el sector comercial.
Así que no hay duda de que el Estado tienenecesidad del tratamiento de datos personales,tiene necesidad también de ingresar a losbancos de datos privados que existen, y tienenecesidad intensa de un desarrollo muy fuertede bancos de datos.
Pero también tiene necesidad y urgencia, ytambién mucha voracidad por entrar a losbancos de datos privados, que en este momentoconservan enormes cantidades de datospersonales, que incluso se almacenas abeneficio de inventario.
Es decir, se van manteniendo ahí embodegadospara algún día ser útiles para algún fin estatal,que hoy no conocemos.
Este tráfico de informaciones tiene riesgos ytiene posibilidades. Quizá el riesgo másimportante, y quizá la trascendencia más grandeque tiene es ofrecernos un doble juego deposibilidades. Parece que este monto hacerealidad aquella idea de que el infierno son losotros, la posibilidad de que los otros sepan másde nosotros que es una realidad hoy muy fuerte.
Y en una democracia el intercambio o el flujo deinformación es hoy quizá la esencia material deun nuevo concepto de democracia.
Hemos estado demasiado acostumbrados a quenuestro concepto de democracia se basa en elejercicio de facultades cívicas y electorales. Lademocracia de la sociedad a la información esuna democracia de flujos de informaciones y eso
cambia y dinamiza totalmente la operación dela gestión pública.
La minería de datos, el phishing que se planteabahoy en la conferencia magistral que recibimosen la mañana por parte del doctor Carlos Arce,así como también la posibilidad de usar softwarerobots que ya se anuncian también por parte dela administración tributaria para mediante losmecanismos de minería de datos poder recopilar,digámoslo así, la gestión cotidiana de unciudadano para saber si efectivamente su pagode tarjeta de crédito coincide con lo que estápagando de impuestos, refleja de alguna maneralos enormes retos a los cuales estamosrefiriéndonos.
La doctora Sepúlveda Toro nos indicaba cómo lalegislación chilena está en este momentoponiendo un especial énfasis en una definiciónde datos personales. Yo creo que esa es unapreocupación que también deberíamos deseguir el resto de los países de la región, ya queen este momento si hay algo que es distinto depaís a país es cómo definimos el dato personal.
La información referida en la personaidentificada o identificable que parece muycercana a la definición que viene en lalegislación federal de protección de de datospersonales de la República Federal de Alemania,parece ser una buena opción y parece que loschilenos han decido orientar su construcciónnormativa a partir de eso.
Pero también está la preocupación de que ladefinición de datos personales puede variar enlos países federales, según las legislaciones decada estado, de cada provincia decidan apartarsede ese concepto. Lo que va a generar para lasadministraciones públicas, sobre todo, enestados federales como el de México, laposibilidad de que se puedan crear oasis oparaísos del procesamiento de datos donde eserégimen o donde el estándar legislativo seamenor al que ya incluso se pudiera tener a unnivel federal.
106
Ese riesgo enorme es parte de ese juego deespejos, ese juego de doble posibilidad quetienen las regulaciones de protección de datos.
Indudablemente entre los basamentos para elreconocimiento de la tutela de la protección dedatos está precisamente en darles a las personasla posibilidad de autodeterminarse.
En la primera sesión, en la conferencia inicial sepresentaron importantes cuestionamientossobre la definición del llamado derechofundamental a la protección de datos como underecho autónomo, porque efectivamente esadoctrina traducida a los términoslatinoamericanos es realmente difícil deentender, precisamente porque nosotrosestamos en este momento construyendo elderecho de protección de datos sobre unaconstrucción realmente antojadiza, un pocoprocesal y demasiado formalista como es elHábeas data.
En América Latina hablar de protección de datossignifica hablar de Hábeas data, y ese es quizáuna de las anclas más pesas con las cualestenemos que luchar cotidianamente para tratarde construir un sistema de protección de datosque sea realmente razonable; porque el Hábeasdata funciona cuando ya nada se puede hacer,ya cuando el daño está hecho y los ciudadanoshan sufrido lesiones en su capacidad de definirquién, cuándo, dónde y bajo qué circunstanciastiene acceso a sus datos personales.
Y si el derecho protegido no es realmente underecho fundamental, si no un derecho procesal,evidentemente vamos a recibir de parte de laslegislaturas, de parte de quienes tienen quedecidir nuestros destinos, una evidente monedade difícil compra como es el Hábeas data.
Por eso quisiera que mi primer mensaje de estaexposición sea el de decirles que hay que tenermucho cuidado cuando ponemos todas nuestrascartas a favor de la Hábeas data y dejamos sinposibilidad a una regulación que además dedarnos y reconocernos la posibilidad deautodeterminarnos y de respetar nuestra
dignidad humana, además nos permita prevenirlos riesgos de un procesamiento de datosintenso.
Me parece trascendental decir que lascircunstancias del modo, el tiempo y el lugar enque se está dando el tráfico de datos en materiade intimidad, tiene que ver también con lagestión del Estado.
Nos recordaba la compañera Guillermina a lahora de referirse a la anonimidad yseudoanonimidad de los datos estadísticos deque efectivamente si no hubiera una reflexióndel Estado por pensar si efectivamenteanonimizando los datos le concedemos a lapersonas la posibilidad de un tráfico más omenos lícito dentro de la sociedad,probablemente la preocupación dentro denuestras colectividades no se generaría. Lo quequiero decir es que no todo es negativo desde elpunto de vista, la visión de la protección de datosen manos del Estado.
Probablemente esa reflexión algún díaconstruya una cultura de protección de datos.
Quizá los colegas que vienen de Europa y queestán entre nosotros poco a poco han idocomprendiendo la extraña diferencia dediscurso entre ellos y nosotros, la diferencia escultural.
En un país como la República Federal deAlemania, desde la época de la Segunda GuerraMundial donde a través de tarjetas perforadasse hizo un censo detallado de quienes eranjudíos, quiénes eran homosexuales, quiéneseran aquellos que eran extraños a la comunidady eficientemente se fueron cartografiando lassociedad para determinar esos grupos y producirun genocidio más eficiente, indudablementetiene que generar una sensibilidad muy grandepor quién tiene los datos y para qué los tiene.
En esa sociedad, en mi país muy concretamente,no puedo hablar por todos, pero mi país es muypeculiar en eso, la idea de que alguien protejasu intimidad es porque algo quiere ocultar.
107
Nosotros partimos de la idea de que Dios está enla casa de todos, pero cada uno tiene en su casaun castillo y la idea de la protección de laintimidad está íntimamente ligada a protecciónde la propiedad privada.
Esa patrimonialización del concepto deintimidad que es muy pequeño burgués ypodríamos decir decimonónico chocadirectamente con un derecho fundamentalcomo éste que pretende realizar una condiciónde derecho fundamental nuevo, algunos dicende tercera generación, en donde lo esencial noes exactamente la intimidad, sino la capacidadde ser ciudadanos en un mundo que hacetiempo se ha objetivizado profundamente através del proceso informativo.
Es por eso que surge el derecho a laautodeterminación informativa y yo quisierapostularlo para la discusión, quisiera dejar unproblema en el auditorio para que esto genereun poco de emoción y violencia, que siempre esimportante en un evento como éste.
Y sugerir que probablemente el bien jurídicotutelado en las futuras legislaciones sobreprotección de datos, incluso también en aquellaproyectada en México, tienen como centro nola privacidad en la intimidad, sino la otra contra-cara de la moneda, el reservo de la moneda, elproblema del acceso a la información pública yme refiero precisamente a ese derecho con esapalabra tan poco probable para la Real Academiade la Lengua que es el derecho a laautodeterminación informativa, que es unareconstrucción del vocablo alemán, pero quehace referencia a los dos aspectos que yo quisierarescatar de otras exposiciones que nos hanprecedido, que es precisamente la reflexión depor qué es tan misterioso la vinculación entre laprotección de datos y la dignidad y los derechoshumanos.
Precisamente porque la Hábeas data es sóloprotección procesal, porque la teoría de lasesferas en materia de protección de los derechos,sobre todo de la primera generación ha hechoaguas, como lo demostró Jürgen Habermas en
aquel libro Facticidad y validez, quien sigueteniendo una enorme vigencia para la discusiónde derechos humanos tanto en Europa, comoen América, y porque efectivamente podemosestar hablando de un tratamiento de datos enmanos del Estado que no necesariamente essensitivo a los datos de las personas. Este derechocobra una especial importancia para la discusiónde América Latina.
Yo quisiera ver que efectivamente laautodeterminación informativa sea unarespuesta al problema que estamos planteando,¿pero cómo lo podría ser? En este momento yocreo que son tres los principios de la protecciónde datos que no están siendo considerados a lahora de construir las políticas estatales demanejo de información y lo voy a decir demanera genérica sin conocer por supuesto eldetalle de la discusión y del tipo de gestión delas administraciones públicas en México, perocasi podría decir que como tesis de principio sontres los que están probablemente en discusión:El principio de sujeción a los fines delprocesamiento de datos; el principio deproporcionalidad en el sentido de reducir y referirel procesamiento de datos sólo a aquellos datosque sean indispensables y necesarios para lagestión pública y el tercero, el más importante,el principio de consentimiento y transparencia.
Y me refiero a esos tres principios, porque si elderecho a la autodeterminación informativarealmente tiene alguna capacidad de serrespuesta a los problemas que estamos viviendoen el momento histórico que trasunta AméricaLatina, es precisamente el tratar de darlevigencia a esos tres principios.
¿Por qué? Porque esos tres principios tienen quever con la parte de la protección de datos quequiere ser preventiva, quiere ser tuteladora yquiere ser garantizadora. Son las tres cosas queno hace el Hábeas data, que funciona cuandoya todo está perdido, cuando ya no puedo salvarnada.
Si yo realmente pongo el énfasis de la discusiónpública sobre cómo los ciudadanos pueden
108
defender sus posiciones jurídicas frente a unEstado urgido de informaciones, urgido deidentificar a los ciudadanos. Lo decía nuestromoderador al inicio de esta exposición, que lasdeclaraciones de Montreux van dirigidasdirectamente a poner el dedo en llaga en losdatos genéticos y biométricos.
Hoy estamos discutiendo en nuestros países laposibilidad de usar chips, para identificar a losejecutivos de altas empresas y así evitar elsecuestro.
Estamos estableciendo la capacidad de ponerlea nuestros vehículos sistemas de protecciónsatelital para el robo de vehículos, y la posibilidadde vigilar a los ciudadanos, con el efecto de evitarque sean secuestrados, pero también de que seconviertan en delincuentes.
Si esas tres visiones que están, obviamente,aderezadas de la discusión de seguridad, que eneste momento preocupa muy alto en la jerarquíade valores de casi todos nuestros países, comouno de los problemas sociales más importantes,nos damos cuenta que estos tres principios de laprotección de datos pierden valor, porquecualquier cosa que garantice seguridad nomerece ninguna defensa de ningún derechofundamental, mucho menos del derecho a laprotección de datos, el cual llega tarde a AméricaLatina y llega como la coyuntura cuando aún enalgún momento se vio como una opcióndemocrática.
Yo quisiera, además, decirles que me parece muycasual y muy importante que sea el InstitutoFederal de Acceso a la Información Pública quiense haya convertido en un actor importantedentro de México, para discutir y analizartambién el tema de la protección de datos.
Y no dudo que este derecho de acceso a lainformación está en una relación de tensión conel derecho a la protección de datos personales yque probablemente los colegas doctrinistas delDerecho Público y Constitucional en México,como lo han dicho en otras regiones, dicen quela única posibilidad de que este Derecho
sobreviva es llevarlo a una concordanciapráctica. Claro, el secreto está en no decir cómose logra esa concordancia práctica.
Pero yo tampoco voy a contestar esa pregunta,probablemente lo podemos dejar para ladiscusión. Pero lo que yo sí quisiera decirles esque no es contradictorio que esos dos derechossobrevivan juntos en la democracia y que vivanpara darle a la democracia un nuevo momento,precisamente porque son dos caras de la mismamoneda.
En Europa el Derecho al Acceso a la InformaciónPública, sobre todo en los países que tuvieronleyes de protección de datos, como lo fue el casode la República Federal de Alemania, llegó tardey de la mano de la protección del ambiente. Enlos países nórdicos se tiene desde hace muchosaños el Derecho de Acceso a la Información.
La pregunta es: ¿Por qué llegan los dos juntos aAmérica Latina?, cuando nuestra preocupaciónde que nuestra casa es nuestro castillo, y si elque nada tiene que ocultar nada tiene quetemer, tengan ahora que defender una nuevavisión cultural sobre este derecho.
Los principios que orientan esta protección yalos ha analizado en su vinculación jurídica, tantodoña Alejandra como doña Guillermina. Así quevoy a obviar la discusión sobre eso y voy a pasarla siguiente transparencia.
La situación espiritual en la que vivimos es queno tenemos el derecho a la autodeterminacióninformativa, no hay leyes de protección de datos,entonces, ¿qué sucede? Como lo planteaba lacolega Karin Kuhfeldt Salazar, que nos referíacómo en Colombia la evolución ha sido casiúnicamente jurisprudencial y de la mano de lasacciones de tutela y de un Hábeas data tanlimitado como el nuestro en nuestro país,efectivamente demuestran que la única opciónque tienen los ciudadanos hoy en día a falta deuna ley de protección de datos es precisamenteuna tutela jurisdiccional.
109
Si ustedes dan una mirada al desarrollojurisprudencial de mi país, se van a dar cuentaque la preocupación ha sido precisamente pordonde no urge todavía los datos de lasadministraciones públicas, sino concretamenteen el tema de seguridad.
Los datos que se van inscribiendo en los registroscriminales. Esos son los que han dado origen atoda la preocupación de datos en mi país, y hoyúltimamente al problema del acceso a los datoscomerciales, a los datos de carácter financiero.
Últimamente la jurisprudencia de la SalaConstitucional de mi país ha ido evolucionandocon le objetivo de dar al derecho de laautodeterminación informativa más poderes.
Hace un par de semanas se notificó la sentenciaque todavía no tiene redacción, pero tenemosel por tanto, en donde se obliga a las empresasprotectoras de crédito, a mantener un derechodel olvido de los registros financieros de un plazomáximo de cuatro años.
Donde no existían límites, ahora hay un plazode cuatro años, y efectivamente esto le hacreado a las empresas protectoras de crédito unadifícil situación de sobrevivencia económica,porque ahora sí tienen que hacer calidad dedatos.
La protección de la integridad de los datos, de laprecisión de los datos, de la exactitud de losdatos, y sobre todo, lo más importante, de olvidarlos datos cuando éstos carecen ya de interés y/odevolverle la vida civil a buena parte de losdeudores en mi país. Esto nos lleva a que la ofertade una tutela administrativa del derecho a laautodeterminación informativa quede enmanos de reglamentos.
Yo quisiera decirles que el derecho a laautodeterminación informativa requieresiempre regulación legal. El principio másimportante, y lo hacia ver la doctora AlejandraSepúlveda, es que el tema de la protección dedatos sólo puede ser regulada vía legal. Cualquierdecisión reglamentaria o de control
administrativo de la protección de datoscarecería del valor necesario para regular, limitary restringir un derecho fundamental.
Quiero concluir esta reflexión, que ha queridoser una reflexión global y no exclusivamentenacional, dando tres mensajes que me pareceque pueden ser importantes como himnos debatalla en la discusión que vamos a tener en lospróximos años en América Latina, sobre elderecho a la autodeterminación informativa.Primero, que no importa cómo le pongamos denombre al bien jurídico tutelado.
Lo evidente y lo trascendental en la proteccióny la discusión sobre la protección de datospersonales es cuál es la definición de datospersonales que vamos a usar.
Segundo, olvidemos totalmente cuál puede serla reflexión sobre datos sensibles. Lo que hoyparece ser no sensible lo será mañana. Ese noparece ser el camino adecuado, como lo decía,Stefano Rodotá hace muchos años.Probablemente la preocupación sobre lasensibilidad de los datos no parecer ser la fuentede análisis esencial para la discusión sobreprotección de datos, si no precisamente la ideadel control del flujo de informaciones sea laforma más excelente de poder discutir con algúngrado de racionalidad democrático el avance enel derecho de la protección de datos.
Y el tercer mensaje que quería transmitirles, esque hoy ya tienen un manejo masivo de datosen manos del Estado, no sólo los estadísticos,probablemente la administración tributariacomo lo hacía ver nuestro conferencistamagistral de hoy en la mañana, también enmateria de derecho del consumidor, de datosfinancieros, de datos relacionados con laactividad electoral de los ciudadanos yciudadanas y por supuesto, todos los datosreferidos a la administración de justicia.
Así es que ese volumen de datos ya demuestrala necesidad de un derecho de protección dedatos regulado vía legal y la única esperanza quetiene América Latina es la de avanzar hasta la
110
ocasión y la oportunidad de tener leyes quepermitan desarrollar después una cultura deprotección de datos.
Ya no tenemos tiempo de desarrollar la culturaantes de la ley, démosle la oportunidad a la leyde crear la cultura.
Moderador: Alonso Gómez Roble Verduzco.Comisionado del IFAI.
Solicito la participación del doctor Andrés AlboMárquez; quien tomó posesión como Consejerodel Instituto Federal Electoral el 3 de noviembrede 2003; es licenciado en Ciencias Sociales porel Instituto Tecnológico Autónomo de México,Maestro en Ciencias Sociales y Ciencia Políticapor la Universidad de Siracusa; tiene estudios depostgrado por la Universidad de GeorgeWashington, D. C.; hasta octubre del 2003 fuedirector del Departamento de EstudiosSociopolíticos de Banamex; en 1994 fueobservador electoral en México en los comiciosfederales y realizó actividades en esa materiaen 1991; asimismo fungió como consejero en elConsejo Local del Instituto Electoral del DistritoFederal en los años de 1997, 2000 y 2003, en elproceso de 1997 incluyó la calificación del primerJefe de Gobierno del Distrito Federal;igualmente fue coordinador del AnuarioEstadístico México Social-Banamex y deelecciones locales y elecciones nacionales 1970-2000; cabe mencionar que ha sido profesor delITAM y de la Universidad Iberoamericana.
PonentePonentePonentePonentePonente: Andrés Albo Márquez.
Este tipo de eventos son necesarios paraprofundizar el debate en torno a la cultura de latransparencia, que no se puede entender sin lo queen mi concepto es su lado complementario, que esel tratamiento y protección de los datos personales,ya se decía que es la otra cara de la moneda.
El motivo de mi intervención es compartir laexperiencia del Instituto Federal Electoral en lamateria. Para el IFE existe, digamos, en una grandefinición, dos ámbitos de manejo de datospersonales.
El primero y desde luego más significativo es eldel padrón electoral.
Y el segundo más limitado, pero crecientementerelevante y demandado por los ciudadanos es lainformación de datos personales vinculados a laactividad de los partidos políticos.
Antes de entrar al tema permítanme robarlesnada más dos minutos para hacer algunasreflexiones sobre la importancia y uso de lainformación confidencial desde la óptica de lainstitución pública y autónoma como es el IFE.
¿Hay que delimitar la información pública de lareservada o confidencial?, depende en estrictosentido de su naturaleza.
En los últimos años hemos sido testigos delavance de dos movimientos de alcance mundial,el primero, desde luego más vigoroso y extendidoha sido la transparencia; el segundo, en el ladoopuesto y con un avance posterior, perocrecientemente importante ha sido lainformación confidencial.
Así nos encontramos con que la transparenciade la información gubernamental es hoy unarealidad, incluso hay plena aceptación de que lasecrecía de la información del gobierno esincompatible con las democracias modernas.
Del lado opuesto o para ser más precisos, si mepermiten la metáfora de forma recíproca a laapertura, encontramos la informaciónconfidencial, y yendo al grano, podemos hablarde la responsabilidad que tiene el gobierno deproteger los datos personales que los individuosle entregan con propósitos específicos, pormedio de las leyes el Estado determina lafrontera entre lo público y lo privado, de formaque éste debe garantizar el ejercicio de losderechos individuales, proteger la intimidad yevitar que la información personal se hagapública.
La protección de este derecho salvaguarda lavoluntad de mantener fuera del conocimientopúblico aspectos de la vida personal tales como
111
la convivencia familiar, la conducta sexual yafectiva, las creencias religiosas, el patrimoniopersonal, entre otros.
Vale decir que tanto el ordenamiento jurídicointernacional, como el mexicano han previstodisposiciones que tienen por objeto la defensa yprotección de la vida privada, no entro al detalledel marco jurídico en México, ya lo expuso contoda precisión Carlos Arce, y seguramente mejorde lo que yo podría hacerlo.
Lo que quisiera es concentrarme, si me lopermiten, en el Registro Federal de Electores;éste, sin duda, es la base de datos másimportante que maneja el Instituto y surelevancia es nacional y rebasa por mucho elámbito estrictamente electoral.
Hablamos de un banco de datos con informacióncomo nombre, sexo, edad, domicilio, clave deelector y que acumula datos de más de 70, casi75 millones de empadronados.
Por la importancia del padrón electoral suprotección y trámite se regula conforme a lodispuesto por el COFIPE, el Código Federal deInstituciones y Procedimientos Electorales, es laexcepción de la norma del manejo del padrónelectoral, es la excepción de la normaestablecida en el reglamento propio delInstituto, en el reglamento de transparencia enmateria de datos electorales.
Menciono algunas características que definenel tratamiento de este banco de datospersonales, pero que tiene las característicasprecisas de ser un banco también electoral;combina, por un lado, una característica de loelectoral y junto de un banco de datos para laidentificación de los ciudadanos.
La primera característica que define el COFIPEes que los partidos, los integrantes de losconsejos a nivel general, local y distrital, así comolos miembros de las llamadas Comisiones deVigilancia que son órganos creados ex profesospara vigilar la conformación y veracidad delbanco de datos, tienen acceso irrestricto a todos
los datos que conforman el padrón electoral y lalista nominal para efectos de control y revisión.
Por contra, el acceso a la base de datos seencuentra totalmente restringido para aquellosfuncionarios que no tengan vinculación con sumanejo.
El Registro cuenta con una plataformatecnológica que registra electrónicamentecualquier consulta realidad por funcionarios opersonal acreditado para efectos de cualquiercontrol.
Por tal motivo se puede tener plena certeza queun mal manejo de dicha información implicaría,entre otras cosas, una posible responsabilidadadministrativa. Desafortunadamente hacealgunos meses vivimos esta triste experiencia.
Otra característica relevante es que, de acuerdocon el Código Electoral, el Instituto está obligadoa compartir la información del padrón con laSecretaría de Gobernación mediante, desdeluego, la celebración de convenios.
Asimismo, el Registro Federal de Electores seencuentra obligado a proporcionar informaciónconfidencial en juicios, recursos oprocedimientos en que el IFE fuere parte o bienpor un mandato de lo que la ley señala, comojuez competente.
El Instituto ha interpretado que el concepto juezcompetente es aplicable exclusivamente a losfuncionarios del Poder Judicial y a lasautoridades administrativas, que esténtramitando asuntos de orden legal y se excluyea los ministerios públicos locales, federales o alos tribunales administrativos.
De esta forma se garantiza que la informaciónpersonal que maneja el IFE sólo será conocidapor un grupo reducidísimo de gente que tienenacceso a éste, con fines exclusivos de supervisiónelectoral. Y, por tanto, se puede concluir que laregulación del manejo de datos electoralobedece a la particularidad y objetivos delpadrón, y además de servir de insumo para emitir
112
la credencial electoral con fotografía que sirve,hay que recordarlo, como el instrumento paraejercer el voto y, desde luego, como una cédulaen el uso común de identidad nacional.
A la par de la regulación que establece el COFIPEen materia de datos personales, hago menciónque en junio pasado el Instituto aprobó unnuevo Reglamento de Transparencia, queincluye, de manera destacada, un apartadocorrespondiente a datos personales.
Resalto cuatro aspectos relevantes para el temaque hoy nos ocupa. Primero, establece esteReglamento, con toda claridad, que los datospersonales son información de carácterconfidencial y, desde luego, las definicionesalrededor de esto.
Su difusión, distribución y comercialización debeapegarse estrictamente a las disposiciones quese señalan en este Reglamento.
Segundo. Se incorpora un apartado deresponsabilidades para los servidores públicos,con lo cual se obliga a mantener laconfidencialidad de los documentos, además deprecisar las consecuencias de uso indebido parala información reservada o confidencial.
Tercero. Con la nueva regulación se garantiza laapertura de la información pública, sincomprometer datos, que son patrimonioexclusivo de los ciudadanos.
Finalmente se posibilita al ciudadanomecanismos de acceso y corrección de suspropios datos, y define los principios quepermiten la protección de informaciónconfidencial.
Me ocuparé ahora de la información, de los datospersonales vinculados a las actividades de lospartidos políticos.
Las finanzas de los partidos son asuntos deinterés público. Por ello utilizo dos ejemplossignificativos en materia de fiscalización, queinvolucran el manejo de datos personales.
Son casos complejos que buscan el equilibrioentre la necesidad de hacer información pública,relacionada con manejo de recursos, que en sumayoría, más del 90 por ciento son recursos,dineros públicos y la obligación de salvaguardarla información confidencial de personasvinculadas con las actividades de los partidos.
El primer ejemplo que quisiera señalar se refiereal Acuerdo que aprobó la Comisión deFiscalización para publicar en la página deInternet del Instituto, la información sobre elmonto total de las aportaciones que reciben lospartidos y el nombre de los aportantes. Esto comoun esfuerzo de rendición de cuentas de losingresos que obtienen los partidos políticos pormedio de sus simpatizantes.
Este acuerdo da a conocer el nombre y el montoaportado, pero mantiene la confidencialidad deotros datos personales.
Un segundo ejemplo da cuenta de las medidasque tomó también la Comisión de Fiscalizaciónpara diversificar mecanismos deautofinanciamiento, esto hace apenas haceunas semanas.
Sí, efectivamente recientemente se aprueba elAcuerdo que establece las modalidades ycriterios para la utilización de los númerostelefónicos 01-800 y 01-900, como medio pararecaudar fondos por la vía de aportaciones demilitantes y simpatizantes.
Esta medida tiene un doble valor o factorbenéfico. Por una parte permite que los partidosse alleguen de recursos de manera expedita yabsolutamente transparente. Y por otra, se tienecerteza sobre la legalidad del origen de losrecursos obtenidos, pues las aportaciones sedeben realizar por medios de tarjetas bancariasde los aportantes, y los depósitos se deben hacerdirectamente a las cuentas que para talpropósito apertura el partido. Ambosmecanismos provén de evidencias confiables delos movimientos bancarios.
113
Tanto para el caso de las aportaciones realizadaspor medio de depósitos, como por la víatelefónica, resulta relevante insistir en que deningún modo se pone en riesgo la identidad o lasituación patrimonial del aportante, pero laautoridad tiene plena certeza del origen lícitode los recursos.
El IFE es cuidadoso al revelar únicamente lainformación sobre el nombre del aportante y elmonto de la contribución. Todos los ciudadanossabrán esta información. Y de esta forma segarantiza la privacidad de otros datos personalesal omitir información como domicilio, clave deelector, número telefónico o alguna otrainformación bancaria.
Para concluir mi intervención quisiera hacerénfasis en que el reconocimiento legal delderecho a la protección de datos personales esun elemento esencial en la vida de lasdemocracias. A partir de este tipo de acciones sepuede distinguir el espacio público del privado.
La protección a la vida privada es necesaria paragarantizar el respeto a la dignidad personal, ydesde mi perspectiva existe un doble propósitoen la protección de la intimidad. Por una partese trata de asegurar la libertad individual, y porotra, se intenta restringir o prohibir el usoindebido de información confidencial.
El Instituto Federal Electoral es consciente deesta responsabilidad, por ello desarrolla accionescomo las que he mencionado para delimitar lafrontera entre la información públicarelacionada con el funcionamiento del Institutoy los partidos políticos, y de aquella informaciónque es confidencial y que le entregan losciudadanos para el cumplimiento de susobjetivos y atribuciones legales.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
La intervención estará a cargo del licenciadoAndrés Calero Aguilar, egresado de la UniversidadPanamericana y con estudios de especialidad enel Instituto Nacional de Administración Pública,
el Instituto Tecnológico Autónomo de México yla misma Universidad Iberoamericana.
En el campo laboral ha trabajado en diversasdependencias del sector público, como es laSecretaría de Relaciones Exteriores y el InstitutoMexicano de la Radio.
Inició su labor en al Comisión Nacional de losDerechos Humanos en agosto de 1990,ocupando una jefatura de departamento y halaborado por un lapso de más de 10 años teniendoactualmente el honroso cargo de TercerVisitador General.
PPPPPonenonenonenonenonentetetetete: Andrés Calero Aguilar.
Quiero compartir la experiencia esta mañanade la Comisión Nacional de los DerechosHumanos en materia de protección de datospersonales y refiriendo un poco a las ideasplanteas por el doctor Chirino, de la concordanciapráctica entre el derecho a la información y elderecho a la protección de datos personales conalgunos ejemplos que hemos tenido en el senodel ombudsman nacional.
La CNDH en su carácter de órgano constitucionalautónomo y por lo tanto sujeto obligado de lasdisposiciones de la Ley Federal de Transparenciay Acceso a la Información PúblicaGubernamental ha realizado una serie deacciones en materia de acceso a la informacióny protección de datos personales:
1.- La normatividad de la Comisión Nacional deDerechos Humanos en materia de datospersonales.
Reconociendo la importancia de que laspersonas tengan conocimiento de lainformación que de ellos obra en la ComisiónNacional y con la finalidad de que hagan uso desu derecho de acceso y corrección de los datospersonales.
En primer término en la Comisión Nacional deDerechos Humanos se realizó el proyecto denormatividad en el que se establecen los
114
órganos, criterios y procedimientosinstitucionales para proporcionar a particularesel acceso tanto a los datos personales, como a lainformación en posesión del ombudsmannacional.
Una vez elaborado dicho proyecto, el ConsejoConsultivo de la Comisión Nacional de DerechosHumanos en su sesión ordinaria número 174,celebrada el 8 de abril del 2003 emitió elReglamento de Transparencia y Acceso a laInformación de la Comisión Nacional deDerechos Humanos, mismo que fue publicadoen el Diario Oficial de la Federación el 29 de abrildel 2003.
El Título Tercero de este Reglamento se refiere ala protección de datos personales y, dentro delas disposiciones más importantes establecidasen dicho apartado se encuentran las siguientes:
En el caso de las solicitudes de datos que obrenen un sistema de datos personales, sólo lostitulares de los mismos o sus representespodrán, previa acreditación, solicitar a la Unidadde Enlace se les proporcionen los datos queobren en un sistema de datos personales.
La Unidad de Enlace deberá entregarle alsolicitante en un plazo de 10 hábiles contadosdesde la fecha en que se presentó la solicitud, lainformación o bien la respuesta que al respectoremite el área responsable.
Por lo que se refiere a las solicitudes demodificación de los datos, los titulares de éstoso sus representantes podrán solicitar, previaacreditación ante la Unidad de Enlace, que semodifiquen los datos que obran en cualquiersistema de datos personales.
El titular deberá entregar una solicitud en la quese señale el sistema de datos personales,indiquen las modificaciones que debanrealizarse y aporten la documentación quemotive su petición.
La Unidad de Enlace deberá entregar alsolicitante en un plazo de 30 días hábiles,
contados desde la fecha en que presentó lasolicitud, la comunicación por medio de la cualel área responsable haga constar lasmodificaciones o bien, informe de manerafundada y motivada las razones por las cualesno procedió lo solicitado.
Contra la negativa de entrega o corrección deestos datos personales, así como la falta derespuesta en los términos que se establecieronen los dos supuestos anteriores, procede elrecurso de revisión al que se refiere el propioReglamento de la Comisión Nacional deDerechos Humanos.
Con posterioridad, en concordancia con loestablecido en el artículo 20 de la Ley Federal deTransparencia, en agosto de 2003 se elaboró elprocedimiento para la atención de las solicitudesde acceso y corrección de datos personales quese reciben por escrito en la Comisión Nacionalen el cual se plasman las disposiciones básicaspara atender este tipo de solicitudes y seestablecen los mecanismos para que su atenciónsea pronta y expedita, a efecto de que las áreasresponsables de conocer este tipo de solicitudescontaran con los elementos necesarios parahacerlo.
2.- La protección de datos personales en poderde la Comisión Nacional de Derechos Humanos.
Con el objeto de informar sobre las políticas dela Comisión Nacional de Derechos Humanos enrelación con la protección de datos personales,el 30 de septiembre de 2003 el ConsejoConsultivo de la misma emitió el acuerdo 7/2003en el cual se establece que las personas queentreguen información y datos personales a laComisión, se les comunicará que la informaciónque ellos proporcionen podrá ser suministrada aun tercero que lo solicite, después de un lapsode 12 años, contados a partir de la fecha en quese resuelva el asunto respectivo.
En el caso de que se acrediten violaciones gravesa los derechos humanos se podrá tener accesoal expediente desde el momento en que elmismo sea concluido, de acuerdo con lo
115
dispuesto por el artículo 14 de la Ley Federal deTransparencia y 10 del Reglamento de dicha leypara la Comisión Nacional de los DerechosHumanos.
Los datos personales que esta Comisión recibaserán manejados con fines exclusivamente deidentificación y se les dará un tratamientoconfidencial, esa es la prevención, la leyenda quea toda persona que se acerca a la ComisiónNacional a solicitar su intervención se le esentrega.
Por otra parte, la Comisión Nacional de DerechosHumanos, desde el año de 1990 se ha ocupadode la seguridad de la información contenida enlos distintos sistemas que conforman sus basesde datos, la clave incluye datos personales de losquejosos, agraviados, incluso, de presuntosresponsables o responsables de las violaciones aderechos humanos.
En ese sentido, se mantienenpermanentemente actualizadas las medidas deseguridad para controlar el acceso a la base dedatos de la comisión, el cual está restringido alas estaciones ubicadas en las distintasinstalaciones con que cuenta la institución aefecto de evitar el acceso a través de sistemasremotos, lo cual contribuye a elevar los nivelesde seguridad.
Aunado a lo anterior, el acceso a la base de datosestá limitado a un determinado número defuncionarios, quienes en su mayoría lo hacen enla modalidad de consulta, mientras que losresponsables de ingresar información o bienrealizar modificaciones en caso de que seanecesario están plenamente identificados.
La experiencia de la Comisión Nacional enrelación a solicitudes de acceso y corrección dedatos personales.
En el período comprendido entre el 12 de juniode 2003 al 31 de octubre del presente año, anteCNDH se han presentado tres solicitudes enmateria de corrección de datos personales,mismas que fueron presentadas en el mes de
enero, en las cuales se solicitaba la modificaciónde datos personales de solicitantes de acceso ala información, situación que fue realizada deconformidad a las peticiones.
Desde el momento mismo en que empezaron aatenderse y a resolverse las solicitudes de accesoa la información, de acuerdo con lo dispuesto enla Ley Federal de Transparencia, se dio acceso aéstas a través de su consulta en la página deInternet de la institución, en la direcciónwww.cndh.org.mx, pueden consultar cada unade las solicitudes que han sido presentadas y lasrespuestas que se da a las mismas, claro,eliminando aquellos datos personales.
4.- La protección de los datos personales frenteal acceso a la información.
El artículo Cuarto de la Ley de la ComisiónNacional de los Derechos Humanos estableceque el personal de la misma deberá de manejarde manera confidencial la información odocumentación relativa a los asuntos de sucompetencia.
Lo anterior no ha impedido al Ombudsmannacional, tal como se ha dado cuentaanteriormente, dar cabal cumplimiento a lasdisposiciones de la Ley Federal de Transparenciay Acceso a la Información PúblicaGubernamental.
En ese sentido, es importante resaltar quedurante el período comprendido del 12 de juniodel 2003 al 31 de octubre de 2005, únicamente el6.85 de las 321 solicitudes presentadas han sidoconsideradas como reservadas, porque así lodispone tanto la Ley Federal de Transparencia yAcceso a la Información Pública Gubernamental,como el Reglamento de ésta para la ComisiónNacional de Derechos Humanos.
A mayor abundamiento, en este período sólo sehan presentado trece recursos de revisión encontra de la respuesta entregada al solicitanteo con motivo de la resolución del Comité deInformación de la Comisión Nacional. De esteuniverso, dos se encuentran en trámite,
116
mientras que las once restantes han sidoconcluidas.
No obstante lo anterior, existe la preocupaciónde que aún y cuando en las solicitudes de accesoa la información se otorgue acceso a las mismaseliminando los datos personales, en algunoscasos esto no es suficiente, ya que alinterrelacionarla sea posible inferir la identidado demás datos personales de los quejosos y/oagraviados.
Para quienes han depositado la confianza en elOmbudsman nacional con la finalidad de buscarprotección en contra de los abusos de autoridad,lo menos que desearían es que un tercero, lacontraparte en algún procedimiento o, inclusive,las mismas autoridades responsables de laviolación a sus derechos fundamentalestuvieran acceso a los asuntos por ellosplanteados ante la Comisión.
Por desgracia tal afirmación cobra fuerza alrecordar algunos casos en que los quejosos y/oagraviados ante las Comisiones de DerechosHumanos en nuestro país, han sido objeto deamenazas, intimidaciones e incluso la muerteal denunciar acciones u omisiones de lasautoridades, como es el lamentablefallecimiento del señor Rodolfo BenítezFigueroa, tal como se recuenta en el texto de larecomendación nueve de 2001, misma quepuede ser consultada en el sitio de la ComisiónNacional.
A manera de conclusión, a partir de este ejemplosurge la necesidad de reflexionar sobre el hechode que el garantizar a la persona la facultad dedecisión sobre el uso y destino de sus datospersonales trasciende el propósito de asegurarsu adecuado tratamiento e impedir latransmisión ilícita y lesiva para la dignidad dederechos del afectado, en algunos casos obedecemás a la imperiosa necesidad de garantizar lasalvaguarda de su integridad e incluso el derechoa la vida, condición esencial para el desarrollo dela persona.
Esta situación en ningún momento debeutilizarse a manera de justificación, para que lossujetos obligados clasifiquen como reservada oconfidencial la información en su poder, bajo unfalso argumento de que toda la informaciónpone en riesgo la vida o seguridad dedeterminadas personas.
Por ello, es urgente ampliar aquellasdisposiciones normativas o inclusive crear unanueva legislación, a fin de que se reconozca laimportancia de garantizar a los individuos suderecho a la autodeterminación informativa, sinafectar el derecho a la información de terceros.
Por ultimo, agradezco al Instituto Federal deAcceso a la Información Publica y a la RedIberoamericana de Protección de Datos, lainvitación a participar en este magnífico eventoque ha permitido intercambiar experiencias yampliar el debate en estos apasionantes temas,que son la Protección de Datos Personales y elAcceso a la Información, conceptos que seencuentran estrechamente entrelazados einclusive, como se ha comentado, en algunasocasiones parecieran entrar en conflicto.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
Pasaríamos ahora a la participación de OscarPuchinelli. Doctor en Derecho por la Facultad deDerecho de la Universidad Nacional de BuenosAires. Es profesor adjunto de DerechoConstitucional Uno y Derecho ConstitucionalDos. Esta cátedra la imparte en la Facultad deDerecho de la Universidad Nacional de Rosario.Es Profesor a Cargo de Cátedra, Derecho ProcesalDerecho Procesal Constitucional yTransnacional, en la Facultad de Derecho de laUniversidad Nacional de Rosario.
Entre los premios obtenidos quisiéramosdestacar el siguiente: El primer premio, ConcursoColegio de Abogados de Rosario, año 2003, en lacategoría Derecho Público, con el trabajo LosDesafíos del Hábeas Corpus argentino, en el
117
centenario de la Constitución de 1853, apropósito del Habeas Corpus contra particularesy del Habeas Corpus colectivo.
PonentePonentePonentePonentePonente: Oscar Puchinelli.
Muchísimas gracias, por la presentación, por lainvitación del IFAI y de la Red Iberoamericana, esun alto honor para mí compartir la mesa y porsupuesto este evento que es tan trascendentede no solamente para México, sino paraIberoamérica en general.
Me permito leer un pequeño trabajo que salióen el diario La Tercera, de Chile, el día 31 deoctubre. Unos parrafitos, pido disculpas si algunade las palabras no es muy apropiada. Es unapublicación de Jaime Bayly, que es un periodistaperuano bastante conocido, que llamatrabalenguas. Y ahí dice, en un párrafo, que creoque es el menos dificultoso para mí mencionar,les dice: Checa que viene la ley, dijo unmexicano; para que bien la cana chabón, dijo unargentino; ojo, huevón, ahí están los pacos, dijoun chileno; corre que vienen los maderos, dijoun español; suave que viene los tombos, dijo unperuano.
Esto que de algún modo sirve como prolegómenode lo que voy a decir, tiene que ver con la riquezade la lengua española, que sinceramente nopodemos dejar de destacar, y la riqueza que fuedestacada también en la Declaración deMontreux, en cuanto a que el derecho a laprotección de datos es un derecho universal, peroque debe respetar la diversidad.
En nuestra América Latina, desde luego hay unagran diversidad, y una gran diversidad deenfoques en materia de protección de datos, enmateria de Hábeas data que llevan precisamentea una consecuencia negativa.
La consecuencia negativa precisamente es quela terminología utilizada, incluso los conceptosmuchas veces son hasta contradictorios yconspiran precisamente con la finalidad quedebe tener todo sistema de protección de datos,que es por supuesto que haya una claridad
conceptual, que haya una claridadterminológica, y que por supuesto se simplifiqueal máximo todo lo que tiene que ver con suregulación, por supuesto no dejando de ladoregulaciones fundamentales.
En este punto quiero hacer algunasaclaraciones, esta mesa se refiere precisamenteal control que ejercen los gobiernos, y en esto yome voy a detener un poquito en analizar algunasde las formas de control o las que debieran estary cómo han sido evaluadas en líneas generalesen derecho comparado. Los medios de protecciónpueden ser legislativos administrativos ojudiciales; y aquí tenemos múltiples variantes,tanto en América Latina, como en Europa, quesin embargo está bastante homogeneizado apartir de las normativas internacionales.
Los medios de protección legislativos o de índolenormativo general, podríamos decirlo, parten detres fuentes fundamentales. La primera son losconvenios, digamos, en orden ascendente,descendente, los convenios regionales. EnAmérica Latina, desde luego, no tenemos todavíauna convención americana, aunque hayproyectos en la OEA al respecto y de algún modolos trabajos de la Red están tendiendo a estaconcreción.
Luego vienen las constituciones que en el casode América Latina a partir de las reformas delregreso generalizado de la democracia en ladécada de los ochenta hizo lo que podía ser, crearlo que se llamó el Hábeas data con distintosmatices en cada uno de los países, porque lo quehizo fue crear una acción de garantíaprácticamente sin desarrollar el derecho al cualdebía proteger.
Este es uno de los motivos por los cuales hay unagran diversidad, no solamente en terminológicasen las legislaciones y conceptual, también, si noen los diversos proyectos que hoy están en losparlamentos de los distintos paíseslatinoamericanos que todavía no tienen ley deprotección de datos.
118
Destaco y rescato la figura del Hábeas dataporque de algún modo ha sido puesto encuestionamiento. Aquí en México ustedestienen un amparo que es gigantesco, enAmérica Latina hay mayor diversificación deinstitutos de garantía de acciones procesalesconstitucionales y una de ellas es precisamenteel Hábeas data que en realidad se limita a esopero tiene una gran utilidad.
Creo y en esto estoy parcialmente endesacuerdo con lo que el profesor ChirinoSánchez, no es una acción que sólo lleguecuando no haya nada más nada que hacer,precisamente uno de los roles quefundamentalmente ha tenido América Latina,ha sido el rol preventivo.
Desde luego muchas de las veces también llegancuando los daños están siendo ocasionados. Peroen materia de protección de datos, salvo que setrate de la desaparición física de una persona ola lesión a la integridad corporal, siempre se estáa tiempo de prevenir daños posteriores, es decirque el Hábeas data siempre sirve, salvo esassituaciones donde no se puede ejercer.
Dentro de los medios de protección están desdeluego las leyes de protección de datos y otrasnormas que no son leyes generales de protecciónde datos, pero que desde luego contribuyen aesa protección.
En este punto, ayer se relataba con muchodetalle las diferentes leyes que hay en México,incluyendo el Código Civil, el Código PenalFederal, la Ley Federal Financiera, la Ley deInstituciones de Crédito, la Ley Federal deProtección al Consumidor, la Ley de InformaciónEstadística y Geográfica, la Ley deResponsabilidades del Funcionario Público, la Leyde Transparencia y Acceso a la InformaciónPública, todas ellas tienen algo que ver con laprotección de datos.
Y en este punto, que voy a evaluar después, desdeluego que es bueno que las autoridades relativasa cada sector, incluso las autoridades electorales
también tengan función en este aspecto,tengan y cuiden los datos personales.
Pero también sí es muy importante que hayauna autoridad única que de algún modoestablezca criterios uniformes, porque si lalegislación no es clara se puede producir unaserie de discordancias en el ordenamientointerno que no es aconsejable, por lo menos defrente a lo que se le debe proporcionar a losciudadanos.
También en la protección judicial ya hablábamosde la Hábeas data, pero también a través desanciones penales, a través de sanciones civiles,un medio eficaz de control a falta de la ley deprotección de datos han sido los reclamosindemnizatorios.
Muchos tratantes de datos han debido adecuarsus prácticas precisamente porque los jueceshan sido sumamente rigurosos en la aplicaciónde sanciones de carácter civil frente a lostratamientos abusivos de los datos.
Las sanciones civiles, desde luego estánpropiciadas desde el orden internacional, elprincipio octavo de las directrices de la ONU, elartículo 23 de la directiva europea 95 46, undocumento del año 2004 del Grupo del artículo29 de la Unión Europea, el artículo 23 de la leychilena, el artículo 19 de la ley española, en fin.La mayoría de las legislaciones aluden al deberde indemnización. Los jueces han sidosumamente estrictos en cuanto a la apreciacióndel daño y, sobre todo la reparación del dañomoral e independientemente del daño materialsufrido por quienes fueron objeto detratamientos indebidos de datos personales.
Y desde luego las sanciones penales, ahí hay unadiscusión si deben o no estar dentro de una leyde protección de datos. En el caso español seprefiere estar fuera de la ley de protección y, enel caso argentino se optó por algo diferente, seincorporó en la ley de protección de datos, perocomo una incorporación anexa al código penal.
119
En el campo de la protección administrativa, eldeber de protección a través de una autoridadde control independiente surge claramente dela directiva 95 46 de la declaración Montreuxque decíamos antes y de la resolución 45 95 dela ONU, el principio rector número ocho.
Es decir, que esto de que haya una autoridadindependiente es y diría yo, única, por lo menosen cuanto al nivel último de decisión, si biendebe haber otras autoridades que puedan aplicary que deben aplicar los principios de la protecciónde datos esto ha traído determinadas formas deregulación, desde luego, en el derechocomparado tenemos muchas, el PrivacyCommissioner of Canadá, el Garante per laprotezione dei dati personali en Italia, la AgenciaEspañola de Protección de Datos, que es unaautoridad independiente, en el caso argentinola Dirección Nacional de Protección de Datos quedepende del Ministerio de Justicia, en la leychilena el Servicio del Registro Civil deIdentificación, en la ley uruguaya una comisiónque depende del Ministerio Económico yFinanzas, en México vemos una diversificación,pero también lo elabora el IFAI, es muyimportante y también desde luego la derivadadel control de la ley de defensa al consumidor, esdecir, hay diversas formas de controlar, algunasson de fracción parlamentaria, otras son deextracción ejecutiva, otras son autoridadesindependientes.
En este punto, me parece importante destacarque la independencia central en cualquiersistema de protección, por ahí una dependencia,la defensoría del pueblo puede ser unaalternativa.
Desde luego, normalmente, porque en este casohay muchas diferencias regulatorias en losdistintos países, normalmente el defensor delpueblo actúa sólo sobre la actividad de laadministración y obviamente esto es poco,porque el tratamiento de datos no solamenteen la administración pública en el sentido delPoder Ejecutivo, sino también lo hace el propioLegislativo, lo hace el Poder Judicial y lo hacenlos particulares, con lo cual pareciera más
conveniente que fuera de tipo independiente yno de extracción parlamentaria ni de extracciónejecutiva.
En el caso de Argentina una de las observacionesa la declaración de país con nivel adecuado deprotección por parte del grupo de trabajo, artículo29 de la Directiva Europea, ha sido que desde elpunto de vista normativo no existeindependencia en el órgano de control ytampoco hay legislación en los Estadosfederados que de algún modo esté de acuerdocon éste y con la legislación federal.
Esto, sin embargo, no ha sido óbice para elenorme despliegue que ha hecho el DirectorNacional de Protección de Datos, quise poner enel currículum a último momento, porque paramí es honor, aunque sea un dato aparentementenegativo, haber perdido el concurso con eldoctor Travieso, que está haciendo una granlabor desde que asumió la dirección de laDirección Nacional.
Y desde luego también ser honesto en decir queme gustaría que fuera formalmente másindependiente, aunque lo sea desde el punto devista personal, ¿no? Me gustaría que realmentepodamos lograr una Dirección Nacional que nosea un apéndice desde el punto de vista formaldel Ejecutivo, sino una Dirección Nacional quesea un órgano extra-poder en todo caso y no unamera dependencia.
En este punto, ya no me va quedando muchotiempo, quiero retomar un poquito lo que veníadiciendo al principio, esto de provocarlos con lascuestiones terminológicas.
Nosotros en la primera sesión hablábamos devarias cuestiones relativas al derechofundamental a la protección de datos ysurgieron al lado de las mesas algunascontradicciones con esa posición,contradicciones que surgen de las distintasposiciones o las distintas culturas jurídicas quehoy se están volcando en este foro.
120
Yo insisto en la necesidad de unificar criterios yen esto insto a la Red de la cual formo parte enhacer esfuerzos para que en las legislacionesnacionales unifiquen las terminologías.
Me parece que utilizar la palabra derecho a laprotección de datos es el término adecuado, meparece que es superador de otras construccionesanteriores, por ejemplo, libertad de informática,incluso, intimidad informática, Hábeas data quese usaba como derecho, incluso hoy se usa comosinónimo de derecho, que en realidad no lo es, elHábeas data es una garantía de otros derechosy me parece que esto es muy importante que sepueda visualizar desde el punto de vistaconceptual.
Por ejemplo, en los proyectos de Colombia,incluso, en la doctrina de la Corte Constitucionalse usa la palabra derecho de Hábeas data comola primera frase que tiene que ver con el accesoy después a la segunda fase se llama derechosconexos de rectificación, etc.
Me parece que tendríamos que tratar de unificary rescatar el sentido inicial del Hábeas data quefue una acción procesal constitucional quenació en una constitución brasileña del ochentay ocho y que tenía como finalidad actuar sobrelos datos personales para tutelar, en ese caso sepensó mucho en la libertad física, en la integridadfísica, en el derecho a la vida, porque se tratabade la idea de los constituyentes a acceder a losbancos de datos oficiales para prevenir futurasdiscriminaciones, en función de que estávolviendo la democracia en los bancos de datosde la dictadura.
Entonces, volver a esa idea de la Hábeas datacomo un mecanismo protector, limitado a eso yno confundirlo conceptualmente, y por supuestoel derecho a la protección de datos seríasuperador también, en mi opinión, del conceptode autodeterminación informativa, que fueacuñado por el Tribunal Federal alemán, en 1983,en la Famosa Ley de Censo de la Población, que sibien coincido con el profesor Chirino Sánchez,no debemos hacer una cuestióndeterminológica muy aguda, sí digo que su
propia denominación apunta prácticamente auno sólo de los aspectos, que es la facultad de,uno, de autodeterminar o de decidir qué se hacey qué se no se hace con sus datos, y en realidadesto es mucho más que eso.
Me parece que conceptualmente la palabraqueda superada. Les doy solamente un ejemploque me viene a la memoria en este momento:En Argentina sobre protección de datos es uncaso llamado Urteaga, que es el caso delhermano, un desaparecido, que solicitainformación sobre los restos de su humano y laCorte dijo, de manera clara, que a través de laHábeas data se podrían garantizar muchosderechos, entre ellos la identidad, la dignidad, laintimidad, el honor, la libertad, la propiedad eincluso, y en esto me detengo, el derecho al dueloy el derecho a enterrar a los difuntos.
Y ustedes dirán: ¿Qué conexión puede tener conla protección de datos? Bueno, precisamenteeste es uno de los puntos interesantes.
Desde luego esta persona reclamaba el derechode acceso a los datos personales de su hermanodesaparecido.
También propongo que además de llamarderecho a la protección de datos, a este nuevoderecho, como lo hace el artículo 8 de la Cartade Derechos fundamentales de Niza de 2000, sehable de una nueva disciplina que es el derechode la protección de datos.
Es una disciplina claramente interdisciplinaria,que está muy conectada obviamente con elderecho a la información, que fantásticamentecreo, aquí se ha visto como dos caras de unamisma moneda, como también decía el profesorChirino Sánchez, en la regulación de la ley y lasfacultades que se le da al IFAI.
El acceso a información pública y la protecciónde los datos personales, no pueden estardesvinculados y es bueno que haya un solocriterio en estos dos puntos.
121
Las causales para no permitir el acceso a lainformación pública y las causales para denegarla protección de los datos personales son lasmismas: Seguridad nacional, seguridad pública,defensa de intereses de terceros, salud pública,etc. Allí es bueno que haya un criterio rectoruniforme.
Desde luego, todo está en el ámbito del derechoa la información, como gran madre de estadisciplina. Ya quedan superados, desde luego, losconceptos, que lo ligaban al derecho informáticoo a la informática jurídica. Éstos al principio eranquienes habían tratado, los especialistas enderechos informáticos e informática jurídica, losque habían tratado esta temática.
Con esto voy a ir terminando y simplemente paramostrarles algunas de las diferencias quetenemos en las distintas legislaciones y queameritaría unificarse.
Les digo que, por ejemplo para la ley chilena, loque nosotros debiéramos denominar sistemasde información en general, es denominado comoregistro de banco de datos, en la legislaciónespañola como ficheros, en la Argentina comoarchivo, registro, base o banco de datos, en lalegislación peruana como banco de datos, en lalegislación uruguaya como archivo, registros,bases, con relación a quienes tratan los datos,en Chile se les trata como responsables, enEspaña se distingue entre responsables defichero y de tratamiento, en Argentina se divideentre responsables de la base de banco de datosy usuario, pero usuario utilizado de una maneradiferente a la que se utiliza en el resto de lalegislación, se utiliza en el sentido deresponsable de tratamiento; también en Españase alude a encargado de tratamiento, esanormativa no tiene un reflejo exacto en el restode las legislaciones.
Cuando se alude al titular de los datos se aludede manera diferente, como titular de los datos,como afectado o como interesado, comoconcernido, etc., no hay uniformidad en ladenominación. Esto se debe precisamente, enalgunos casos, a la riqueza de la lengua española
y en algunos otros se debe a erroresconceptuales que no tengo en este momentoforma de desarrollar.
En este punto quisiera dejar como mensaje lanecesidad de unificar, a fin de que, en definitiva,la legislación se aclare en uniforme.
Rescato lo que decía el doctor Travieso alprincipio, cuando se puede copiar es buenocopiar. En este punto yo creo que si laslegislaciones fueran exactamente iguales, porlo menos en lo sustancial y en lo conceptualestaríamos en una perspectiva de protecciónmucho más eficiente, mucho más eficaz.
Y desde luego esto es muy importante para queno se vea en la práctica de algún modo cumplidoaquel exorcismo literario que George Orwell dealguna manera hizo a través de 1984, y que laley en definitiva no sea una telaraña quedetenga los insectos y deje pasar a los pájaros.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
Se abrirá en espacio para las preguntas yrespuestas.
Al licenciado Carlos Arce Macías. ¿Existe unapropuesta de Ley de la PROFECO sobre laprotección de datos personales en asuntoscomerciales y electorales? Si la respuesta esafirmativa, ¿en qué consiste?, negativa,¿entonces por qué?
PonentePonentePonentePonentePonente: Carlos Arce Macías.
Rápidamente, no. No tenemos esta atribucióncomo para hacer una iniciativa ni mucho menos.No hay propuesta al respecto de parte de laPROFECO.
La PROFECO simplemente tiene una serie defunciones de protección de datos personales.Como ya lo comenté, las listas de no llamadas,que es una cuestión facultativa, podemoshacerlo o no y depende sobre todo depresupuesto. Esperamos que en el presupuesto
122
2006 poder llevar a cabo precisamente estesistema de inscripción de listas para no sermolestados vía telefónica en su domicilio.
Por otra parte, conozco simplemente lainiciativa que existe en el Congreso. En elCongreso está aprobado por el Senado ya unainiciativa. Está en minuta en la Cámara deDiputados, tiene que ser discutida y que ya fueaprobada previamente, por supuesto en elSenado.
Sin embargo, reitero, primero, la secuencia lógicaen cuestión de datos personales debería dehaber sido, primero: Ley de archivos, Ley deProtección de Datos Personales y la Ley Federalde Acceso a la Información PúblicaGubernamental.
Al inicio de este sexenio se vio que lasposibilidades estratégicas dentro del Congreso,y creo que así fue el asunto, se daba en laposibilidad de tramitar la Ley Federal de Accesoa la Información Pública Gubernamental, la cualpudo salir a inicios del sexenio y ahora esta leyprecisamente esta siendo el efecto contrario, osea, percutiendo la necesidad de la Ley de DatosPersonales y por supuesto de la Ley de Archivos,porque el otro asunto a donde vamos a llegar esdónde están nuestros datos, quién protegenuestros datos, quién utiliza y cómo se guardany resguardan nuestros datos que sería la Ley deArchivos.
De tal manera que el asunto que como yo ya locomentaba está cojo mientras no tengamos laLey de Protección de Datos Personales y la otramuy importante, Ley de Archivos.
Por lo pronto no hay ni habrá ninguna propuestapor parte de PROFECO, hay minuta en la Cámarade Diputados en este momento.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
Procurador le pediríamos que pueda seguir conel micrófono porque es otra pregunta que se leformula.
¿Cómo sancionar a las empresas y al mismogobierno cuando éste último vende los datos aparticulares?
PonentePonentePonentePonentePonente: Carlos Arce Macías.
Bueno, evidentemente en el gobierno sí habría,dependiendo de la diferente legislación, habríaresponsabilidad de los servidores públicos a nivelindividual y podrían ser sancionados, porsupuesto, ya ha habido algunos casos en el IFEpor ejemplo, pero ahí hay ciertos controles y laLey Federal de Acceso a la Información PúblicaGubernamental previene también una parte dedatos, de protección de datos personales y seprevino así precisamente en el conocimiento deque no había una ley ex profeso para la materia,igual que hay una serie de instrucciones enrelación a archivos.
En estos momentos en relación a las empresascomerciales, pues evidentemente no se puedehacer nada, no hay ningún tipo de regulación alrespecto y hay una negociación continua entreellas para recabar listados de datos personales,incluso en el Internet se pueden encontrar porahí la venta de discos de grandes ficheros,grandes listas de datos personales de ejecutivos,de personas de ciertas condiciones económicas,etcétera.
No hay ningún tipo de regulación que acote enestos momentos esa situación, cosa que ya seha comentado aquí, es uno de los problemasgraves que estamos enfrentando y los problemastecnológicos incluso.
Doy un dato. Incluso con cierto Softwareapropiado podría haber un seguimiento porllamadas telefónicas de dónde se mueve lagente. Aparte de la situación relativa al ADN porejemplo, que podríamos saber prácticamente dequé nos vamos a morir y de qué nos vamos aenfermar, y para las empresas puede ser muyimportante esto no solamente para las médicas,las de seguros, etcétera.
Podemos también saber dónde está la gente, enqué zonas se mueve, en qué zonas comerciales.
123
Podemos tener un seguimiento con la mineríade datos, como comentan, podríamos tener unconocimiento muy preciso de todo elcomportamiento comercial de una persona parasaber qué le vendemos, cómo le vendemos, quémercadotecnia usamos, en qué áreas se desplaza,etcétera.
Este es el problema. Estas son las agendas delsiglo XXI, es lo que se tiene que estar discutiendoen México porque es lo que se está discutiendoen el mundo y no estar atorados en otros tiposde agendas que tenemos que resolverrápidamente.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.Pregunta para el Consejero Andrés AlboMárquez: La información que mencionórespecto de las aportaciones de militantes y/osimpatizantes de los partidos ¿ya está cargada oa la vista en la página Web del IFE?
¿Cuál fue la sanción que se le aplicó al servidorpúblico que divulgó información relativa a datospersonales, del caso que se presentó en el IFE?Según mencionó usted en su exposición.
¿Qué medidas como resultado de estaexperiencia se aplicaron o se aplicarán?
Se ha planteado en México la implementacióndel voto electrónico. ¿En este caso un sistemade voto electrónico debería implementarmedidas para evitar que se identifiquen laspreferencias políticas de los electores? ¿Hay unmarco normativo que permita evitar esasituación?
PonentePonentePonentePonentePonente: Andrés Albo Márquez.
En lo relativo a las aportaciones sí hay unacuerdo que desde el 2003 hace pública lasaportaciones, si no mal recuerdo, lasaportaciones de los militantes y de lossimpatizantes de los partidos políticos y éstasya se encuentran en Internet.
Los nuevos sistemas que se estáninstrumentando para recabar fondos o por la víade las tarjetas de crédito o por las vías deaportaciones directas vía telefónica, estostodavía no se echan a andar, todavía no tenemosreportes, todavía no se ha fiscalizado, pero desdeluego va a ser objeto de publicación.
En el caso de las aportaciones vía telefónicas sesolicita al aportante algunos dato que permitenel consentimiento del aportante o cuandomenos del propietario de la línea.
El funcionario de nivel administrativo que fueobjeto de la investigación y, bueno, se ledemostraron algunas responsabilidades en elcaso este tan penoso de utilización de bancosde datos, bueno, ahora está en la cárcel.
A partir de ello sí el Instituto ha realizado variasacciones, algunas de carácter práctico,inmediatas, de carácter tecnológico comoreforzar los sistemas de información, acceso,control, de estos datos, incluso desdemodificaciones en la infraestructura material yde resguardo de esta información.
Pero también ha habido acciones de tiporeglamentario, de tipo normativo en los alcancesque tiene el Instituto, que básicamente ha sido,pues, reflejar en el Reglamento de Transparenciauna parte específica para todos estos datos. Perodada las particularidades del padrón también hahabido algunos acuerdos al respecto.
Pero diría que además de estos sistemas se tieneprevisto un sistema tecnológico de controlmucho más preciso.
En el caso del voto electrónico, bueno, ya elmismo voto que se realiza en urnas tiene unareglamentación muy precisa y muy estricta entérminos de la confidencialidad, los candadosque le llamamos coloquialmente para impedirtoda identidad del votante. A pesar de ello, bueno,en cumplimiento de ello sí se hacen algunosestudios, incluso, recientemente se publicaronlos primeros datos de preferencias políticas a
124
nivel agregado, votos, algunas características enuna muestra de urnas.
En el caso del voto electrónico que nosotros noestamos contemplando este instrumento paralas próximas elecciones, sino que tendría que serde manera experimental hasta probablementeel 2006, lo que se está buscando es desarrollaruna tecnología propia, pero también se estáviendo cuáles son las ventajas del votoelectrónico en algunos estados, incluso enalgunas partes del mundo, pero uno de losrequisitos y de los elementos que se estántomando en consideración justamente es laconfidencialidad de los votantes y de losmomentos en los que se ejerza el voto.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.
Para el doctor Alfredo Chirino Sánchez. Ya queno pudo exponer toda su ponencia, no sé sientendí su idea. En México la privacidad delderecho de autodeterminación de lainformación ha sido del Estado y no de losparticulares.
El artículo Octavo de la Constitución garantiza,desde hace años, que un funcionario deberesponder a la petición de un ciudadano. Perono daba el derecho a que le informara de laactividad de dicho funcionario, como ahora.
Hasta donde entendí de su exposición, laprivacidad se refiere a que en América Latina seconsidera que sólo el que tiene algo que ocultar,es el que pide precisamente esta privacidad, noacceso a sus datos personales; quién no tienenada que ocultar, obviamente, entonces lo dejaprecisamente a plena libertad.
Y en este caso yo considero, es mi experiencia,que en el gobierno mexicano eso es lo que se hadado. La privacidad era exclusivamente por partedel Estado y cada vez que se pedía información,antes de la Ley de Transparencia, simplementese trataba como si fuera una cuestión deseguridad nacional, cuestiones muy sencillas,cuestiones bastante puntuales acerca delfuncionamiento del Estado.
Entonces, yo quisiera que el doctor me aclarara,si es que entendí mal su exposición, a qué serefería con esto.
Ponente: Ponente: Ponente: Ponente: Ponente: Alfredo Chirino Márquez.
Mucha gracias por la pregunta, yo la verdadhabía quedado con muchos deseos decontestarle al doctor Puchinelli, al cual me damucho gusto conocerlo, ya que había leído sulibro sobre la situación del derecho de Hábeasdata en el sistema Indoamericano, y me pareceun excelente libro.
Voy aprovechar entonces para contestar lapregunta que me hacen, y decir algo que estárelacionado con los criterios terminológicos a losque aludía mi colega argentino.
Me parece que yo quería hacer alusión a ladiferencia que hay entre el tratamiento jurídicoo dogmático del derecho a la privacidad, a laintimidad y a la autodeterminación informativay su correlato cultural.
Me parece, y aquí estoy hablando únicamentede la cultura social de mi país, la cultura de laprivacidad o de mantener asuntos en laintimidad siempre refleja el sentimiento socialde sospecha, de que aquel que oculta algo esporque efectivamente quiero esconder algo dela vista pública.
Esa es la situación cultural de mi país, que esintransferible a otros países, y sólo puedo hablarde ella, porque es la que conozco bien.
Lo que usted me plantea de México a partir de laevolución constitucional del derecho depetición y respuesta, que está consignado en casitodas las constituciones liberales posteriores ala Segunda Guerra Mundial reflejaefectivamente que el derecho de acceso a lainformación era puramente formalista, se referíaexclusivamente a tener acceso a registros yarchivos públicos, y muchas veces se ridiculizóese derecho diciendo para lograr mejor acceso alos archivos públicos lo que hay que hacer losaparcamientos más grandes.
125
El derecho al acceso a la información públicaquedó ridiculizado mucho tiempo, consideradoexclusivamente como un derechoconstitucional de petición.
Con los avances que se han dado en la discusiónsobre el acceso de la información, repito,principalmente en temas de acceso a lainformación pública en materia de protecciónambiental, es que hoy, efectivamente, el derechode acceso a la información es la contracara, elanverso de la moneda relacionada con elderecho de la protección de datos.
Que ocurra eso en México en relación con losfuncionarios públicos, y que por mucho tiempoesa situación de secrecía, como dicen ustedes,se refiere específicamente a la vida privada y alas gestiones privadas, que de alguna maneraestán conectadas con lo público del ciudadano,probablemente tiene que ver con una nuevaatmósfera democrática que se vive no sólo enMéxico, sino en toda América Latina.
Aprovecho la pregunta solamente para decir aldoctor Puchinelli, que en efecto mi ataque altema del Hábeas data es para generar esedebate que no hemos podido generar y que talvez sería muy interesante tener, y eraprecisamente para causar esa sensación de queel con el Hábeas data realmente estamossolamente en una parte de la discusión.
Pero yo tengo que reconocer públicamente quesin Hábeas data no tendríamos la evoluciónjurisprudencial que se ha dado en mi país, hastael punto de reconocer a través de una garantíaprocesal el derecho sustantivo a la protecciónde datos.
Por esa razón creo que, en efecto, hay quediscutir esto desde un punto de vista dogmático,normativo, pero no podemos perder la vista delbosque por un solo árbol.
Lo comentaba ahora con la doctora SepúlvedaToro, es indudable que la mesa está sobre lostemas del gobierno y los datos que maneja, ydiscutir sobre las múltiples formas de observar
este derecho y esta garantía moderna en lassociedades de la información, podría hacernosperder la oportunidad histórica y política dealcanzar el derecho a la protección de datos queparece ser la única garantía en una sociedad deinformación, donde hasta el dinero ha perdidosu valor, y la información tiene el másimportante desde que aquel importante filósofodijo: El poder la información lo es todo.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
Pediría ahora la respuesta a Andrés CaleroAguilar.
PPPPPonenonenonenonenonentetetetete: Andrés Calero Aguilar.
Es un planteamiento que me voy a permitir leerpara el entendimiento de la respuesta. Señalaque la Academia Mexicana de DerechosHumanos solicitó información acerca delConsejo Consultivo de la CNDH y éstapretextando que es confidencial la negó. Laopacidad de la CNDH ha provocado la necesidadde un programa como Atalaya del ITAM paraanalizar y evaluar realmente la Comisión.
Dos cosas: El planteamiento es equivocado; lasactas del Consejo Consultivo en su versiónpública han sido entregadas a la Academia, elConsejo está integrada por personas que no sonservidores público, por los cuales no se les puedeobligar entregar la información y por lo tanto sehizo una versión pública.
Segundo. No sólo el programa Atalaya hasupervisado, analizado y estudiado la Comisión;existen programas de la Academia Mexicana deDerechos Humanos de FUNDAR, y de laUniversidad de San Diego, a los cuales laComisión ve con muy buenos ojos, estamos comoorganismo público autónomo sujetos a ladisposiciones de la ley y, tal como se señalóanteriormente únicamente siete por ciento delas más de 300 solicitudes de transparencia hansido clasificadas porque así lo dispone la ley, comoinformación reservada, únicamente menos delsiete por ciento.
126
ModerModerModerModerModeradoradoradoradorador::::: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
Rápidamente dos últimas preguntas por obviodel tiempo.
A la doctora María Alejandra Sepúlveda Toro.¿Qué experiencia tienen en Chile respecto a laaplicación de la ley de protección en los aspectos:financieros, información crediticia, acceso a lainformación, bancos de datos en gobierno versusprotección de datos personales?
PPPPPonenonenonenonenonentetetetete: María Alejandra Sepúlveda Toro.
La experiencia que tenemos respecto de eltratamiento de datos personales por losorganismos privados se vincula principalmenterespecto a reclamaciones que se realizan entorno a entrega de información, sin que estépendiente la decisión o la definición de unnuevo crédito, solamente para la informacióngeneral que podría tener un banco sin quenecesariamente el titular de los datos estéhaciendo unas gestiones específica deobtención de algún nuevo préstamo.
Por otra parte, la otra reclamación tiene que vercon mantener la información más allá de losplazos que se ha previsto en la ley, que se vinculacon los cinco años desde que la obligación sehizo exigible o una vez que ya está prescrita laacción penal o administrativa. Yo diría que enese contexto están más bien planteadas lasreclamaciones.
Ahora, también hay reclamaciones que serealizan al servicio nacional del consumidor, quetiene que ver con temas vinculados al gran flujode correspondencia que llega, sin que laspersonas hayan entregado sus datos para talesefectos.
ModerModerModerModerModeradoradoradoradorador: Alonso Gómez Robledo Verduzco.Comisionado del IFAI.
Terminaríamos con una última preguntaformulada al doctor Oscar Puchinelli, consisteen lo siguiente: ¿Qué riesgos considera usted
que existen si la autoridad garante de laprotección de datos personales dependedirectamente del Poder Ejecutivo? Es decir, queno sea autónoma e independiente o de creacióno dependencia parlamentaria.
Ponente: Ponente: Ponente: Ponente: Ponente: Oscar Puchinelli
En primer lugar es una cuestión inicial decredibilidad. Cuando uno le da la función decontrol a un órgano dependiente del que va acontrolar, evidentemente la gente no tienemucha confianza, de entrada.
Si usted le va a decir al Poder Ejecutivo que es elque maneja la mayor cantidad de base de datosque tenga una dependencia, que lo va acontrolar, esto es de alguna manera bastante,desde el punto de vista de la gente, bastantepoco confiable, aunque la institución resulteconfiable, un primer argumento arranca desdela necesidad de que el controlador no esté en lamisma órbita del controlado, este es un principiobásico del sistema en contrapeso.
Hay una tendencia general en los ejecutivos ade alguna manera utilizar los datos, yo puedodar dos ejemplos de mi país: recientementehubo campañas electorales y mucha gente harecibido llamadas telefónicas del Presidente dela República para pedir su apoyo en la votación,no hay elecciones presidenciales, sino huboelecciones legislativas y mucha gente que nisiquiera estaba, no era público su dato, digamos,en el directorio telefónico, también recibió lasllamadas, es decir, esto requiere de algunamanera cierta fuerza para controlar ese tipo desituaciones.
Desde luego, muchas o la mayoría pueden noser reconocidas, pueden no ser vislumbrada porla autoridad de control, pero sí digo que muchasveces hay una tendencia por parte del PoderEjecutivo de utilizar los datos personales contrala propia Ley de Protección de Datos, incluso otrasautoridades no necesariamente del PoderEjecutivo, de autoridades electorales, hubo unagran discusión hace muy poco tiempo donde seincluyó en el padrón electoral disponible a
127
cualquiera el dato de afiliación partidaria y estogenera una gran discusión.
Desde luego, los criterios de la autoridad decontrol yo los entiendo absolutamenteindependientes, porque conozco a la personaque lo dirige, pero tal vez no se ha vislumbradode esta manera por la sociedad en general, ¿meexplico? Es decir, en un primer momento yo diríala autoridad de control no tiene que tener querelación con los sujetos que va a controlar, debeser completamente independiente.
En el campo del defensor del pueblo se aplica lomismo, el defensor del pueblo, en general, en laslegislaciones latinoamericanas y ese es el origen,digamos, institucional del ombudsman es elcontrol de la administración pública. Está bien,va a controlar los bancos de datos del PoderEjecutivo, pero ¿qué pasa con los otros bancosde datos? ¿Naturalmente es una instituciónapropiada para controlar los bancos de datosprivados? Aparentemente no.
No quiere decir que no pueda hacerse, uno eningeniería constitucional puede modelar condistinto resultados de acuerdo a la idiosincrasiade cada país, pero me parece que siempre hayque atender a una autoridad independiente.
Y les digo mi experiencia personal, una de lascosas que no coloqué ahí en el currículum fueque asesoro a legislador y que usualmente mehan consultado legisladores entre distintoslugares de mi país.
Cuando quieren dictar una ley de adhesión a laLey Nacional de Protección de Datos y crear unaautoridad de control, siempre, como pauta,digamos ineludible, era: ¿Por qué no ponemos laautoridad de control en el Poder Ejecutivo?Siempre la idea es por qué poner la autoridad decontrol en el Poder Ejecutivo, porquenormalmente es lo que menos daño puedecausar al gobierno.
Esto sin perjuicio de que como en el casoargentino hay independencia en autoridad decontrol, hay estabilidad, de alguna manera está
cubierto por lo menos por el período en el queestá designada la autoridad de control, pero hayque dotarla siempre una fuerte independencia,en este punto para mí me parece central.
Lo que no quiere decir, como dije antes, que lasdependencias del Poder Ejecutivo tambiénejerzan su control en función de suscompetencias, esto también es cierto, pero ladecisión final debiere estar, por lo menos elcriterio definitivo desde el punto de vistaadministrativo, porque después están loscorrectivos judiciales desde luego, y en estaactividad los jueces ha sido muy valorada porsupuesto en América Latina y sobre todo enArgentina, Colombia, donde han tenido un grandesarrollo, el criterio definitivo debiera estar porlo menos en una autoridad independiente queunifique además ese criterio para los ciudadanosque no pueden estar sujetos a distintos criteriosque puedan tener el Poder Ejecutivo en funciónde sus distintas reparticiones.
Esa es mi visión del tema, pero no pretende ser unavisión que descarte las otras alternativas,simplemente es lo que entiendo que favorecería unamejor protección de los datos de carácter personal.
129
Perspectiva del sector financiero yPerspectiva del sector financiero yPerspectiva del sector financiero yPerspectiva del sector financiero yPerspectiva del sector financiero ycomercial en la protección de loscomercial en la protección de loscomercial en la protección de loscomercial en la protección de loscomercial en la protección de losdatos: los datos de crédito y eldatos: los datos de crédito y eldatos: los datos de crédito y eldatos: los datos de crédito y eldatos: los datos de crédito y elmarketing directomarketing directomarketing directomarketing directomarketing directo
Mesa 5Mesa 5Mesa 5Mesa 5Mesa 5ModeradoraModeradoraModeradoraModeradoraModeradora: Isabel Davara Fernández de Marcos. Consultora especialista en Protección dedatos personales.
Daré lectura del currículum de nuestro conferencista Rafael del Villar Alrich. Estudió la licenciaturaen Economía en el ITAM y tiene Estudios de Derecho por la UNAM; es doctor en Economía por laUniversidad de Pennsylvania. Es profesor asistente en el Departamento de Economía de laUniversidad de Texas; fue Ministro para Asuntos Económicos, hasta el 1993 en la Embajada deMéxico en París.
Fue director del Centro de Estudios de Competitividad y profesor de Economía del ITAM, junto a suequipo realizó estudios sobre la industria de seguros, la adopción de tecnología en diversos sectores,así como sobre inversión extranjera.
Fue Director General de Estudios Económicos de la Comisión Federal de Competencia. En 1994elaboró el Anteproyecto de Ley Federal de Telecomunicaciones, que entró en vigor en junio del1995.
Fue Director General de Política de Telecomunicaciones y Negociaciones Internacionales de laSecretaría de Comunicaciones y Transportes de 1995 a 1996, y elaboró el diseño de subastas delespectro radioeléctrico y el Anteproyecto de Reglamento de Interconexión.
Ha participado en la elaboración de diversas leyes: Ley de Concursos Mercantiles, Miscelánea deGarantías, Ley de Sociedades de Información Crediticia, Ley de Transparencia y Acceso a laInformación Pública y Anteproyecto de Ley Federal de Protección de Datos Personales.
Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Rafael del Villar Alrich.
Se van a dar cuenta que tengo poco que decir del marketing director, aunque tengo un aspecto quesí voy a mencionar.
Y voy a hablar, más que de lo que quisiéramos ver en un futuro, voy a hablar de ciertos problemas ociertas oportunidades que se observan con el tema de información crediticia.
130
La plática tiene tres partes. La primera describeel papel que tiene el mercado de informacióncrediticia, para el eficiente funcionamiento delmercado de crédito y la importancia dedesarrollar este mercado.
En la segunda parte se muestran los avances quese han hecho en México, en relación a laprotección de la información crediticia. Y en laúltima parte se presentan algunos retos para elfuturo.
Vamos de lleno a la primera parte, que es elmercado de información crediticia y el eficientefuncionamiento del mercado de crédito.
En México a principio de los años 90 se pusieronen marcha múltiples reformas en materiafinanciera, las cuales entre otros factorespermitieron que se reactivara el crédito al sectorprivado, especialmente a los hogares. Noobstante durante esa expansión crediticia laeconomía no contó con un adecuado de créditosobre personas físicas.
Ello limitó las posibilidades de la banca paraadministrar los riesgos de su cartera crediticia,lo cual contribuyó al incremento en la carteravencida y a agravar la crisis de 1995.
Desde los años 50 el Banco de México habíavenido administrando un registro, llamadoServicio Nacional de Información de CréditoBancario, para créditos bancarios de montossuperiores a aproximadamente 20 mil dólares.
Con la Ley de Agrupaciones Financieras de 1990se previó la creación de un mercado privado deinformación crediticia, que incluyera todo tipode créditos.
Las reglas para la constitución y operación delos primeros burós fueron emitidas a principiode 1995, originalmente se autorizaron tres buróspara personas físicas. De los cuales uno salió delmercado en 1997, y otro en el año 2000.
En el presente año ha sido autorizado un buróde crédito adicional. Conviene hacer una pausa
en este momento y hacer unas reflexiones delimpacto que tiene el Servicio de InformaciónCrediticias sobre la disponibilidad de crédito alos individuos, y sobre el eficiente desarrolloeconómico.
Los mercados de crédito casi siempre presentanun cierto grado de asimetría de informaciónentre prestatarios y prestamistas.
Los prestatarios o sujetos de crédito tienen mejorinformación sobre su disposición o capacidad depago que los oferentes de crédito.
Las ganancias para los oferentes dependentanto del precio del crédito, es decir, la tasa deinterés, como de la probabilidad de repago quegeneralmente no pueden observar. Inviertenrecursos para intentar determinar el nivel deriesgo de los sujetos. Éstos tienen el incentivo acooperar con los oferentes, si su verdadero nivelde riesgo es bajo, pero tienden a ocultarinformación si ésta sugiere una elevadaprobabilidad de incumplimiento.
En un mundo en el que no se comparteinformación entre oferentes de crédito Stiglitz& Weiss demostraron hace ya un cuarto de siglo,que el problema de selección adversa reduce losbeneficio del mercado de crédito paraprestatarios y prestamistas.
Cuando los prestamistas no pueden distinguirentre buenos y malos sujetos de crédito, a todoslos sujetos se les cobra una tasa de interés querefleja el promedio de riesgo del grupo en suconjunto.
Este precio es mayor que el que están dispuestosa pagar algunos sujetos de crédito de bajo riesgo,por lo que éstos deciden no contratar los créditos,lo que reduce la base de demandantes de créditode bajo riesgo elevando aún más la tasapromedio que se cobra a los prestatarios que sequedan en el mercado.
El problema de selección adversa muestra conclaridad porqué la existencia de másinformación hace que los mercados de crédito
131
funcionen mejor. La existencia de informaciónsobre la experiencia crediticia de los distintossujetos permite distinguir o separar a laspersonas de bajo riesgo de las de alto riesgo yofrecerles crédito a menores tasas de interésevitando que abandonen el mercado.
Además de selección adversa, los mercados decrédito están sujetos al denominado riesgomoral. Es decir, el incentivo que tiene elprestatario a incumplir sus compromisos de pagouna vez que se le ha otorgado el crédito. Ello, amenos que su incumplimiento tengaconsecuencias como es el caso de que en elfuturo sus nuevas solicitudes de crédito seanrechazadas o se le dificulte obtener un trabajo.
Una vez que las personas saben que su historialcrediticio va a quedar registrado en bases dedatos, tienden a evitar este tipo decomportamientos oportunistas.
Varios estudios, por ejemplo Pagano y Japelli en1993 han mostrado cómo el compartimiento dela información puede reducir los problemas deselección adversa y riesgo moral e incrementarel volumen de crédito en beneficio del desarrolloeconómico.
Los incentivos de los oferentes de crédito acompartir información de deudores referente asu experiencia de pago, las obligaciones actualesy su nivel general de exposición, aumentan conel tamaño del mercado de crédito y el númerode oferentes de crédito, la movilidad y laheterogeneidad de los deudores y con losavances y reducciones de costo de lastecnologías de información.
La intuición de estas afirmaciones es simple, amedida que aumenta el tamaño del mercadode crédito y el número de oferentes de créditocrece, la información sobre la experiencia decrédito de los sujetos está más fragmentada ypor ende el compartimiento de informaciónresulta más benéfico.
La movilidad y heterogeneidad de los deudoresreduce la probabilidad de que un prestamista
pueda fijar precios competitivos por los créditosque ofrece, basándose exclusivamente en suexperiencia.
Otros oferentes que decidan compartirinformación tendrían una ventaja competitivaen el mercado de crédito. Los avances en lastecnologías de información y comunicaciónreducen los costos de formar y administrar basesde datos, es decir, los costos de los Burós deCrédito.
Sin embargo, también existe un incentivo queva en la dirección contraria, es decir, un incentivoa no compartir información entre oferentes. Esteincentivo se ocasiona por el temor a lacompetencia por la entrada de oferentesadicionales y, en general, el temor por unacompetencia más intensa en el mercado. Ello,debido a que la información que permitedistinguir a sujetos de crédito de alto y bajoriesgo es más accesible a los competidores.
Los Burós de Crédito o Sociedades deInformación Crediticia son un tercerparticipante integral en los mercados de crédito.Son, no sólo un vehículo para agregarinformación de los oferentes y fungir como unaespecie de cámara de compensación deinformación crediticia, si no también unvehículo para disciplinar y sancionar aquellasinstituciones que no les reportan correcta ocabalmente al poder excluirlos de sus servicios.
Si bien los oferentes tienen el incentivo a nocompartir información de sus buenos deudoreso incluso difundir información falsa sobre ellos,con el objeto de evitar que sus competidores losatraigan con mejores ofertas, los Burós deCrédito disciplinan a los oferentes en contra deestas acciones que perjudican a los mejoresdeudores. Para poder operar eficientemente yser competitivos frente a otros burós, exigen quelos oferentes les entreguen informacióncompleta y correcta.
En algunos países la información que losoferentes de crédito pueden transferir a losBurós de Crédito se limita a información
132
crediticia negativa. Es decir, información sobreincumplimientos e información referente afraudes en la materia.
La desventaja de este enfoque es que al noincluirse la información positiva, es decir,información sobre los balances, aperturas decuenta o límites de crédito, así comoinformación referente a deudores cumplidos, sereduce significativamente la capacidad deevaluar el nivel de riesgo de los sujetos de crédito,ya sea que hayan o no tenido incumplimientos.
Estudios realizados de calificación de riesgosmuestran que para un porcentaje de aprobaciónde solicitudes de crédito preestablecido laprobabilidad de incumplimiento en el créditootorgado aumenta notablemente al eliminarsedel ejercicio de valuación la informaciónpositiva, similarmente el porcentaje deaprobación de solicitudes para una probabilidadde incumplimiento dada disminuyesignificativamente cuando la valuación se hacesólo con información negativa.
Es previsible que se obtengan resultadossimilares a los que se acaban de mencionar si losejercicios de evaluación se realizan para Buróde Crédito que reciben información que unreducido número de oferentes de crédito y paraburós con un gran número de oferentes. Lasevaluaciones que se hagan para burós con mayorinformación serán más precisas y mejores.
Para un porcentaje de aprobación de solicitudesdado la probabilidad de incumplimiento esmenor, similarmente para una probabilidad deincumplimiento dada el porcentaje deaprobación es mayor al crecer el número deoferentes que reportan información crediticia alos burós.
En la medida que los Burós de Crédito cuentencon información más completa, porque procesaninformación positiva y negativa y porque tieneninformación de un gran número de oferentes, losservicios que ofrezcan serán mejores y estoredundará en que el crédito se asignará demanera más eficiente en la economía.
Es por ello que la competencia entre Burós deCrédito no debe concebirse como unacompetencia que segmente artificialmente lasbases de datos o los mercados de informacióncrediticia, existen beneficios económicosconsiderables por juntar y agregar información,así como pérdidas considerables de que ocurralo contrario.
Los beneficios de la competencia entreSociedades de Información Crediticia debieranreflejarse en una creciente base de oferentesde crédito inscritos en los servicios de los burós,en menores tarifas, en un trato equitativo entrelos distintos oferentes de crédito, en lautilización de tecnologías de punta y en unafuerte innovación de servicios.
La intensidad de la competencia del mercadode información crediticia depende de cómo seorganice la industria. Esquemas que podríamosllamar de club de oferentes de crédito, en la quelos Burós de Crédito son controlados por losmiembros del club procuran modular lacompetencia y estabilizar las relaciones entresus miembros, tienden a limitar elcompartimiento de información con externos ytienden a segmentar el mercado de informacióncrediticia.
En el caso de México de los tres burósoriginalmente autorizados a mediados de losaños noventa, dos salieron del mercadoprincipalmente por los obstáculos que tuvieronen acceder a la información crediticia bancaria.
Por otra parte, en el esquema de burósindependientes, es decir, independientes de losoferentes de crédito, éstos procuran que susservicios estén disponibles a cualquiera quequiera pagar por ellos, son altamenteincluyentes debido a que contar con una ampliabase de oferentes participantes se percibe comouna ventaja competitiva y tienden a prosperaren mercados volátiles y dinámicos.
A manera de conclusión de estas ideas conceptualespodemos afirmar que la existencia de servicios deinformación crediticia eficientes conduce:
133
Uno. A fomentar el cumplimiento deobligaciones crediticias.
Dos. Reducir los costos de transacción en elmercado de crédito, pues en su ausencia losoferentes que incurren los agentes querequieren de este tipo de información, de locontrario tienen que incurrir en mecanismosmás oneroso para obtenerla, completarla ohacerla más precisa.
Tres. Asignar eficientemente el crédito en laeconomía.
Cuatro. Fomentar el crecimiento de la economíasobre bases sólidas.
Ahora me voy a referir a avances en México enrelación al tema de la protección de lainformación crediticia.
Antes, quizás, hacer una mención de que albuscar un balance entre la privacidad y elcomportamiento de información crediticia, elindividuo toma en cuenta que si no permite alposible otorgante de crédito obtener un reportede crédito de su persona, probablemente ésteno va a otorgarle el crédito o se lo va a otorgarcon tasas de interés elevadas.
Es por ello que al solicitar un crédito, el individuogeneralmente acepta que el otorgante obtengaun reporte de crédito de su persona.
En México diversas leyes del sistema financieroobligan actualmente a las entidades financierasa guardar secreto de la información crediticiade las personas: La Ley de Instituciones deCrédito para bancos y fideicomisos, la Ley delMercado de Valores para las casas de bolsa.
La violación del secreto financiero obliga a lasentidades financieras a reparar los daños yperjuicios que se causen, sin perjuicio de lasresponsabilidades penales procedentes.
No existe una obligación de guardar secreto,equivalente para los oferentes de crédito quesean empresas comerciales.
La Ley para Regular las Sociedades deInformación Crediticia del 2002 contempladiversas medidas de protección para los datoscrediticios:
Uno. Transmisión de reportes de crédito aterceros, sólo con autorización expresa,mediante su firma autógrafa.
Dos. Calidad técnica, honorabilidad e historialcrediticio satisfactorio de los consejeros y de losdirectores generales de las Sociedades deInformación Crediticia.
Tres. Manuales operativos estandarizados, parael registro de la información por parte de losoferentes de crédito, que son usuarios de losservicios de las Sociedades de InformaciónCrediticia.
Cuatro. Medidas de seguridad y control en lasSociedades de Información Crediticia contra elmanejo indebido de la información.
Cinco. Sistemas y proceso para verificar laidentidad de las personas, de quienes se solicitanlos datos y de quienes acceden a los reportes.
Adicionalmente la ley otorga derechos a lostitulares de los datos, mismos que voy a resumir:
Uno. El derecho de acceso a su reporte de créditoespecial ante las Sociedades de InformaciónCrediticia, en un plazo máximo de cinco días.También existe este derecho cuando la personaacude a los oferentes de crédito; ellos tienen laobligación de tramitar esta solicitud.
Dos. La solicitud y el acceso a los reportes decrédito puede darse por diversos medios:personalmente en las oficinas de las Sociedadesde Información Crediticia, por correo, fax, correoelectrónico, teléfono, Internet.
En el caso de que se solicite por Internet,actualmente el Buró de Crédito entrega elreporte de crédito especial en ese mismomomento, de manera gratuita.
134
Se han establecido tarifas máximas paragarantizar el acceso de las personas a suinformación. La tarifa de acceso, como dije, esgratuita y las subsecuentes también songratuitas, siempre y cuando se realicen enintervalos no menores a 12 meses.
Las Sociedades de Información Crediticia debentener un número telefónico gratuito deatención al publico; las reclamaciones se puedenpresentar directamente ante las Sociedades deInformación Crediticia y se sujetan a unmecanismo claro y con plazos definidos.
En caso de que el otorgante de crédito noresponda a la reclamación los burós debenefectuar las modificaciones solicitadas. Esteprocedimiento es gratuito para las dos primerasreclamaciones de cada año.
Se establece un plazo máximo de 84 meses parala retención de los datos crediticios en los burós,ya sean datos negativos o positivos.
A fin de mejorar la calidad de la información yque ésta reciba un tratamiento uniforme porparte de las Sociedades de InformaciónCrediticia, éstas deben establecer formularios einstructivos de llenado para las empresas queles envíen información. Dichos formularios einstructivos deben ser dados a conocer al público.
Tratándose de una mesa que debe abordartambién el tema de la mercadotecnia directa,cabe señalar que las Sociedades de InformaciónCrediticia también pueden apoyar a empresasque deseen realizar actividades demercadotecnia directa.
La regulación permite a empresas que sonusuarias de los servicios de las Sociedades deInformación Crediticia, obtener reportes decrédito, con el objeto de realizar ofertas decrédito a personas físicas, con las que no tienencontacto.
Las empresas interesadas en efectuar estasofertas de crédito deben informar a las personasa las que dirigen sus ofertas, su identidad, las
características del crédito que ofrecen, talescomo tasas de interés y comisiones asociadas.
Tres. Obtener las autorizaciones por mediotelefónico o Internet, para estar en posibilidadde acceder a los reportes de créditocorrespondientes. Para estos casos se haautorizado la sustitución de la firma autógrafacon un proceso de identificación de la persona,que incluye nombre y dos apellidos, domicilio,CURP o fecha de nacimiento, y últimos cuatrodígitos de ciertos contrato de crédito vigente.
Paso a la última parte de la plática. Los Retos. Sibien en las entidades financieras los datospersonales crediticios, entre otros, estánprotegidos y las Sociedades de InformaciónCrediticia protegen los datos crediticios queprovienen tanto de entidades financieras comoempresas comerciales, en la actualidad no existeuna regulación de protección de datos crediticiosque aplique a las empresas comerciales.
Después de casi 10 años de haber iniciadooperaciones, el Buró de Crédito todavía nocuenta con la información de un gran númerode oferentes de crédito no bancarios, como sonempresas comerciales, e incluso las cajas deahorro.
El reto es hacer que el mercado atiendaeficientemente a estas empresas. Para ello esindispensable que exista el tipo de competenciaentre Sociedades de Información Crediticiamencionado anteriormente.
En la actualidad existe un riesgo desegmentación artificial de bases de datos, lo queiría en detrimento del valor de los servicios queprestan las Sociedades de Información Crediticiay de su desarrollo.
La segmentación haría más difícil y costosoobtener historiales crediticios completos de laspersonas, con consecuencias, potencialmenteperjudiciales sobre el mercado de crédito.
La industria de información crediticia pudieraconformarse por clubs de oferentes de crédito.
135
Los oferentes de crédito tenderían a participarsolamente en el club al que pertenecen. Tantoel Buró de Crédito, como Círculo de Crédito, laotra sociedad de información crediticiarecientemente autorizada, se asemejan a esteesquema de clubs.
Varios bancos son dueños del 70 por ciento delBuró de Crédito. El porcentaje restante quecorresponde a socios tecnólogos, mientras queel círculo de crédito está relacionado conempresas que atiendan estratos de ingresosmedios y bajos.
Aparentemente existe interés también de lassociedades de ahorro y crédito popular en formarsu propio buró.
El reto es crear un mercado de informacióncrediticia incluyente, con burós en los que losoferentes de crédito tengan confianza plena deque la información que proporcionen esutilizada con total imparcialidad, y las tarifas sonequitativas para oferentes chicos y grandes.
El esquema que probablemente conduce al másrápido desarrollo del mercado de informacióncrediticia en México, es el de burósindependientes sujetos a una estructuratransparente de gobierno corporativo.
Esta es la tendencia que se observa en losmercados de información crediticia másdesarrollados del mundo.
Por último, si bien actualmente el 94 por cientode las personas en el Buró de Crédito sondeudores cumplidos, la percepción que existe enla sociedad del mercado de informacióncrediticia es frecuentemente negativa. LasSociedades de Información Crediticia seperciben muchas veces como listas negras, enlas cuales, naturalmente, hay que evitar estar.
No se ha hecho suficiente énfasis en que la granmayoría de las personas se benefician de estarreportadas en los burós, pues ello les permiteacceder a nuevos créditos en condicionespreferenciales.
Tampoco se ha enfatizado el balance positivoque para el mercado de crédito y el crecimientoeconómico del país está teniendo o puede tenerel tercer participante integral en los mercadosde crédito.
ModeradoraModeradoraModeradoraModeradoraModeradora: Isabel Davara Fernández deMarcos. Consultora especialista en Protecciónde datos personales.
Como les anticipaba, yo creo que esta mesa va adar grandes temas, porque trata, en mi opinión,dos de los temas que generan más polémicas,específicamente las normativas en protecciónde datos, porque puede llevar a pensar en unaconfrontación entre las tendenciasmercantilistas y las tendencias de protección delas garantías individuales.
Coincido con el doctor del Villar en que estasexcepciones, en particular la de informacióncrediticia que él mencionaba se hace en lasnormativas de protección de datos en beneficiodel tráfico mercantil.
Mi pregunta es: ¿dónde está el balance, dóndeestá el equilibrio?
Mencionaba él, puede llegar a pasar que no se ledificulte obtener el trabajo porque la empresaque te va a contratar tenga tu historial crediticio.
¿Cómo podría ser eso? ¿Eso no sería una finalidadincompatible?
Juan Pablo Guerrero Amparán fue nombradoComisionado del IFAI por el Presidente de laRepública y aprobado por la Cámara deDiputados del Congreso de la Unión para elperíodo 2002-2009; ha concluido sus estudiosde doctorado en Ciencia Política y políticaPública en París, en el Instituto de EstudiosPolíticos; es maestro en Política Pública ymaestro en Economía y Política Pública por laUniversidad Hopkins, y sus principales áreas deespecialización son las de presupuesto yfinanzas públicas, reforma de administraciónpública, rendición de cuentas, servicio civil ydescentralización fiscal.
136
PonentePonentePonentePonentePonente: Juan Pablo Guerrero Amparán.
Yo quiero compartir con ustedes una reflexiónque está claramente en proceso de construcción,por lo que mi intervención contrastaráenormemente con lo ordenada y clara que fuela de Rafael.
Quiero sugerir que incorporemos en estadiscusión otro elemento de la confianza, quetiene que ver también con la protección de laintimidad y con el conocimiento del otro, es decir,con el acceso a la información sobre su persona.
Voy a sugerir que la circulación, el libre flujo, elintercambio, la publicidad de datos personalesgenera confianza, genera certeza y esto favorecela cohesión social, los intercambios sociales, losintercambios económicos, los intercambiospersonales y desde luego las asociacioneseconómicas sobre las que no abundaré mucho,me seguirán en la palabra quien podrá hacerloextensamente.
Debo hacer de entrada un deslinde institucional,lo que aquí planteo no forzosamente coincidecon la posición del Instituto en el que tengo elgran honor de trabajar.
Lo que sí me voy a permitir hacer es compartir laexperiencia que hemos tenido en el IFAI, que estáencargado del acceso a la información pública y,por otro lado de la protección y el acceso a losdatos personales y que vive semanalmente, peromuchos, los comisionados, cotidianamente elconflicto entre el principio de publicidad, elderecho a saber y el derecho a la privacidad.
El Estado, México no es la excepción, tiene lasbases de datos personales más amplias y másdelicadas y tiene la obligación de proteger esosdatos personales. Pero es evidente que enocasiones la publicidad que también es unmandato del Instituto merma la privacidad.
Los ejemplos que puedo referirles sobre lapublicidad de datos personales cuando serelacionan a la regulación que el Estado hacesobre particulares tiene que ver con cuatro
condiciones: El destino de los recursos públicos,las contrataciones, es decir, cuando el gobiernoactúa como una contraparte económica, losprivilegios por permisos que le permiten aparticulares, permisos, autorizaciones,concesiones, actuar en condicionesexcepcionales en su beneficio y las infraccionesde normas federales.
En el primer punto, quienes conocen la LeyFederal de Transparencia saben bien que lossueldos, las remuneraciones, las prestaciones detodos los servidores públicos son públicas, perono sólo eso, las becas, los subsidios directospersonales, las ayudas también obligan al Estadoa relevar el nombre y las condiciones en las quese reciben estos recursos.
Y en esto no solamente hay obligación de daracceso sin mediar a una solicitud específica, sinoque, como saben, está en Internet.
También se releva el nombre de la contraparteeconómica del Estado cuando éste es un agentede derecho privado, que además, como en lamayoría de los países, es el mayor actor en laeconomía.
Tanto en obras públicas, contratos, compras debienes y servicios también se afecta el datopersonal, el nombre, las condiciones generalesdel socio, aunque sea estrictamente temporaldel Estado en una transacción económica.
Decíamos que también todos los beneficiariosde licencias, autorizaciones, concesiones, por esesólo hecho tienen que renunciar a alguna partede la privacidad de sus datos, referidosexclusivamente a esta actividad, pero tambiénson sujetos de la luz a la que obliga la Ley Federalde Transparencia.
Y esta última condición la de la violación oinfracción por normas federales no estáplanteada así en la ley como una obligación detransparencia que se ponga en Internet, pero esun criterio en el que el Instituto se hapronunciado, aquí hablamos de normassanitarias, normas ambientales, incluso,
137
quebrantos financieros en donde se haplanteado que en esas condiciones y una vezconcluido el proceso de la autoridad el nombrede los sujetos de estas transgresiones es público.
¿Cuántas veces ha ordenado el IFAI que seentregue información que en un origen fuedenegada con el fundamento de laconfidencialidad? Innumerables.
Debo decir que ahí son los debates más intensosentre los comisionados y, sin duda, cuando setocan estos dos principios, estamos ante losrecursos y los casos más complejos.
No me voy a extender en las gráficas que poníanpara ustedes un ejemplo, por ejemplo lasiguiente en materia de autorizaciones,permisos y concesiones, identifican a lasdependencias y entidades con mayores casos.
Allí están. Les digo que no me detendré,solamente, dado que el pay es muy difícil de leer,les digo que en Comunicaciones y Transportes,la Comisión de Telecomunicaciones, la ComisiónNacional del Agua, la Secretaría del MedioAmbiente representan cerca del 40 por cientode los recursos, las quejas que hemos tenido,relacionadas con negativas originales que sefundamentan en la confidencialidad de untercero, para negar la información.
Lo que quiero plantear, para luego hacer un símilo el razonamiento en el caso de los particulareses que, ya se ha dicho, la información sobre elEstado; la información entre el Estado y losparticulares, entran en conflicto estos dosprincipios, el de la publicidad y el de la privacidady hemos tenido tres formas de resolverlo.
En el caso de México, la Ley Federal deTransparencia se ha diseñado, entre otras cosas,pero enfáticamente en garantizar la rendiciónde cuentas, el acceso sencillo a la informacióndel Gobierno y el cumplimiento de las reglas, laconsolidación del Estado de derecho.
También se enfatiza la protección de datospersonales, pero es, como bien saben, más bien
frugal en ese tema, mientras que se extiendemucho, dado el objetivo, el mandato de hacerdel Gobierno mexicano uno transparente, máshonesto y más eficiente.
Pero volviendo a este conflicto y una vezestablecido el mandato de transparencia, las tresformas de resolver el dilema ha sido, por un lado,que uno de estos principios, publicidad,privacidad, prevalezca sobre el otro.
Por otro lado, dar publicidad de datos personalesque no son confidenciales y, finalmente, unaversión pública.
Con relación al primero, un principio el depublicidad o el de privacidad prevalezca sobre elotro, pues siempre es un juicio subjetivo, es unainstancia colegiada la del Instituto, y en muchasocasiones, cuando están en conflicto estos dosprincipios, publicidad y privacidad, hay votosdiferenciados.
Debo decir que en ninguna resolución elInstituto ha ordenado que se den datosrelacionados con la intimidad de cualquierpersona. Pero sí, sin duda, se ha ordenado que seden datos personales.
La segunda forma de resolución es cuando setrata de información que obra en registrospúblicos o fuentes de acceso público.
Debo decir que este artículo ha resultadoprovidencial, para dar acceso particularmente amuchos beneficiarios de autorizaciones,concesiones y permisos, porque nos ha referidoa registros públicos como el de la propiedad desociedades mercantiles, de comercio, con lo cualla información que es denegada por el sujetoobligado el Instituto ha mostrado que enrealidad ya obra en una fuente de accesopúblico, con lo cual éste ha permitido larevelación de la información.
Recientemente vivimos un caso que recibióinterés público relacionado con el otorgamientode permisos para casas de juego por parte de laSecretaría de Gobernación. El alcance de ese
138
acuerdo de apertura hubiera sido otro si nohubiéramos tenido este artículo.
Y finalmente, la tercera salida ante esteconflicto es la elaboración de versiones públicas,ordenar que se den los documentos queacreditan la actuación del Estado en su relaciónespecífica con el particular, pero se protegeinformación confidencial.
Y sobre eso es de mi agrado comentar conustedes que ya ha habido una tesis de el PoderJudicial que favorece precisamente, legitimaplenamente la elaboración de estas versionespúblicas al establecer que no se afecta el interésjurídico del titular de la información cuando laresolución obliga a eliminar, previo a su entrega,la información sobre datos personales.
No me detengo sobre los beneficios de lapublicidad. Es claro que cuando una Ley deAcceso a Información es realmente efectiva setransfiere poder a la sociedad, que puedecuestionar al Estado, le deben contestar, esoinhibe que se hagan trampas. También favorecela legitimidad, no solamente jurídica, la delapego a las reglas, sino favorece la legitimidadpolítica de quien en forma transparente muestraque su actuación es buena, y desde luegofavorece que haya confianza en los ciudadanos,porque obtienen mayores y mejores elementosde información, para la toma de sus decisionespersonales.
Qué lecciones puede arrojar esta experienciapara la relación entre dos particulares o entrelos particulares que no se conocen, obviamente,ese es el supuesto. Pero ya sea porque lo deseano porque tienen obligación, deben llegar a unaforma de interacción de acuerdo.
Pues hay dos condiciones, o se apegan a las reglasestablecidas que ya norman tratamientos, comoel que van a llevar a cabo o se conocen,intercambian información sobre el asuntoespecífico que los hace relacionarse.
Lo cierto es que en cualquier caso saber del otro,tener información, que alguien nos dé
referencias sobre aquel que nos va a vender unauto, un bien inmueble, cualquier otra cosa opretende una sociedad, de cualquier tipo, ayuda,genera confianza.
Es claro que el nivel de información que se va aintercambiar dependerá claramente del objetode la relación que pretendemos tener con esapersona.
Propongo que a menor confianza hay mayornecesidad de información y a menorinformación con relación a mi interlocutor, a mifuturo asociado contratante, yo requiero pagarmayores costos para concretar la relación.
Y aquí, haciendo la analogía con lo queacabamos de ver, hay tres soluciones.
Por un lado la de asumir los costos de transaccióny pues esto ya se ha analizado por expertos en lamateria de la confianza en el sentido de lo quecuesta cuando no se tiene esa confianzamínima, establecer contratos que seanaceptables para los desconfiados, por una parte.
La segunda es compartir sólo la informaciónnecesaria que me ayuda a que mi interlocutorme tenga la suficiente confianza como paraformalizar el contrato. Y esto, me he permitidoen un exceso llamarle la versión pública personal,yo sé qué información le puedo dar sin que esto,y sólo la necesaria. Y finalmente obtener lainformación que ya es pública.
Aquí, terminó proponiendo que el intercambiode información favorece la responsabilidad enla decisión, es decir, nos responsabiliza denuestras decisiones porque sabemos mejor a quéatenernos, facilita el contrato que será másrealistas, más apegado a la verdad de cada cual ypor lo tanto tendrá mayores posibilidades decumplimiento, se incrementa la legitimidad nosólo por apego a las reglas del contrato, si no porla fama de quien cumple o no cumple loscontratos, viene ahí la cuestión del prestigio queme parece tiene un enorme impacto en el ordensocial.
139
La sociedad se autocontrola por la importanciaque cada quien otorga a su papel social, meparece que se favorece la certeza finalmente enlos intercambios sociales y la confianza, lo cualgenera bienestar.
¿Qué tiene que ver esto con una Ley deProtección de Datos Personales?
Me parece que debe reducir al máximo loscostos para obtener la información que ya esoficialmente pública de las personas. Me pareceque debe plantear claramente las reglas paraestablecer los mecanismos de las versionespúblicas personales, es decir aquellainformación que el individuo está dispuesto acompartir para fines sociales específicos y, porsupuesto y en primer lugar aquí el orden nosignifica, no tiene pues una implicación en laimportancia, de proteger la intimidad.
La última lámina sugiere que a partir de estasconsideraciones parece inevitable distinguirentre grupos de datos personales: los de laintimidad, los que plantean generalmente lospisos o lo mínimos de nuestras relaciones socialespara casos específicos y los que ya son públicospor ley.
Para cada tipo de dato personal debe definirseun principio y procedimiento de intercambiopara los datos sensibles, el consentimientoexpreso, de otra forma no podría intercambiarsepara los no sensibles, aquellos que nos permitenesta versión pública personal, el consentimientotácito o la oposición expresa y, finalmente lograrmayor accesibilidad para los datos que ya sonpúblicos. Gracias por su atención.
ModeradoraModeradoraModeradoraModeradoraModeradora: Isabel Davara Fernández deMarcos. Consultora especialista en Protecciónde datos personales.
Es verdad, decías: la publicidad merma a laprivacidad.
Son dos bienes jurídicos en conflicto, con lo cualcomo en cualquier Estado de derecho a vecesentra en este conflicto y me arriesgaré a dada
mi nacionalidad a no ensañarles a ustedes lafamosa frase de: “El respeto al derecho ajeno esla paz”.
Cuando la privacidad de la publicidad, suchamba, que es la difícil, es dirimir las fronterasde cual prevalece; pero no es un límite. Laprivacidad, los derechos de protección de datosno es un límite a la transparencia, no es un límiteal acceso de información pública, no es un límiteal mercado. Sí entran en conflicto, entonces,dirimen que son los que están para eso.
Carlos Alonso Martínez es licenciado en Derechopor la Universidad Autónoma de Madrid en 1985,es abogado en ejercicio, ha desarrollado sucarrera profesional en Banco Pastor, GrupoFinanciero Banesto y Grupo Equifax, dondeactualmente presta sus servicios como Directorde Asesoría Jurídica y Secretario del Consejo deAsociación Nacional de Entidades deFinanciación ASNEF-EQUIFAX.
Realiza colaboraciones habituales con laUniversidad Francisco de Vitoria, en el masterde hecho bancario, con ICA en el master dehecho y tecnologías de información, así comocon el master del Instituto de Informática yDerecho, adscrito a la Universidad Complutensede Madrid.
Ha sido participante en el III EncuentroIberoamericano de Protección de DatosPersonales, en Cartagena de Indias, Colombia.
Ha escrito varios libros y diversos artículos, entresus libros destacan La Guía Práctica deProtección de Datos Personales para elMarketing Directo, La Protección de Datos deCarácter Personal, El Consentimiento deEntidades Financieras y El ConsentimientoInformado en Protección de Datos.
PonentePonentePonentePonentePonente: Carlos Alonso Martínez.
Yo en principio tenía idea de contar a ustedes yempezar un poco mi charla, que va a ser muycoloquial desde luego, contándoles lo que eranlos Burós de Crédito, pero después de lo que ha
140
dicho Rafael del Villar, creo que muy poco más sepuede decir de los Burós de Crédito.
Yo, no porque esté aquí en la mesa,sinceramente estoy muchas veces enconferencias sobre temas de solvencia, temasde crédito y para mí es una de las mejoresexposiciones de cómo funcionan estos ficheros,los beneficios que tienen para el mercado, cómose usan y cómo a su vez también revierten esosbeneficios a los consumidores en la medida quepueden mejorar sus tipos de interés.
Para mí, desde luego, no sé para ustedes, les digoque ha sido sumamente interesante, yadifícilmente voy a poder contar lo que es un Buróde Crédito después de esa exposición.
Un poco la charla tanto de ayer, como de hoy,estaba escuchando las dificultades cómomuchos países entorno a esta conferencia en laque estamos participando, parece que tienendificultad o miedo a poner leyes de protecciónde datos, dificultades, presiones de los sectoresprivados para ver cómo se va a poder cumplir, siesto puede en alguna medida dificultar laeconomía, es decir, cómo van a funcionar estasnormas.
Y también se dio ayer un tema bastanteinteresante a mi juicio, que es un poco ladiscusión entre si es mejor la regulación o esmejor la autorregulación.
Yo una vez que no puedo contar ya demasiadosobre qué son los burós o al menos no deboporque también debo someterme al tiempo quemarca la organización, bien entrar un poco acomentar la experiencia en España de cómo lascompañías de solvencia, cómo los Burós deCrédito, es decir, qué ventajas, quéinconvenientes hemos tenido sobre la ley y sirealmente esto para el negocio, no para elnegocio o es algo que debe estar regulado.
En España la regulación que tenemos parte dela ley del año 92, denominada Ley Orgánica deRegulación del Tratamiento de Datos, LORTAD, yactualmente lo tenemos regulado en el artículo
29, de la Ley Orgánica de Protección de Datos deCarácter Personal, LOPD, una regulaciónbastante similar, aunque con algunos matices.Y la del año 92 vamos viviendo y conviviendo conesta legislación.
En España, el dato financiero, el dato de solvenciano se considera un dato sensible, por decirlo dealguna forma, no se considera un datoespecialmente protegido, sino está asimilado ala afiliación sindical, a las tendencias políticas,al resto de datos especialmente protegidos, Peroes cierto que aunque no tiene ese carácterespecífico sí se reconoce que para el ciudadanoevidentemente es un dato que tiene unaespecial sensibilidad el tratamiento.
Y en esta medida nuestra ley reconoce, por tresvía; repito, no es dato especialmente protegido,pero sí le da una cierta protección a este datofinanciero o al uso del dato financiero.
Y básicamente y lo cuento a un nivel como suelohacer siempre bastante práctico, lo hace por lavía de las sanciones, que normalmente es comoentendemos la empresa privada cómo tenemosque cumplir las leyes, también ayer en algunasconferencias decía las dificultades en algunospaíses y la falta de mentalidad de cumplimientode la norma que tenemos, pues, en España encierta medida también nos pasa lo mismo.
Es cierto que legislaciones como medioambiente, legislaciones como protección dedatos difícilmente tuvieran el grado decumplimiento que tienen actualmente, si nohubieran tenido atrás el aparato sancionadorque ha motivado que las mismas empresas, encierta medida, hagan esfuerzos para poderlocumplir.
En concreto hace tres diferencias en el datofinanciero, en el deber de información; mientrasque cuando se incumple el deber de información,en cualquier tipo de dato personal es unasanción de carácter leve, 600 euros a 60 mileuros.
141
Sin embargo, cuando el deber de información seincumple en una empresa de solvencia, en undato financiero, es una situación de caráctergrave y, por lo tanto, entre 60 mil y 300 mil euros.Por lo cual la cuantía, evidentemente, sí hay unaprotección. Por eso quiero incidir en ello, no esespecialmente protegido, pero no estádesprotegido en absoluto.
Igual pasa cuando se incumple el deber desecreto, ese deber que tenemos todos losempleados que trabajamos en una compañía,los que manejamos esta información respecto alos datos, mientras en el contexto general de laley es una infracción de carácter leve,nuevamente, cuando se trata de datosfinancieros o datos de insolvencia, es unainfracción de carácter penal.
Y, a su vez también, en la regulación de medidasde seguridad, en el Reglamento de Medidas deSeguridad, los datos del sector financiero seencuentran en un nivel medio de seguridad; esdecir, no en el nivel básico, sino que se les da unplus adicional de garantías de protección encuanto a los aspectos de la seguridad de datos.
Ni que decir, tiene, que evidentemente sí lo digo,aunque no sea el objeto de esta charla, cuandoson retos especialmente protegidos, lassanciones en todos los puntos que hemostocado son de carácter muy grave y, por lo tanto,pueden llegar hasta 600 mil euros.
¿Cuál es esta regulación que ha habido enEspaña para los ficheros de solvencia?
Básicamente, como he dicho antes, la tenemosen la LOPD, en el artículo 29, con tres aspectos adestacar, por decirlo de alguna forma.
Una es: Es una de las grandes excepciones a laley, porque el acreedor, cuando son datos decumplimiento o incumplimiento deobligaciones dinerarias, puede dar estainformación sin el consentimiento delinteresado. Nuestra ley, lógicamente, está regidapor el principio de consentimiento y, sinembargo, aquí es una excepción.
La segunda características es que en el derechode acceso hay, cuando un ciudadano ejerce suderecho de acceso a este tipo de ficheros,tenemos la obligación no solamente de dar lainformación de qué datos existen, sino que hayque dar las evaluaciones y las apreciaciones y,en suma, hay que dar todas las entidades quehan consultado la información. Estos datosreferidos a los seis últimos meses.
Esto evidentemente es una garantía para elciudadano, porque no solamente le permiteconocer cuáles son sus datos, si son iguales a losdel fichero, sino que además tiene el derecho deconocer cuáles son las entidades que lo hanconsultado, de forma que ese control en el queinsiste la sentencia del Tribunal ConstitucionalEspañol 292, que comentábamos también ayer,ese control de los datos, en cierta medida estadisponibilidad sobre su histórico de consultas, esuna garantía para el mismo.
Por otra parte, también regula la ley el plazo depermanencia, debido a que en un país ya seregula cuatro años, hay algunos países enEuropa con 10. La ley española optó desde elprincipio, desde el año 92, desde la primera ley,con un plazo de permanencia de seis años, quees un plazo que en principio se considerarazonable y en España también acorde con losplazos que otras instituciones, como el Tribunalde Defensa de la Competencia habían manejadocomo plazos de permanencia para los ficherosde morosidad.
En concreto, el año 92, mientras Defensa de laCompetencia habla de un plazo de cinco años,la nueva Ley de Protección de Datos en aquelmomento reguló este plazo de seis años, queestá considerado más o menos razonable por elsector como un plazo de permanencia para estosdatos en los ficheros.
Adicionalmente a la ley, la Agencia de Protecciónde Datos en el año 95 dictó una instrucción enla que dio unas pautas de cómo debía de ser lainformación en estos ficheros.
142
Y evidentemente lo que vio allí fue un error másde calidad; normas de calidad en el sentido deque puso que debía tratarse de una deuda quefuera cierta, vencida, exigible, que hubieraresultado impagada y sobre la que la hubierahabido un requerimiento previo de pago.
Sí lo que hizo la Agencia Española de Protecciónde Datos en aquella instrucción, por una parte,fue realmente insistir en que en este tipo deficheros lo que tenía que haber era deudas ydeudas conforme a los criterios que nos marcael Código Civil.
Y, por otra parte, sí parece que una necesidad deque previamente el interesado, quien va entrara este fichero, lo conociera o fuera requerido depago, sino que el banco le metiera, sin quepreviamente hubiera habido ni siquiera ningúntipo de reclamación.
Esta notificación es adicional a la que tiene quehacer el responsable del fichero, en los 30 díassiguientes a la inclusión. Por lo tanto, hay dosobligaciones: La de la entidad financiera oentidad que participa en el fichero requeridapara entrar y obligación del responsable delfichero, de los 30 días siguientes de notificar lainclusión.
¿Qué problemas?, ¿qué ventajas ha habido deconvivir con esta ley para los ficheros desolvencia?
Problemas gordos o problema graves ha habidodos. Uno de ellos fue que el cambio de la LORTADa la LOPD, en que se cambió una palabra dentrodel artículo 29 y no solamente del 29, sinotambién del artículo Cuatro, donde al hablar delprincipio de calidad se cambió “real” por “actual”,llevó a una interpretación de que no seconsideraba los saldos cero, es decir, cuando unapersona debía, por ya había pagado. El saldo cerose consideraba que ya no podía estar en estosficheros.
Esto posteriormente nosotros lo recogimos antela Audiencia Nacional, que es el tribunalcompetente en España, y resolvió y confirmó que
efectivamente ese cambio de esa palabraimplicaba que el saldo cero ya no podríapermanecer en este tipo de ficheros.
Nosotros, esto siempre ha sido una desventajade la aplicación de la ley, tengo que decirlo comotal, porque creemos que realmente el saldo ceroes beneficioso. Es beneficioso en el sentido, porsupuesto sujeto a un plazo de permanencia,porque conlleva un poco, y esto daargumentación para mí, de Rafael del Villar, deque si no hay esta información este tipo deficheros corre el grave peligro de acabarconvirtiéndose en listas negras.
Sin embargo, cuando hay información negativa,está la información de la persona que incumplió,pero ya ha cumplido, ya va mejorando, ya no estáen la lista negra.
Si además, añadimos la información positiva, ola información de las personas que cumplenadecuadamente sus compromisos de pago. Elque evalúa el crédito tiene un mayor criterio yuna mayor posibilidad de no condenar a muertea la persona por el hecho de estar en un ficherode ese tipo.
En suma, puede ser que una persona tenga unaincidencia con una compañía detelecomunicaciones en la que debe su acceso aInternet, debe decir dos cosas, pero después deesa persona se puede ver que tuvo una deudade algo que pagó, y se puede ver que ha tenidoocho operaciones que ha cumplidocorrectamente con sus obligaciones de pago.
En su conjunto esa persona va a tener acceso alcrédito. Si solamente está con una informaciónmeramente negativa puede tener dificultades.
Y esto es un poco la argumentación y laexplicación también que yo quería, y en la que enmi opinión, desde luego, Rafael del Villar, cuandoha expuesto toda la información positiva ha sidoabsolutamente contundente y rotundo.
Esto en cuanto a los problemas, por lo tanto elsaldo cero ha sido un problema y tenemos que
143
reconocerlo, y tenemos un problema con estanotificación de inclusión, porque algunosinteresados niegan que la hayan recibido, con locual esa negativa implica lógicamenteinvestigación por parte de la agencia, aperturade procedimientos.
Ahora mismo en eso se está trabando, y lasolución parece que puede ir, de hecho ya estáimplantada, hemos empezado a implantarla,buscando que esa notificación no la hagamosnosotros, sino que la haga un tercero que seaauditable y que sea un medio independiente.De forma que podamos actuar en el marco deuna prestación de servicios, y que un tercerogarantice que todas las notificaciones, que enla práctica así se hace, cuando son puestas eidentificadas al interesado.
Quería antes de terminar, simplemente haceruna mención a la posibilidad, una vez expuestolo que es la regulación y los problemas, laposibilidad de autorregulación queargumentábamos. Para mí, y hablo solamentede los supuestos de solvencia, para mí no es unacosa opuesta a la otra, yo creo que debe de existiruna normativa.
Pero yo creo que es muy difícil que una compañíade solvencia pueda convivir a su vez si no tienenuna autorregulación, porque muchas veces lasnecesidades que tienes de acuerdos deregulación, de proteger; es decir, la norma hastaahí, pero sensibilizar a los empleados y que todoel mundo en una compañía, en compañíasmultinacionales grandes que cumplan ese tipode normativa no es fácil, con lo cual, muchasveces hay que poner medidas adicionales a lasque pone la regulación estatal para sensibilizara la organización, incluso muchas vecessensibilizar a los clientes y que todo el mundollegue a un nivel de cumplimiento adecuado.
Les pongo, por ejemplo, actualmente el RealDecreto de Medidas de Seguridad en España noprevé una regulación de política de mesas limpias.
Puede parecer un tema absurdo e inocuo. Sepuede decir que en el marco de una compañía
de solvencia, en un banco, por supuesto también,en el sector financiero, una política de mesaslimpias es absolutamente esencial, por el hechode que nunca puede quedar un papel encimade la mesa.
Es decir, todo lo que lleva de orden, que no sepuede destruir, un papel con información nopuede ni con la papelera, que tiene que serdestruido. Todo ese tipo de políticas se llevan enla información y muchas veces nosotros quevivimos los problemas tenemos que también darun paso por delante de la ley, ir aplicando esaspolíticas. Para mí esto en materia de solvenciaes lo que es absolutamente favorable laautorregulación.
Para concluir la charla, yo les puedo decir miopinión, llevo trabajando desde el año 95,prácticamente en el sistema de solvenciadefendiendo a burós, representando enprocedimientos y viendo un poco por laaplicación que tenemos con la Agencia Españolade Protección de Datos y la Ley Española, yo creoque la experiencia es sumamente positiva.
Yo les diría que, egoístamente, un Buró de Créditodebe querer tener una Ley de Protección deDatos, porque una Ley de Protección de Datosmarca perfectamente los límites de qué puedehacer, qué no se puede hacer.
Cuando no hay una regulación es muy difícilpoder atender una reclamación de unconsumidor, es muy difícil poder contestar.Evidentemente el argumento del consumidores el de siempre, es el lógico y es el humano, elno quiero estar, quiero salir de ahí, y argumentosgenéricos y es normal.
Una ley de protección de datos marca, primero,lo que pueda hacer una empresa de solvencia,los derechos del consumidor, cómo los puedeejercer y por lo tanto la valoración essumamente positiva. Solamente esto tiene queser completado con algo que es esencial, quetiene que haber una autoridad de control pararegular todo esto.
144
¿Por qué? Porque evidentemente, y ahí sí tengoque poner mi defensa al sector privado. Es decir,yo no puedo competir en el mercado si tengootra compañía de solvencia al lado pirateandoinformación, dando todo tipo de datos yhaciendo lo que quieran.
Yo puedo convivir con la ley española en lamedida que tengo un órgano regulador que séque va a regular a todo el mundo, que sé que vaa incidir a todo el mundo, que nos inspecciona. Yes bueno que nos inspeccione.
Es cierto que a veces salen errores que hay que ircorrigiendo paulatinamente, pero que esesencial para poder avanzar, para poder competiren el mercado, ser competitivos, una ley que seaplique a todo el mundo igual, en igualdad decondiciones y que en el fondo todas lascompañías si en un momento dado ya notenemos saldo cero, no lo tenemos ninguno ytodos podemos seguir compitiendo en elmercado.
No tenemos tanta información como antes, perosi la ley española considera que es comodebemos funcionar en España, pues en otrospaíses no es así. En Estados Unidos funciona conotra forma, en Inglaterra funciona con otraforma pero no queda más remedio que adaptarsea esa ley y en esa medida creo que la regulacióny el hecho de una regulación es absolutamentepositivo.
ModeradoraModeradoraModeradoraModeradoraModeradora: Isabel Davara Fernández deMarcos. Consultora especialista en Protecciónde datos personales.
No me dejaras mentir que en épocas tenías a uninspector en plantilla, casi le ponías silla alinspector en el Buró de Crédito, porque aprincipio las Sociedades de InformaciónCrediticia, como las llaman, son las que másrequieren adaptación o porque tratan quizásestos datos que tú llamabas, que se sentíansensibles por público. Y por supuesto coincidocontigo en que la legislación te da los límites,las barreras.
Y otros puntos que haz tratado, que en miopinión es esencial, es tanto la autoridad decontrol como la de las sanciones, porque en otraslegislaciones de quizá no tanto nuestro entornosocio cultural, un ejemplo, a de Canadá no existetratamiento de procedimiento sancionador, peroes que en Canadá son muy civilizados.
Países de nuestro entorno necesitamos mássanciones, decía el doctor Travieso que sólocumplimos con la ley de gravedad. Digo, yo creoque cumplimos con la ley de las sanciones, somosquizás más divertidos, menos civilizados, másdivertidos pero necesitamos esas sanciones yesos límites que impongan las autoridades decontrol y además las sanciones deben serdisuasorias porque sino, no olvidemos que a loañadido tratar la información personal para lasempresas supera el costo de la sanción y dice,bueno, pues voy a tratarlo mal, bien porque totalpuedo pagarlo. Hay que llegar a ese equilibrio.
Pasamos ahora a la participación de Hugh G.Stevenson que es director asociado paraProtección Internacional del Consumidor de laComisión Federal de Comercio de EstadosUnidos; ha formado parte de las delegacionesde Estados Unidos ante diversos organismosinternacionales, fungiendo como jefe de ladelegación de Estados Unidos ante el comitésobre políticas de consumo de la OCDE;asimismo se ha desempeñado como moderadoren varios grupos de trabajo de la FTC y de la OCDE,con énfasis en asuntos internacionales,incluyendo cuestiones de jurisdicción, resoluciónalternativa de controversias y Spam; harealizado presentaciones ante comitéslegislativos, así como ante diversos organismosinternacionales en los cinco continentes;encabezó los trabajos de la FTC en relación conpropuestas legislativas encaminada a protegeral consumidor a nivel internacional; así mismoencabezó las negociaciones para celebraracuerdos de cooperación con agencias dediversos países, tales como Australia, Canadá,Irlanda, España, Reino Unido y México.
Comparte también entre otros con el doctor JoséLuis Piñar Mañas de la Agencia Española de
145
Protección de Datos la cátedra de cursos sobreleyes de privacidad en Estados Unidos y Europaen la Facturad de Derecho de la Universidad deGeorge Town.
Ponente:Ponente:Ponente:Ponente:Ponente: Hugh G. Stevenson.
Agradezco la oportunidad de darles misperspectivas del modelo americano por el sectorfinanciero, sectores financieros y comerciales.
Hablando como buen funcionario tengo quedecir que mis perspectivas no sonnecesariamente la de mi agencia o suscomisionados.
Primero diré unas palabras sobre el sistemaamericano en contra de la privacidad más por logeneral. En el sistema americano, debo decir quese ocupa y se preocupa mucho de la privacidaden particular en cuanto al sector al público ytambién en cuanto al sector privado.
En cuanto al sector público, el gobierno, tenemosvarios derechos, incluso en nuestra Constitución,como es la Cuarta Enmienda contra lasbúsquedas irracionales; es importantecomprender varias leyes desde los años 70enfocadas en el tratamiento y acceso por elgobierno en cuanto a las carpetasgubernamentales sobre la ley de privacidad, encuanto pedimento acceso a los datos de lasinstituciones financieras y en cuanto a los casosasociadas con el teléfono y la red, ElectronicCommunication Privacy Act, y también tenemosun acto en cuanto al acceso de la informaciónpública.
En cuanto al sector privado regulamos ciertossectores de la industria y ciertos tipos de datos,los más sensibles, donde hay la posibilidad, la másgrande de daño a los consumidores, hay variasleyes y varias agencias encargadas con elcumplimiento de estas leyes, ejemplos son losdatos financieros, nuestras agencias bancariasy el marketing directo y los datos asociados conla salud.
La FTC, mi agencia, es una de las agenciasencargadas de la protección de privacidad, esuna agencia federal a nivel nacional, es unaagencia independiente con cinco comisionados,nunca más que tres de un partido político y esuna agencia gubernamental.
Nos ocupamos de la competencia y la protecciónde consumidores y para nosotros en cuanto a laprotección de consumidores somos mássemejantes con PROFECO. Y una parte deproteger a los consumidores es proteger laprivacidad, y hablamos de la privacidad deconsumidores más que protección de datoscomo vocabulario.
Estamos encargados con varios tipos deresponsabilidad que juntos protegen losintereses de los consumidores, se puede decircomo una cultura del bienestar de losconsumidores: primero hacemos reglas;segundo, discutimos la política relevante aencuentros como éste, encuentros públicossobre muchos temas asociados con la privacidad.Tercero, tenemos un programa muy sólido queexige cumplimiento de la ley, y cuarto,alentamos la autorregulación de la industria, ypor fin hacemos, que es muy importante, comoha dicho el propio Carlos Arce, hacemoseducación de consumidores, de empresas y deindustria. Para nosotros en cuanto a laprotección de consumidores lo importante es elbienestar, incluso, el bienestar económico de losconsumidores.
El bienestar de los consumidores es nuestropunto o la piedra de toque, y con este puntocomprendemos que la subrogación de datostiene un valor para los consumidores.
Las empresas pueden ofrecer una elección másgrande de productos, de servicios, de métodosde pagos y la información es muy importantepara el mercado de crédito, muy importanteporque baja las barreras contra la competencia,y más competencia es mejor.
Al mismo tiempo, claro que hay situaciones conproblema de privacidad, de seguridad, de mal uso
146
de los datos, con posibilidad de daño. Hay unbalance como hemos visto con privacidad, haymuchos balances, como nuestro moderador hadicho: ¿dónde está el equilibrio?, hay muchaspreguntas así en cuanto a la privacidad.
Como se ha dicho, por ejemplo, con la libertad deexpresión, con la lucha contra el terrorismo y aquíen contra del mercado. Y se le ve también en losdocumentos con líneas directrices de la OCDE,el marco legal de APEC.
Tenemos en los Estados Unidos varias leyes encuanto a los datos financieros, mantenemos elFair Credit Reporting Act, FCRA, la Ley Federal deInforme Justo de Crédito de 1970, con variasenmiendas. Es una ley bastante sofisticada y esel balance. Se aplica a las agencias privadas querecolectan información con respecto a lastransacciones de crédito de los consumidores. Yrecolectan información laborable tanto comoinformación negativa.
Permite a las agencias de crédito compartir estainformación, pero solamente en ciertascircunstancias, por ejemplo, si el consumidor dapermisos, si es necesaria para una transacciónde crédito.
Tenemos también una ley que establece normaspreventivas para el manejo eficaz de los bancosde datos personales, y prohíbe a las institucionesfinancieras revelar ciertos datos personales desus clientes a entidades sin su permiso.
Tenemos recientemente reglas ofreciendomedidas de salvaguarda. Las reglas se aplican alas instituciones financieras, a los bancos, porsupuesto. Pero también a otras entidades quetienen bases de datos financieras deconsumidores. Por ejemplo, empresas queofrecen tarjetas de crédito o hipotecas ytambién agencias de informes de crédito. Esimportante destacar más generalmente la leycontra las prácticas engañosas y desleales.Hemos percibido casos cuando hay una brechade una promesa relevante a la política deprivacidad. Hemos perseguido casos contraMicrosoft.
Nuestra agencia persiguió casos contra unapráctica considerada como desleal, cuando laempresa no ha tomado medidas razonables paraproteger los datos de sus clientes con esta ley laFederal Trade Commission Act., FTC, ComisiónFederal de Comercio.
También apoyamos la idea de una ley recogiendomedidas de salvaguarda para todas las empresasen cuanto a ciertos datos, requisitos denotificación, cuando hay una brecha, cursandoun riesgo significativo de robo de identidad.
Tenemos también varias actividades en cuantoal robo de identidad.
En cuanto al marketing directo, establecimos elNational Do Not Call Registry, No Llame; essemejante a algo que el doctor Arce comentóesta mañana.
Con ello los consumidores tienen control sobrelas llamadas de telemercadeo que desean recibiren casa, y hubo un caso, debo de subrayarlo,porque se debe considerar en los Estados Unidos,por lo menos, también la libertad de expresión;hay un balance, hay una atención.
Pero nuestra regla ha ganado y hay ahora másde 100 millones de números registrados en estalista. No estoy perdido en la traducción en estemomento; más de 100 millones de númerosreconocidos, registrados en el padrón. Esinteresante cómo hay conciencia de la genteen los Estados Unidos de por lo menos estederecho de privacidad; en comparación hay,como se ha discutido, un informe por la ComisiónEuropea sobre la conciencia de la gente. EnEuropa hay un tercio que conoce, que sabe quehay una Agencia de Protección de Datos y untercio que saben que se puede tener acceso alos datos.
Y para nosotros este ejemplo es muy importante,porque es un éxito, por supuesto, pero tambiénporque es un ejemplo de privacidad práctico,enfocado en el bienestar de los consumidores.
147
Y por fin hay el desafío contra el Spam. Hemosperseguido, hay muchos abogados en la FTC quehemos identificado más que 70 casos de Spamen los tribunales federales de los Estados Unidos,por lo menos, y también había varias casosasociadas con vínculos internacionales encuanto a Spam. Y en esta materia hemosperseguido las prácticas, por lo general,engañosas. Tenemos también algo que se llamathe Can-Spam Act.
Pero por lo general nuestra experiencia es queel desafío no es encontrar el delito o el malo, y elSpam es también un ejemplo de la necesidad decooperación internacional. Como Jesús Rubí, dela Agencia Española ha dicho.
Y por eso tenemos que comprender otrossistemas. Hemos trabajado en la FTC con muchasagencias, por ejemplo, la Agencia Española deProtección de Datos, la PROFECO y con nuestroscolegas en CONDUSEF en México. Y creo que esoes muy importante no sólo para la cooperacióndel cumplimiento de la ley, pero también paracomprender mejor cómo funcionan los otrossistemas en el mundo.
ModeradoraModeradoraModeradoraModeradoraModeradora: Isabel Davara Fernández deMarcos. Consultora especialista en Protecciónde datos personales.
Cuando, cada vez que se invita a alguien aexplicar la posición estadounidense que seintenta confrontar con la posición europea y elresto de países del mundo añadidos a la posicióneuropea, tengo que decirle, no sin sentirme unpoco mal al agradecerle todas sus menciones amis intervenciones, que yo no creo que sean dosregímenes equiparables, porque coincido con loque se expresaba ayer, no se puede comparar laautorregulación con la regulación.
Entiendo que la tendencia europea deregulación no puede ser equiparable a lastendencias autoregulatorias y regulatoriassectoriales que ustedes han mencionado.
No obstante creo recordar un informe de supropia organización en el 2000 en el que había
un voto de tres comisionado a favor y dos encontra a favor de una regulación. Pero me voy apermitir augurar que los acontecimientos del2001 desgraciadamente han supuesto un frenoimportante a la lucha a favor de la privacidad enel entorno norteamericano. Esas cosas tambiénhay que tomarlas en consideración, aparte delos dos regímenes.
Rafael Adrián Avante Juárez es abogado por laEscuela Libre de Derecho con mención especialcon la Tesis Profesional: Aspectos jurídicos delgobierno en la Ciudad de México; diplomado enel ITAM en Economía Aplicada, actualmentecursa su maestría en Derecho en la UNAM ymiembro del Ilustre y Nacional Colegio deAbogados desde 1998: Profesionalmente se hadesempeñado en la Honorable Cámara deDiputados del Honorable Congreso de la Uniónen LV Legislatura; en la Comisión del DistritoFederal como secretario técnico; en el PartidoRevolucionario Institucional, en el ComitéDirectivo en el Distrito Federal, como asesorjurídico del Presidente del citado Comité; en laProcuraduría Federal del Consumidor comodirector general Jurídico Consultivo durante seisaños; en la Secretaría de Comunicaciones yTransportes como secretario particular adjuntodel secretario; en la Procuraduría Federal delConsumidor como subprocurador de Servicios alConsumidor; actualmente se desempeña comodirector general Jurídico Consultivo en laComisión Nacional para la Protección y Defensade los Usuarios de Servicios Financieros(CONDUSEF).
Ponente:Ponente:Ponente:Ponente:Ponente: Rafael Avante.
De no ser por la cantidad de asuntos que hetenido que atender en CONDUSEF, Rafael, JuanPablo y Carlos casi me convencen del enormeprivilegio que representa para uno estar dadode alta en el Buró de Crédito, pero ahoritaentramos a revisar el tema a ver si realmente estan bondadoso.
Empezaré rapidísimamente compartiendo conustedes una breve teorización del gran tema dela protección de los datos personales.
148
Me parece esencial, con estas nuevastendencias de la argumentación jurídica dondese habla esencialmente de valores y principiosidentificar un poquito qué traemos en juego yqué estamos pretendiendo cuidar en este grantema.
Encuentro dos principios:
Al primero le llamaría de la secrecía y al segundo,le consideraría de la publicidad relativa de lainformación personal.
Por lo que se refiere al tema de la secrecía, losvalores que están in situ son, por un lado, lalibertad, decidir a quién y cómo voy a entregarmis datos. Y el valor por supuesto de la intimidad.
Por lo que se refiere a la publicidad relativa meparece que están en juego los valores de latransparencia y del acceso a la información, y noestoy hablando de la información pública.
Estos valores enfrentan sus desvalores, susperversiones en términos aristotélicos y es aquídonde debemos empezar a poner el énfasis paracuidar cómo debemos normar y proteger esto.
La intimidad y la secrecía no puedenconsiderarse como una herramienta o como unobstáculo para que pueda yo valerme de esosprincipios para caer en la clandestinidad, en lamala fe, en el dolo o en la ilicitud. Cuando lo quepretendo es ocultar información valiosa para untercero que me va a generar una ventajainequitativa, hay un riesgo.
De la misma forma la publicidad relativa de lainformación, y conste que digo relativa porqueno a todos y en todo caso, por eso es relativa,estamos hablando del sujeto privado, delindividuo, también presenta su perversión.
Yo no puedo, valiéndome de ese derecho aobtener información tuya, caer en figuras deespionaje, prácticas comerciales agresivas y actosde molestia no autorizados o ilícitos. Ese es elotro lado, la otra perversión que se puede dar.
Los abusos de estas dos figuras son los que nosobligan a ser muy inteligentes para colocar unpunto intermedio, y cuidar también los efectosque tendrá la regulación que le demos a estosdos elementos.
Paso entonces a compartir con ustedes algunaspreocupaciones muy importantes que enCONDUSEF tenemos sobre el tema de los datospersonales. Y el primero, claro, va referido al Buróde Crédito.
Me parece fundamental que el sistemafinanciero tenga un sano desarrollo, y me parececorrecta la apreciación en el sentido de que unaadecuada calificación crediticia, sin duda,impacta en el costo del crédito y es benéfica. Perodebemos tener cuidado, porque suceden varioselementos paralelos que no son tan benignos.
El primero de ellos tiene que ver con, no se tratade que me pongas la letra escarlata y elsambenito, que de aquí en adelante me vuelvopersonaje macabro de las finanzas porque mepusiste un tache en la lista.
Me parece que debemos cuidar esto, porqueademás no olvidemos que esto no se restringeal tema del otorgamiento del crédito,lamentablemente.
Nosotros hemos identificado en CONSUSEF yacasos muy claros en los que se le está pidiendo aun individuo que solicita empleo, que exhiba sucertificado, su reporte de crédito especial. Y porsupuesto el usuario a mí me dice: Oiga,licenciado, necesito trabajo para pagar lo quedebo, pero no me dan el trabajo porque debo.Nada más dígame entonces qué voy a hacer,primero.
Segundo, quién decidió que voy a llevar un tache.Porque a mí nadie me dio el criterio decalificación. Resulta que hay taches, mediaspalomitas, palomitas, menciones especiales omenciones desagradables. Pero esos números,esos números son altamente revisables y meparece que tenemos que ser muy cuidadosos enla posibilidad de que esa calificación, porque es
149
como una boleta de calificaciones no sean tanradical en muchos casos.
Igual las reglas o la normatividad interna de lasinstituciones financieras a partir de las cualescalifican la cartera deben ser menos radicalesen el tratamiento que dan a estas calificaciones.
Por el otro lado, se habla mucho en este temadel derecho al olvido, que es fundamental, poreste sambenito del que hablábamos; al menosquítamelo algún día.
El tema está en que el derecho al olvido nosparece que toda vez que está tutelando alusuario debe versar sobre la informaciónnegativa, no sobre la positiva. Porque si a lo sieteaños vamos a borrar todo, entonces también elbuen historial crediticio se fue. Entonces, másque un derecho al olvido es una prescripción deun registro, y entonces habría que ponderar estetema.
Finalmente en el aspecto del buró me parecemuy interesante, muy atendible, y nosotrosaplaudimos mucho la iniciativa que el Buró deCrédito ha tomado para notificar a las personascuando alguien está solicitando su reporte decrédito especial, porque esto nos va a permitirde una manera muy estratégica, atacar elproblema que también nos interesa mucho, yque ahorita lo voy a mencionar, del robo deidentidad.
El robo de identidad está hoy perpetrándose demuy diferentes formas. Pero una de ellas esobteniendo la información crediticia de alguien,para saber cuál es el nivel de solvencia y parasaber dónde no tiene contratos de crédito, parapoder celebrarlos en su nombre.
Por eso esta iniciativa de Buró de Crédito laaplaudo enormemente.
¿Qué otra cuestión nos preocupa? Hablábamosde que una de las perversiones de este derechoa la intimidad o de la secrecía radica en ocultarinformación, que a veces puede resultar dolosao a veces puede resultar clandestina.
A veces, a lo mejor es simplemente un silencioconveniente. Nosotros estamos participandoactivamente en una iniciativa ante la ComisiónNacional de Seguros y Fianzas, porque queremoscrear una base de datos de registros de personasaseguradas, cosa que en España, entiendo seacaba de autorizar. El propósito fundamental esque existen muchos usuarios de contrato deseguro que cuando el asegurado, mejor dicho,beneficiarios de contrato de seguro que cuandoel asegurado fallece ni enterados están queexistía la póliza, mucho menos que había algúnbeneficio a su favor.
Y hoy no hay forma de accesar a esa información.Entonces, es un ejemplo de cómo a veces sínecesitamos accesar a cierta información,porque sí tiene un fin útil y benéfico. En ese caso,que se cumpla la voluntad del asegurado,porque en ocasiones y a algunos de ustedes leshabrá sucedido, reciben incluso con su estadode cuenta de la tarjeta de crédito o reciben conlos boletos de avión de un viaje determinado,que están protegidos con una póliza de segurosque los ampara por tales o cuales circunstancias,incluyendo el seguro de vida.
Nada más que no lo compartieron con nadie;nadie sabía que existía ese seguro y mañana nohay forma de accesar a esa información, para quesus beneficiarios puedan cobrarlo.
Un tema que me parece de la mayor relevancia.Estamos hablando de la libertad de decidircuándo y cómo se proporcionan mis datos, ymucho se ha hablado aquí de la importancia dela autorización expresa del titular, para que losdatos sean compartidos con terceros.
Bien. Si vamos a entrar a este nivel de tutela, meparece muy importante que evitemos elcondicionamiento de la prestación de unservicio al otorgamiento de ese consentimiento;es decir, este consentimiento expreso tiene queser absolutamente libre.
Si ya la legislación que protege a losconsumidores y a los usuarios en muchosaspectos regula que no se puede condicionar la
150
venta de productos; yo no te puedo condicionarla venta de un litro de leche, a cambio que deme compres un kilo de jamón.
Me parece también muy importante que yo nopueda condicionarte la prestación de un servicioa que me autorices expresamente a compartirtu información con terceros, más aún, cuandoesta autorización se incorpora dentro de uncontrato por adhesión, en el cual ya mucho hadicho la doctrina de lo cuestionable que puedeel consentimiento, respecto de las cláusulasaccidentales de un contrato de esta naturaleza.
Entonces, nos parece fundamental regular estaparte, para evitar que tanta tutela alconsentimiento expreso se vea afectada por unapráctica comercial.
Y en este mismo asunto nos preocupa desobremanera la existencia de prácticascomerciales agresivas frente al usuario.
Yo no sé cuántos de los que están aquí presenteshan recibido un sinnúmero de llamadastelefónicas de diferentes institucionesfinancieras, ofreciéndoles diferentes modelos,tipos y productos de tarjetas y de créditospersonalizados.
Bueno, yo he visto casos y a la mejor hay algunopor aquí, en el que reciben la tarjeta. Ya olvídensede la llamada, llega a su domicilio el plástico. Meparece una cuestión muy delicada.
Y si vamos a tutelar la protección de datospersonales, no cabe la mejor duda que si alguienrecibió una tarjeta, un plástico, es porque sevaloró su condición crediticia. Y entonces es lamejor prueba de que se obtuvieron ilegalmentesus datos personales.
En esos casos habría que exigirle a la instituciónfinanciera que nos demuestre el documentodonde los autorizamos o donde se nosproporcionamos. Si no lo tiene, si no hay unconsentimiento expreso para haber obtenidoesa información nuestra, bueno, pues allí hay untema muy interesante de responsabilidad.
Y finalmente otro de los aspectos que nosparecen muy delicados tiene que ver con lastransacciones electrónicas. Aquí hay un datopersonalísimo: La contraseña.
Este dato, definitivamente todos vamos acoincidir, es un dato que no puede ni debe jamásexigirse ni proporcionarse ni autorizarse que seproporcione a nadie, salvo al beneficiario.
Sí, nada más que nos estamos olvidando deregular adecuadamente, castigar severamentey proteger al usuario de las prácticas ilícitas quepretenden al obtener esta información.
Y muy claro está el caso en el que actualmentelos hackers o crakers se introducen en lacomputadora del usuario, se hacen pasar por lainstitución financiera y obtienen la información.
Igual el tema del “figing”, donde de manerafraudulenta, a través de artificios pretendenhacerle creer al usuario que son un banco y querequieren esos datos para que éste se losproporcione.
Al respecto quiero hacer un reconocimiento a laFTC, porque la página de Internet con lainformación que despliegan sobre seguridad entransacciones electrónicas, me parecevaliosísima y muy interesante.
En esencia y por la poca disponibilidad deltiempo, yo me quedaría allí. Baste con hacer unarecomendación a las instituciones financieras,en el sentido de que la competencia no se da enla comercialización agresiva, sino en la calidadel servicio.
Genera en su propia demanda, siendo eficientesen sus servicios y no los fuercen a contratar.
ModeradoraModeradoraModeradoraModeradoraModeradora: Isabel Davara Fernández deMarcos. Consultora especialista en Protecciónde datos personales.
Magnífica exposición y tiene un montón deusuarios aquí. Yo soy una de ésas a las que hanllamado repetidamente.
151
Levanté mi teléfono, me dijeron que había sidoagraciada con no sé qué, no seguí escuchando, yla casualidad, debo ser muy afortunada, que enmi otra línea de teléfono también había sidoagraciada con el mismo premio.
Es muy fácil ponerte del lado del usuario porquepor lo mismo, todos lo somos, pero es que enrealidad, Rafael, los usuarios no siempre somosinocentes; haz puesto el ejemplo de lasaseguradoras, decías que en España se hancreado estas bases de datos de aseguradoras, sí,pero puede ser una situación parecida a los Burósde Crédito. Una de las razones por las que se hancreado estos bancos de datos es porque existíauna limitación en la ley que decía, hasta queusted saque un seguro, hasta 60 mil euros, notiene que pasar un seguro médico, no tiene quepasar reconocimiento médico.
¿Qué pasaba? Llegaba un señor con unaenfermedad terminal y se hacía diferentesseguros médicos hasta 60 mil euros sinreconocimiento médico.
¿Qué creaba eso? Bolsas de fraude en elmercado. Como no se podía cruzar no se podíasaber quién tenía muchos seguros médicos quehubiera soltado la alarma y diría: este señor estáintentando defraudar. Y no olvidemos, lasinstituciones financieras y las aseguradoras nopierden dinero, lo que concebían, elevaban lascuotas, las pólizas y sufríamos todos los que síéramos inocentes.
Entonces, ponerse de lado siempre de losusuarios, no hay que llegar a extremos, digo, esmuy fácil porque todos lo somos, y a mí tambiénCarlos y Rafael casi me convencen de que quieroestar en el buró, porque de verdad sí quiero. Osea, si yo pago bien quiero estar en el buró porquees lo que están diciendo, quiero tener mi historialcrediticio de manera que me traten bien.En Estados Unidos y Carlos lo contaba, muchasveces le he oído decir, tienen estas listas, es difícilentrar al buró y hasta que no tienes un historialpositivo nadie te da una tarjeta de crédito. Y mecontaba siempre un episodio de los Simpson enla que al padre nunca le daban una tarjeta de
crédito porque nunca tenía un crédito, con locual no podía tener medio de pago.
Y me decía Carlos: ¿Qué es mejor sólo un positivo,que te obliguen a tener un historial positivo paraque te den crédito o que no te lo den si tienes unhistorial muy negativo?
El panorama es complejísimo, como mi misiónes meter debate, pues te lo doy también a ti comoal resto. Pero te digo, de parte de los usuarios esmuy bonito y es muy fácil en el sentido de quetodos lo somos y además, tienes toda la razón enlos ejemplos que has puesto, porque yo podríahaber ido gratis a Acapulco 500 veces. Pero hayque lograr el equilibrio de las dos partes.
El doctor Alfredo Reyes es, además de excelenteamigo y un experto en la materia en todo lo quees nuevas tecnologías en derecho, es Presidentede la Asociación Mexicana de Internet, directorjurídico de E-business en el Grupo FinancieroBBVA Bancomer, doctor en Derecho por laUniversidad Panamericana, postgrado enDirección de Empresas en el InstitutoPanamericano de la Alta Dirección de Empresa,profesor titular de Contratación Electrónica,maestría en Derecho de Empresas en lasFacultad de Derecho de la UniversidadPanamericana, catedrático de la materiaTecnologías de Información, problemas legalesen la maestría en Comunicación Social de laUniversidad Panamericana, profesor del Área deComercio Electrónico, doctorado en Derecho delInstituto Tecnológico de Monterrey, profesor deInformática Jurídica de la Facultad de Derechodel TEC, Campus Ciudad de México y CampusEstado de México; integrante del grupo impulsorde la legislación en materia de comercioelectrónico y del grupo de trabajo de banca ycomercio electrónico en la Asociación deBanqueros de México y, autor entre diversaspublicaciones, del libro La firma electrónica enlas entidades de certificación, publicado por laeditorial Porrúa en 2003.
152
PonentePonentePonentePonentePonente: Alfredo Reyes.
Y la idea es platicar sobre la perspectiva del sectorfinanciero y comercial.
Quiero partir de que, y ya lo hemos expresadoaquí, en la legislación federal mexicana yacontamos y encontramos algunas disposicionesvigentes sobre la materia.
Ya el doctor del Villar se refirió, muy bien porcierto, a la Ley Federal de Sociedades deInformación Crediticia. También ha habidoreferencias aquí en este mismo foro, en relacióna la Ley Federal de Transparencia y Acceso a laInformación Pública Gubernamental, dondehace poco se publicaron también ya loslineamientos sobre protección de datospersonales.
Las últimas reformas a la Ley Federal deProtección al Consumidor, la regulación enmateria de bases de datos por la Ley Federal deDerechos de Autor, muchas otras. Y en estesentido también las disposiciones jurídicas queregulan a las distintas entidades del sectorfinanciero cuando establecen la obligación derecolectar, procesar y conservar ciertos datospersonales de su clientela para prevenir lacomisión de ciertos ilícitos, como pudieran ser ellavado del dinero o el financiamiento alterrorismo.
Aunado a lo anterior yo creo que también es muyimportante considerar la posición de México enel ámbito internacional, porque si bien es ciertoque tenemos celebrado un tratado de librecomercio con la Unión Europea, tambiéntenemos celebrado un tratado de libre comerciocon Estados Unidos, nuestros socios comerciales.
También ya Hugh hacia referencia a la OCDE y aAPEC, que son convenios y tratadosinternacionales, que de alguna manera tambiénhemos suscrito, y son también de acuerdo alartículo constitucional legislación en México.
Vamos entonces a referirnos en específico a unainiciativa, a una iniciativa de Ley Federal de
Protección de Datos Personales, que fuepresentada por el senador Antonio García Torres,del grupo parlamentario del PRI, en la sesión dela Comisión Permanente del miércoles 14 defebrero de 2001.
Se van a preguntar por qué hago referencia enespecífico a esta fecha, porque de hecho estamoshablando de una normativa que tiene ya másde cuatro años de antigüedad, que en muchosde sus conceptos ya ha sido superada en otrospaíses.
Esta iniciativa fue dictaminada por lasComisiones Unidas de Puntos Constitucionalesy de Estudios Legislativos de la Cámara deSenadores. Este proyecto de ley fue aprobado ypublicado en la Gaceta Parlamentaria delSenado de la República el 30 de abril de 2002.Teniendo como objetivo principal el reglamentarlas bases a las que estarán sujetas las personas yempresas propietarias de archivos y bases dedatos, así como guardar el equilibrio entre susderechos de uso, comercialización otransferencia respecto de su titularidad y losderechos de privacidad de los individuos.
En septiembre de 2002, esta iniciativa se turnóa la Comisión de Gobernación y SeguridadPública de la Cámara de Diputados, y en octubredel mismo año se turnó a la Comisión deComercio y Fomento Industrial, hoy Economía.
La entonces Comisión de Comercio de la Cámarade Diputados en noviembre de 2002 presentó alpleno un comentario aduciendo que elcontenido de esta iniciativa resulta poco claro,ambiguo y su alcance e interpretación generaconfusión.
De los estudios realizados, comenta dichoproyecto legislativo, produciría grandesafectaciones al comercio y al empresariado engeneral de nuestro país. Ojo. Hay que tener encuenta que estamos hablando de la de 2000.
Quiero hacer referencia en específico a lasreformas a la Ley Federal de Protección alConsumidor. Como ustedes perfectamente
153
saben, y seguramente ya se han comentado eneste Encuentro, la fracción primera del artículo76 bis de esta Ley Federal de Protección alConsumidor, impone una obligación a losproveedores, entre ellas es mantener laconfidencialidad de la información, y laprohibición de difundirla o transmitirla a otrosproveedores, a menos que el consumidor lo hayaautorizado por escrito, o existe, en su caso, algúnrequerimiento de autoridad.
Asimismo, hay otra fracción en donde se imponeal proveedor la obligación de mantener segura yconfidencial dicha información, e informar alconsumidor sobre las características generalesde los elementos técnicos de seguridad yconfidencialidad disponibles antes de lacelebración de la transacción.
Quiero aclarar que no es que en el ámbitocomercial o en el ámbito financiero estemos encontra de regular la protección de datospersonales. Lo que quiero aclarar es que lainiciativa, la iniciativa que estamos ahoradictaminando en la Comisión de Gobernaciónde la Cámara de Diputados adolecen de algunasfallas o algún tipo de cuestiones que creo quepudieran ocasionar algunos problemas a laindustria en particular de nuestro país.
En particular considero que la iniciativa debepretender la regulación de la protección dedatos de las personas físicas, recopilados,almacenados y procesados en archivos, registrosy bases de datos de empresas del sector privado.
Estoy consciente de que las disposicionesregulatorias deben de guardar un sano equilibrioentre el derecho de protección y las obligacionesy demás disposiciones relacionadas.
Debemos de considerar también libertad deexpresión; debemos también de considerar lascuestiones relativas a regulación, en materia deprotección, combate al terrorismo, lavado dedinero, combate al narcotráfico o alguna ordenjudicial.
Vámonos a las principales preocupacionesrespecto de esta iniciativa.
Ya el Comisionado Juan Pablo Guerrero hacíareferencia a la distinción entre dato sensible,dato no sensible y dato público por ley, y en estecontexto habría que modular lo que establecela iniciativa, porque la iniciativa de inicioestablece un esquema a rajatabla en cuanto aóptimos.
Obliga a las empresas a obtener elconsentimiento previo y expreso de losindividuos, para poder enviar información.
Por otro lado tenemos, y ya se ha tratadotambién, la prohibición al flujo transfronterizode datos personales.
En este sentido, tenemos un problema gravecomo empresas, porque si por un lado tenemoseste principio en nuestra legislación, tenemoscon nuestros socios comerciales, con el Tratadode Libre Comercio con América del Norte,también la prohibición de poner trabas al libreflujo de datos personales.
Seguramente me va comentar Isabel, yo en estesentido lo entiendo, que también tenemos unTratado de Libre Comercio con la Unión Europeay en el mismo se hace referencia a manejar lodispuesto por la Directiva, en cuanto aprotección de datos personales.
Estamos en medio del sándwich en cuanto aMéxico.
Por otro lado, tenemos el registro y entrega debases de datos. En este sentido, la cuestión delregistro y la base de datos de las empresas oregistro y bases de datos en particular, tambiénsuponen cuestiones muy particulares, ¿quéentendemos por el registro y qué entendemospor la conservación o la entrega en su momentoo en su esquema, de bases de datos?
Actualmente se manejan esquemas de DataWareHouse y se manejan esquemas muy
154
particulares; es decir, se habla de minería dedatos o se habla de minería en cuanto aobtención de determinados “kueris” paraobtener una información en particular yhablamos de cubos de información.
¿Qué es lo que vamos a registrar: El cubo deinformación madre, matriz o vamos a registrarel “kueri” con el que generamos la información,que tiene una vigencia muy pobre? La verdad esque estamos hablando que es una campaña enespecífico.
Si quieren que para cada una de las campañasestemos registrando, la verdad es que nos va salircarísimo. Dos, vamos a requerir una maquinotapara poder guardarlas.
Otra, el registro de quiénes son las personas quetienen que ver con el manejo de la informaciónen particular o con esa base o con ese “kueri”,también va significar un problema bastanteserio.
Otro punto importante es las facultadesdiscrecionales a la autoridad, con el fin de definirla tecnología a emplearse en el manejo dearchivos.
Quiero aclarar: Ya Hugh Stevenson hacía unareferencia en específico a medidas razonables.Una cosa es medidas razonables y otra cosa esen específico imponer una tecnología.
Y a mí en el lado de la empresa, honestamente,me da mucho miedo.
¿Qué es lo que está pasando? En un artículo seestablece que la autoridad va a definir, enfunción del estado de la tecnología, los requisitosy condiciones de seguridad que deban demantenerse en las empresas.
¿Qué es lo que me inquieta? La tecnología semodifica y va creciendo y va actualizándoseconstantemente.
Si como empresa voy a tener que estarcomprando equipos en función de los
requerimientos o de lo que se le ocurra a laautoridad, la verdad es que para mí implicaríaun cheque en blanco. O sea, vamos a ver qué medice la autoridad, o si voy a tener que comprar elúltimo programa de software o el equipo másgrandote, pues imagínense nada más en elámbito de empresa mediana y pequeña.
La verdad es que supone una ciertaincertidumbre por seguridad. Mejor habría quehablar de gestiones razonables o cuestiones eneses contexto.
Otra cuestión interesante es el caso de laautoridad encargada. En ese entonces, 2001, sehacía referencia en específico a aquélla quedispusiera la Ley Federal de Transparencia yAcceso a la Información Pública.
Y yo me pregunto aquí: Bueno, el IFAI para todoslos casos, también cuestiones públicas,cuestiones privadas. Originalmente la iniciativadel senador García Torres iba referida a lacreación de un instituto ad hoc. Posteriormente,hubo por ahí en la propia Cámara de Senadoresalguna adecuación para aprovechar la parterelativa a la que ya refería la Ley de Transparenciay Acceso a la Información PúblicaGubernamental.
En este sentido y plantando el tema referido enespecífico a la autoridad encargada, pues yoquiero acotar que ya existen en la legislaciónvigente autoridades encargadas del cuidado,aplicación y sanción de conductas relacionadascon la protección de datos personales y de lapublicidad con fundamento en disposicionesvigentes en México.
Tenemos, y ya habló Carlos Arce por aquí, laPROFECO, bueno Rafael nos acaba de comentarde CONDUSEF, el caso de CONAMET o el propioIFAI para el sector público, entre otras que yaexisten.
¿No les resulta lógico que la autoridad en estamateria sea precisamente la que tiene el knowhow (saber cómo o saber hacer), la reguladoradel marco de la actividad de la persona u objeto
155
de la empresa en específico que en su momentopudiera recabar la información?
¿Qué nos puede garantizar en este sentido? Dealguna manera eficiencia operativa y un menorcosto al erario público, no sin descuidar, y esto esalgo importante porque ya Carlos Alonso lorefería en su exposición, el esquema deautorregulación de las empresas manejandoesquemas relativos a avisos de privacidad ocuestiones relativas a áreas de actividad enespecífico.
Me queda claro y nos queda claro, yo creonecesaria la creación de una Ley Federal deProtección de Datos Personales, en mucho setiene que hacer, pero también nos queda claroque tenemos regulaciones específicas y muyconcretas, dependiendo de diferentesactividades.
Entonces pues podría resultar razonable elhecho de manejar no una autoridad únicaencargada de la materia.
ModeradoraModeradoraModeradoraModeradoraModeradora: Isabel Davara Fernández deMarcos. Consultora especialista en Protecciónde datos personales.
Yo coincido, no sé si estancamiento es la palabrade la legislación en protección de datos enMéxico, porque con tantas reformas e iniciativascontrapuestas que se conocen, pero el hecho deque desde hace más de cuatro años no hayasalido una iniciativa o una ley ya preocupan.
Creo que, como decía el doctor, el sano equilibrioes el kit de esta cuestión. Como me ha puesto labandeja tengo que contestar; en cuanto a lo delTratado de Libre Comercio con América del Norte,si en América del Norte estamos considerando aCanadá, Estados Unidos y México, y Canadá tieneuna legislación que cumple con la europea yEstados Unidos es una estación en el mundomundial, pues México puede tener unalegislación que cumpla con la europea y asítambién cumplir con Estados Unidos. Quierodecir, podría llegar a una solución de consenso,no tanto seguir con la tradición estadounidense,
sino seguir con la tradición canadiense que, digo,es la que sigue el resto del mundo que estálegislando en protección de datos y así salvar elTratado de Libre Comercio con Estados Unidos yel Tratado de Libre Comercio con Europa.
En cuanto a los archivos. Es que tu pregunta esmuy buena, porque esto ya sería más técnico,pero cuando decías si una “kueri” o no una “kueri”,estamos entonces viendo que va a haber untratamiento de información posterior yespecífico.
Aquí habría que distinguir entre un archivo físico,un archivo lógico y un archivo jurídico. A nosotrosel que nos interesa es el jurídico que se calificapor los datos que contiene, pero, sobre todo, porla finalidad a la que se destinan esos datos.
Y esos archivos que mencionabas,probablemente en mi opinión seríantemporales, que no entrarían dentro de unsistema de registro como tú decías.
Haz mencionado también un tema clave entodas estas normas de tecnologías deinformación y comunicaciones. La norma tieneque ser necesariamente neutral desde un puntode vista tecnológico, no me pueden decir quétecnología tengo que implementar, si no lo quetengo que conseguir, por dos razones muy claras.
Una razón de obsolescencia y otra razón decompetencia en el mercado. No me van a decirutiliza esa máquina o ese Software.
Y en cuanto a las diversas autoridades, yo ahídiscrepo, sé que está dividido, yo creo que esta esuna cuestión como para que hubiera unaautoridad central encargada de la materia.
Pero por eso mismo, como todas ellas tienen unpedacito de ámbito de competencia, se van aempezar a: esto es mío, esto no es mío. Derepente hay una en la que dos tienencompetencia y hay una en la que nadie, hay unalaguna.
156
La protección del personal es una materia quepor sus características va a permear todos losámbitos y todas las materias de la sociedad, nova haber ninguna cuestión en la sociedad queno se vea permeabilizada, por lo cual, mi opiniónes que debería de haber una autoridad de controlque diera cuenta de estas materias.
Sin más pasamos a las preguntas, hay miles. Nosé quién quiera empezar. Nos han ido pasandopreguntas.
PonentePonentePonentePonentePonente: Rafael del Villar Alrich.
¿Qué normas regulan los Burós de Crédito y lasSociedades de Información Crediticia? ¿Quiénadministra y controla los Burós de Crédito?¿Cuáles son los requisitos para establecer unBuró de Crédito independiente? ¿La Ley Federalde Transparencia y Acceso a la InformaciónPública Gubernamental es el conducto parapedir información de operaciones crediticiaspropias, dónde se es parte, o mejor usarexclusivamente la legislación especializada? ¿ElIFAI es autoridad para ordenar, entregar versionespúblicas de operaciones crediticias? ¿Procedenlas versiones públicas de operaciones crediticias?
Las normas que regulan al Buró de Crédito. Laley, es una ley emitida a principios del año 2002,reformada a principios del 2004. La ley se llamaLey para Regular las Sociedades de InformaciónCrediticia, y en ésta se establecen derechos delconsumidor, estas garantías de protección de laseguridad de la información, y tambiénestablece y regula con toda claridad el procesode autorización para nuevas Sociedades deInformación Crediticia. También contiene uncapítulo de sanciones, en fin.
Es una ley, que podríamos decir que es una leycompleta para la regulación de estas empresascuyo ámbito de acción, y eso sí es importantemencionarlo es exclusivamente el de reportesde historiales crediticios. Ese es, digamos, elámbito de esta ley.
Banco de México, de acuerdo con esta ley tienediversas atribuciones regulatorias, y ha emitido
unas reglas que se llaman Reglas generales a laque deberán sujetarse las operaciones yactividades de las Sociedades de InformaciónCrediticia y sus usuarios.
Los usuarios de esta ley son precisamente a losque yo me refería como oferentes de crédito. Sonlos clientes de esas Sociedades de InformaciónCrediticias, son precisamente los otorgantes decrédito.
Estas reglas emitidas por Banco de Méxicoregulan, entre otras cuestiones los detalles,garantizan el derecho de acceso a los reportesde crédito especiales de las personas a tarifasreguladas.
Y también establece con claridad los casos enque se puede sustituir, digamos, el caso deexcepción a la regla general que es la firmaautógrafa. ¿Cuándo se puede sustituir la firmaautógrafa? Como ya lo mencione en estos casosen que los Burós de Crédito coadyuvan, apoyana actividades de mercadotecnia directa. Hayforma de sustituir la firma autógrafa con unproceso de identificación de la persona.
El proceso de identificación de la personatambién es muy importante, es clave para elacceso eficiente a los reportes de créditoespeciales, porque uno llega a la página del Buróde Crédito, y ahí en esa página, lo que uno haceir llenando un cuestionario que tiene que estarbien llenado, incluyendo información de créditosotorgados para estar seguros de que se estáidentificando esta persona. Entonces estas sonlas reglas.
¿Quién administra y controla los Burós deCrédito? Son entidades privadas, son empresasprivadas. Tienen las reglas de operación, se rigenbajo las leyes mercantiles, como tal; además dela Ley para Regular las Sociedades deInformación Crediticia.
¿Cuáles son los requisitos para establecer unBuró de Crédito independiente?
157
Bueno, es muy simple la idea, la idea de un buróindependiente estábamos refiriéndola a laindependencia de los oferentes de crédito. Esdecir, digamos que era un modelo o un esquemadistinto del modelo de club.
Entonces, donde son un grupo de oferentes decrédito que forman su propio Buró de Crédito,un buró independiente sería un buró que notiene vínculos patrimoniales o de control conoferentes de crédito o estos vínculos sonpequeños.
En cuanto a una pregunta que dirigen tanto amí como a mi tocayo Rafael Avante Juárez, peroque yo creo que debería de estar dirigida alComisionado Juan Pablo Guerrero, perdón, es enrelación a la Ley Federal de Transparencia yAcceso a la Información, de si el IFAI es autoridadpara ordenar entregar versiones públicas deoperaciones crediticias.
No, digamos, el no es que no soy la persona quedeba de contestar esta pregunta. Del secretofinanciero, es un secreto que está interpretadoy regulado por las autoridades financieras y esoestá muy claro.
Difícilmente sin el consentimiento de lapersona, por eso hablamos de asista a la Ley paraRegular las Sociedades de Información Crediticia,difícilmente sin el consentimiento de la personaa la que se refieren los datos crediticios, estainformación puede fluir a un tercero.
Existen excepciones, como todo, cuando loordena un juez, cuando es parte de un procesode concesionamiento de autorizaciones, comoya comentaba también Juan Pablo Guerrero.
Pero la regla general es: El acceso a estainformación de parte de las autoridades, esbásicamente hacia la Comisión Bancaria y devalores, que es el regulador, el supervisor de estasleyes.
PonentePonentePonentePonentePonente: Juan Pablo Guerrero.
Nuestra moderadora provocadora nos hizo variaspreguntas, muchas veces muy buenas.
Y yo quiero atender a uno de tus planteamientos,Isabel, sobre la propuesta de que la publicidadpuede mermar la privacidad.
Estamos de acuerdo en que hay un conflicto deprincipios, supongo. Y lo que hemos intentadoes enfatizar en aquellas resoluciones en dondeobligamos a dar información que fue clasificadacomo confidencial, obligar a dar la informaciónque revele la actuación de la autoridad y surelación con las personas, respetando lo másposible la información personal. Allí es dondehemos ido trazando este equilibrio.
Pero de que hay un conflicto no tenemos duda,cada vez más tenemos precisamente este tipode quejas que nos obligan a hacer este tipo deponderaciones.
Y un apunte con relación a lo de los créditos.Efectivamente, cuando el sujeto obligado es unbanco de desarrollo, es decir, banca pública,banca del Estado, el IFAI ha confirmado que porel secreto bancario no puede dar la información.
Hay dos consideraciones sobre el particular. Unaes cuando el acreditado es otro sujeto obligado,lo que hemos procedido a hacer es orientar lasolicitud al acreditado, no estoy hablando ya depersonas, y en principio no tiene por qué invocarel secreto bancario y es el que legalmente, conabsoluta confianza con la Ley de Institucionesde Crédito, tiene la autorización de darleinformación sobre su crédito.
Y la otra excepción es cuando el acreditado esun empleado de alguna de las bancas dedesarrollo, ahí hemos asumido el crédito comouna prestación y no hemos diferenciado que seaun empleado de Bancomex, de Nafinsa o del IFAIque ocasionalmente también podría darle uncrédito a sus empleados como algún tipo deprestación.
158
Me quiero referir a un par de preguntas y les voya pedir a aquellos que no sientan que atendí asu pregunta, que me vengan a ver al término deesta sesión, si no porque muchas de suspreguntas se refieren claramente a el Institutoy mi labor ahí como Comisionado y no tanto anuestro tema de esta sesión.
Esta sí está claramente vinculada, ¿qué va a pasarcon los lineamientos que emitió el IFAI enmateria de datos personales cuando se apruebela ley en la materia? Habrá que ver el contenidode esa ley si se sigue planteando una distinciónentre las bases de datos en posesión de lossujetos obligados por la Ley de Transparencia, esdecir por el sector público y el sector privado.
El IFAI seguirá siendo la autoridad en laprotección y acceso a las personas a sus datos.Todo indica que es posible que esto no sea así,que la Ley de Datos Personales incluya tambiéna los datos en posesión de entidades públicas,con lo cual se tendría que hacer la adecuacióncorrespondiente, dado que quedaría subsumidaesta regulación en la nueva ley.
Lo cierto es que entre tanto, como bien nos decíaAlfredo, hoy en lo que se refiere a las bases dedatos en posesión del Estado mexicano, se tieneya la regulación correspondiente.
Hay otra pregunta con relación a las empresasde marketing y la utilización de datos personalespara fines comerciales. En el caso de lasentidades y dependencias públicas no hayninguna disposición que permita sucomercialización y los propios lineamientos a losque se hacía referencia en la primera preguntaescrita, establecen que si se diera algunacondición específica, tendría que ser con elconsentimiento expreso del titular de esos datos.
Quiero subrayar que estamos hablando de algoque hoy por hoy no existe; ni Pemex ni CFE ni elSAT, imagínense ustedes, puede comercializarcon sus bases de datos e institucionalmente laposición del Instituto es que esto así debiera ser,dada la razón por la cual el Estado obtiene datos
personales de las personas, que es muy distinta,ahí las personas están obligadas a darinformación sobre sí mismas, es muy distinta ala regulación del sector privado.
El IFAI es competente para ordenar la aperturade la información bancaria, cuyos titulares seanlos sujetos obligados, siempre y cuando sea elcuentahabiente el sujeto obligado.
Si ustedes quieren saber cuánto dinero tiene ensu cuenta el IFAI, pregúnteselo al IFAI, no se lopregunten a HSBC, no se los va a dar HSBC,porque si lo hiciera violaría el secreto bancario yentre otros, el IFAI los demandaría.
Ponente: Hugh G. Stevenson. Director Asociado,Comisión Federal de Comercio EE.UU.
¿La venta, renta o el compartir las listas declientes entre empresas privadas, está prohibidaen los Estados Unidos? Sí, ¿por qué? Si no, ¿cuáles la tendencia a futuro?
Y creo que la respuesta es que estamosenfocados en dónde está la posibilidad de daño,dónde están ahí los problemas en sí, por logeneral no está prohibida.
La ley prohíbe el compartir estos documentosen muchas situaciones, ¿por qué? Porque enestas dos situaciones hay la posibilidad de daño,es información muy sensible, muy asociada conel robo de identidad de que hemos hablado.
Hay también otra posibilidad de daño, albienestar de los consumidores o usuarios. Es sise introducen en la intimidad, por ejemplo, conSpam o con las ofertas de crédito.
Había también una pregunta sobre laautorregulación y la comparación entre losEstados Unidos y la Unión Europea. Y algointeresante a pensar en cuanto a eso es más quesólo las reglas, es también la cultura y laautorregulación.
159
Un ejemplo para mí, que me parece muyinteresante. Es que hace algunos años ConsumerInternational ha escrito un informe sobre laspolíticas de privacidad en la red y ha encontradoque en general había más políticas por lasempresas en los Estados Unidos, donde no debíahaberlas, que en varios países en Europa dondesí debía hacerlo.
PonentePonentePonentePonentePonente: Rafael Avante Juárez.
En cuanto al planteamiento de Isabel, partir deque coincido totalmente, hay que partir de unpunto de equilibrio, no podemos cargarnos aninguno de los dos lados de la balanza.
Me decías que es fácil ponerse de lado delusuario, vieras a veces que es un poquitocomplicado llevar el punto de vista del usuario ala toma de decisiones, pero sí efectivamente esla parte noble del tema.
Y que hay usuarios tramposos. Sí, aunque yo tediría que en mi experiencia son los menos y quesería una desmesura generalizar para ponermedidas contra los tramposos a todos.
161
El estado de la cuestión:El estado de la cuestión:El estado de la cuestión:El estado de la cuestión:El estado de la cuestión:iniciativa de Ley Federal deiniciativa de Ley Federal deiniciativa de Ley Federal deiniciativa de Ley Federal deiniciativa de Ley Federal deProtección de Datos PersonalesProtección de Datos PersonalesProtección de Datos PersonalesProtección de Datos PersonalesProtección de Datos Personales
Mesa 6:
ModerModerModerModerModeradoradoradoradorador::::: Alonso Lujambio Irazábal. Consejero del IFAI.
Vamos a ser testigos de un banquete sobre el debate mexicano.
Creo que no es un rasgo de parroquianismo ni de localismo de los organizadores del evento elestablecer esta mesa.
Estoy cierto de que el caso mexicano, el proceso legislativo en curso es expresión exquisita a mijuicio de la complejidad del debate sobre la protección de los datos personales, tanto del debatedoméstico como del debate internacional.
Hago una brevísima reflexión sobre esto para iniciar, si me lo permiten, la discusión en la mesa.
Respecto a la dimensión doméstica es indudable que ciertamente no hay una cultura de protecciónde datos personales en México y en América Latina.
Y, sin embargo, creo que un debate central en relación con este punto es y voy a citar a uno denuestros amigos en una mesa previa, darle a la ley la oportunidad de crear la cultura. Creo que esparte de nuestro debate.
Por otro lado, hay una realidad que nadie puede negar, ya hay una circulación amplísima sin controlde datos personales y estamos ante el debate, lo hemos subrayado una y otra vez, pero qué buenoque así sea, ante el dilema del equilibro entre dos valores en tensión, la protección de datospersonales, la protección de la privacidad de las personas y, por otro lado, la legítima transmisión dedatos para efectos de eficacia del mercado de crecimiento económico.
¿Bajo qué condiciones puede darse este equilibrio? Se habla del consentimiento expreso y previoen algunos casos, de la oposición expresa y posterior en otros.
Yo ciertamente me he inclinado ligeramente hacia la visión garantista, pero reconozco y mis colegascomisionados del IFAI también, que el gran reto es encontrar ese equilibrio entre la visión mercantily la garantista.
162
Estamos ante un reto extraordinario político,legislativo, técnico, logístico.
Está, por otro lado, amigos, la dimensióninternacional, en donde se expresa ciertamenteesa tensión. Tenemos compromisos con la UniónEuropea, con la APEC, con nuestros socioscomerciales del Tratado de Libre Comercio.
La convergencia en nuestro marco legal de esoscompromisos, no siempre compatibles de modoautomático, mecánico, es sin duda un retomayúsculo para el legislador mexicano.
Está, por otro lado, y cierro esta reflexión con estepunto, el debate sobre la autoridad, debe ser elIFAI en el caso mexicano o debe ser otraautoridad.
Creo que en primer lugar la obligación del IFAIaquí es contribuir constructivamente al debate,creo que es su obligación es además su vocación.
¿Por qué creo y por qué creemos los comisionadosque esta es la institución que debe de enfrentarel dilema regulatorio y la responsabilidad cabal?En primer lugar, porque reduce los costos deadministración de nuestras instituciones, peroespecialmente porque tiene un capital deprestigio social y político para emprender latarea.
Y esto lo digo, quizás, el Comisionado sea el únicoque lo puede decir, porque ese capital deprestigio social y político ha sido producto de miscolegas, del trabajo de mis colegas comisionadosy de los funcionarios de la institución.
Porque, por otro lado, ha probado suindependencia, que es un criterio fundamentalpara realizar esta función; porque tiene elpersonal especializado, indudablemente;porque reconoce la necesidad de armonizar lovalores de intención mencionados y no estácasado con uno de los dos extremos del debate.
Porque coorganizamos este Encuentro deProtección de Datos Personales; porque somos
parte de una Red Iberoamericana; porque somosya autoridad en la materia, así sea restringida, yporque el tema nos preocupa, nos ocupacotidianamente, nos importa.
Con todo, respetaremos cabalmente, amigoslegisladores, insisto, a cabalidad la decisión quetome el legislativo, que sin duda será la mejorpara el país.
Estamos ante un debate muy interesante y yodebo finalizar esta reflexión diciendo que larealidad se está moviendo todo el tiempo y nodeja de moverse.
Yo creo que hay un espacio para la creatividadmexicana, no solamente para acomodarse a lasituación nacional, sino para crear una situacióna la que otros se acomoden.
Me llama mucho la atención, y con eso cierro,que el día de hoy el Washington Post publiqueuna noticia que me parece de la más altarelevancia: El anuncio que hace Microsoft enEstados Unidos, de difusión de una NationalPrivacy Law, una nueva ley de privacidad, quetienda a ser mucho más proteccionistas y muchomás garantista que lo que hoy tiene el marconorteamericano.
Y debo leerles la nota de hoy que dice, entre otrascosas, “que la propuesta de Microsoft es queexista la opción del opt-in, es decir, la opción elconsentimiento expreso y previo, para los datossensitivos, “y que apoya la opción opt-out, es decir,la oposición expresa y posterior, para los datosde menor sensibilidad.
Y termina diciendo: “Sin embargo, el diablo estáen los detalles”. Es indudable que el diablo estáen los detalles y que, sin embargo, por fortuna,aun con la complejidad del trabajo, loslegisladores mexicanos y muy especialmente elsenador García Torres, que esta sentado a miizquierda, ha sido indudablemente el mexicanoque de manera más decidida ha aportado a estaimportante discusión.
163
Le debemos mucho al senador y le debemosmucho que esté entre nosotros, al igual que elresto de los legisladores de esta mesa.
Voy a presentar a Francisco Javier Acuña Llamas,quien es integrante del Sistema Nacional deInvestigadores del CONACYT; Coordinador deldoctorado en Derecho en la UniversidadAnáhuac del Sur. Es profesor especialista enDerecho de la División de Derecho de Postgradode la UNAM; es profesor e investigador delInstituto de Investigaciones Jurídicas de laUNAM de 2003 a 2004. Es doctor en CienciasPolíticas y Sociología, por la UniversidadComplutense de Madrid.
Es licenciado en Derecho en la Facultad deCiencias Jurídicas de la UniversidadRegiomontana, A.C. de Monterrey, Nuevo León.
Conferencia MagistralConferencia MagistralConferencia MagistralConferencia MagistralConferencia Magistral: Francisco Javier AcuñaLlamas.
Agradezco venir a externar algunas palabras enrelación a la iniciativa que planteara, con muchapreocupación, el senador García Torres.
Debo decir que estar aquí, frente al senador yjunto con todos ustedes, es un compromiso deagradecimiento a él, por haber provocadonaturalmente, con esa iniciativa, una cauda dereacciones de muy interesante entidad, de todaíndole; las primeras, algunas, hasta bruscas ofuertes, en relación a lo que se pudo habercomentado o se comentó, que pudo haber sidoaquello una adopción de un modelo garantistaextremo, el que se parece mucho, el que lainiciativa invocaba la Ley Orgánica deRegulación del Tratamiento Automatizado deDatos de Carácter Personal, Lortard española quefue, incluso, abrogada en el año del 99. Es decir,la iniciativa de García Torres fue una iniciativamuy parecida a los principios y a los contenidosde aquella ley que tuvo España en aquellosmomentos, y que dejó de tener vigencia porquehubo directivas de la Comunidad Europea queimpidieron se mantuviera vigente y hubo alláque hacer nacer una nueva ley, la ley vigente.
Sin embargo, la provocación del senador GarcíaTorres ha venido a mantener en jaque todo estetiempo, y eso es lo saludable, además del tema.La necesidad que en México se tiene de dar elpaso definitivo para crear, para construir unalegislación pertinente.
Una legislación que resuelva ese dilema quedesde un principio vimos y tenemos en México.Se optó en México por darle el sí al acceso a lainformación pública, y se optó también, hay quedecirlo, por los actores políticos, los legisladores,sobre todo, decidieron darle el sí al acceso a lainformación pública, y decidieron, de algunamanera, también permanecer, cautelosos encuanto a darle el sí paralelo a la protecciónomnicomprensiva de los datos de carácterpersonal.
Desde luego las leyes de acceso a la informaciónpública, empezando por la federal, contemplansu capítulo respectivo de previsiones parafomentar y para proteger el acceso a lainformación de los ciudadanos respecto de suspropios datos.
Y en esto las estadísticas no reflejan, el propioIFAI las difunde que del cien por ciento de lassolicitudes de acceso a la información que ésteha recibido, muy escaso el 10 por ciento, que esmucho menos que el 10 por ciento, algo menosque el 10 por ciento ha versado sobre solicitudesen relación a los datos de carácter personal.
Ya decía el Comisionado Lujambio si en Méxicotodavía el tema del acceso a la informaciónpública causa, en algunos lugares y en algunosniveles perplejidades, más lo causa, desde luego,el tema de estrenar el derecho a reclamar elconocimiento de aquellos datos que tiene elEstado sobre nosotros mismos.
Si bien históricamente el moderno Leviatán, laadministración pública, el Estado ha sido eldetentador y es el detentador de una muyimportante partida de datos personales quetodos los ciudadanos le entregamos todos losdías en esa alcabala sucesiva permanente, en laque con cada trámite de dejamos, le damos, le
164
entregamos datos personales que almacena, aveces, de manera riesgosa, porque no los sabeguardar bien, a veces simple y sencillamentealmacenados hasta el futuro o sea a perpetua,porque no hay regulación precisa que lo impida.
El hecho es que hoy por hoy y en el mundocontemporáneo no es el Estado, a pesar de tener,ya lo dije, peligrosos mecanismos para si quisierahacer mal uso de estos datos, causarle daño a laciudadanía, sino es el propio mercado o es elámbito del sector privado en el que seencuentran los más grandes peligros, para queel derecho al intimidad se pueda ver conculcado.
Y esto, porque debido a la tendencia, conocidacomo despublificación, mal llamada así, pero asíconocida en España, sino más bien por los efectosdel acto habilitante, mediante el cual el Estadoconfiere a particulares cada vez más grandeszonas de participación en prestación de serviciospúblicos y/o además los propios giros delmercado con todas las tecnologías de punta ylos nuevos mecanismos de comunicación,realmente nos encontramos ante un hecho quees irrefutable, y que aquí se ha venido diciendopor todos los grandes expertos que han venidode todas las latitudes que convoca eseencuentro, y ahí es donde encontramos elprincipal peligro.
Hoy por hoy, y tras los antecedentes delChoicePoint, aquel penosísimo antecedente enel cual fueron filtradas las bases de datos de todala población que tenía derecho o que tenía edadde votar en el año del 99, tras ese experimentofunesto del RENAVE, que quedó varado, pero quetambién significo un peligro potencial defiltración de datos personales confiados a ungrupo de particulares en ese Registro Nacionalde Vehículos que quedó también varado, quequedó también, afortunadamente, inutilizadoy además de los hechos recientes demanipulación de padrones de usuarios deservicios públicos y, sobre todo, de padrones debeneficiarios de subvenciones o de cualquierotro tipo de subsidios que el Estado a través delos programas públicos hace llegarconstantemente a la ciudadanía.
Pero ojo, para fines electorales, el caso deTlaxcala concretamente, pero otros más casosnos pone a todos en la necesidad de invocar enesta mesa y de agradecer al IFAI que una vez queha dado cauce al tema del acceso a lainformación y que ha logrado desde luego enesto grandes avances, haya tenido el ánimo deencausar esta mesa de discusión y de invitar aquíal senador García Torres y a otros senadores y aotros legisladores para impulsardefinitivamente una ley.
Nosotros, en síntesis, venimos a terciar en unadiscusión que dice, por el lado de las empresasde mercadotecnia directa, que como ya hayregulaciones parciales sobre derechos de autor,sobre el consumidor y sobre las sociedades de lainformación crediticia, pues que ya se quedenlas cosas así y que de esa manera ya está resueltoel problema.
De ninguna manera, creemos que urge unaregulación integral, siempre hemos sostenidoque debe ser o debiera ser una ley general la queregulara el tema de los datos de carácterpersonal para que fuera una regulacióntransversal que abarcara todos los estados, a lasentidades federadas todas, por supuesto, salvoColima que es la que ya reguló en el ámbitopropio en su localidad el tema de los datos decarácter personal de manera amplia; en todoslos demás casos tenemos el mismo pendiente.
Dicen algunos que esto implicaría que algunasleyes se derogaran, pues ni mido. Sí, desde luegouna ley general vendría a derogar muchasdisposiciones aisladas al respecto, pero ese no esel problema, el problema es resolver la gransituación de desregulación que tenemos comoya lo avisábamos y lo venimos mencionando.
De verdad me alegra escuchar la nota que nosleía el Comisionado Lujambio sobre la posiciónde Microsoft que se rebelaba ya, en la que ellosaceptan algunas de las posiciones de Opt-in, ocual es saludable del todo y habla que acaso estecongreso venga a darle sintonía a una posturamás flexible de los grupos de mercadotecniadirecta, que junto con Microsoft están en una
165
posición que urge colocar al equilibrio, como yalo decía la Comisionada María Marván alprincipio de este Encuentro, para que unequilibrio, una visión equilibrada venga aresolver el problema.
Si no pudiera haber una ley general, pues urgeentonces una ley federal que atañe al ámbitofederal del Estado y sigue dejando en el ámbitode los estados de la Federación que resuelvanellos poco a poco y paso a paso como ha sidomateria de acceso a la información pública y detransparencia el asunto. Y en eso hemos visto lodisparejo y lo distante que pueden ser lasposiciones en nuestro vasto escenario nacional.
Por eso en una cuestión tan delicada, como esuna cuestión del derecho fundamental a laintimidad, el derecho al honor y el derecho a lapropia imagen que tiene muchas formas deexpresión en la variada manera en la que losciudadanos hacemos valer nuestro derecho a laprivacidad en estos tiempos agitados ymodernos, nos parece que de debe ser una leygeneral.
Para acabar, si el IFAI o no el IFAI, por supuestoque el IFAI debiera ser el órgano garante, peroeso sí tendría que antes verse la cuestión de latransformación del Instituto Federal de Accesoa la Información Pública en una entidad quetuviese un rango distinto al que ahora tiene,porque si bien es un órgano, una autoridadindependiente que lo ha sido en los hechos ynada de duda cabe en ello, si bien es cierto esuna cuestión, no es una posición virginal, deverdad lo digo, pero está todavía incrustado ylimitado al ámbito de la administración públicaque dirige el Presidente de la República en sucarácter de Jefe de gobierno y por esa razónsolamente le toca o es el órgano garante de latransparencia y el acceso a la informaciónpública y de la protección de los datospersonales, pero dentro del ámbito de laAdministración Pública Federal.
Esto para los que no están familiarizados con larealidad nacional, pues solamente es el órganogarante de la transparencia dentro del Poder
Ejecutivo Federal y no abarca a los otros poderespúblicos ni por supuesto a los órganosconstitucionales autónomos.
Entonces, pues, así las cosas, pediríamos que elEncuentro arroje luz y que los señoreslegisladores ya que han detenido esa iniciativa,que fue incluso aprobada la del senador GarcíaTorres y por unanimidad en el Senado, ahora queestá en la Cámara de Diputados pendiente deresolución, se aproveche para que con laconfluencia de una posición más elástica queya se advierte de los grupos de mercadotecniadirecta, que es la que nos está avisando ya estanota que se publicara en este influyente diarionorteamericano, permitiera replantear las cosas,y esto se sumara, quizá, a la contribucióngenerosa de entender que el IFAI pudieraalcanzar la categoría de un órganoconstitucional autónomo, que tuviera esa doblevertiente.
Es decir, lo que de suyo ya tiene ahora, pero parael puro Ejecutivo Federal, pero ahora extensivaa todos los ámbitos del nivel de la Federación yademás, que pudiera incluir abrazar laregulación de los bancos de datos de carácterprivado, que de otra manera no habría manerade ponerlo o de convertirlo en autoridadsuficiente o capaz de tutelar el Hábeas datainstitucional que podría o que se estáproponiendo.
Esto al margen de que se regule también y comoya la propia iniciativa García Torres lo menciona,pero en este caso a nivel de la justicia federal yde la justicia de los estados procedimientoságiles, sumarios de Hábeas data, para que en casode que no sea suficiente la suerte que tenga elciudadano que se ve obstaculizado de conocersus datos, los datos de los cuales es titular a nivelde las dependencias burocráticas y que inclusoel remedio que hubiese ante el órgano garantele fuera adverso, pudiera ir como de hecho lopuede hacer, pero mediante un procedimientosumario, sumarísimo, que le hiciera no vivir unaaventura desastrosa que luego lo invitara a novolver a repetirla en el futuro.
166
El asunto en este caso está en reflexionaragudamente en la necesidad de considerar queel IFAI así como está, me parece, no podríaadquirir la categoría o la cualidad, la calidad deser autoridad para extender sus potencias alámbito privado como regulador.
Me parece que necesitaríamos pensar en laoportunidad histórica que el IFAI encontraríapara convertirse en un verdadero organismoconstitucional autónomo que regulara elacceso a la información pública, la transparenciay además, de manera omnicomprensiva los datosde carácter personal, que ya dije, no sólo estánsiempre en riesgo, siempre, humanamente enriesgo en el ámbito del sector público, pero, sobretodo, en el ámbito del sector privado; hoy por hoylos Burós de Crédito son sin duda alguna ellatiguillo o el verduguillo que más estágenerando situaciones de discriminación quepor la vía de la cuestión laboral ha venido hagenerar enormes situaciones de lamentar sinpara las que haya hasta ahora verdaderosremedios que ofrecer.
Por esa razón pedimos que la normativa sevigorice, que las posiciones se elasticen, que nosacerquemos todos a un punto intermedio, queaprovechemos de la iniciativa de García Torresel impulso, el empuje, algunos de los mecanismosque ya adelanta opt-in que tomemos de laspropuestas de Banco de México y del sector,sobre todo, de las empresas de mercadotecniadirecta las propuestas de opt-out que son másabiertas, más vigorosas, porque indudablemente,con esto cierro, el mercado y el Estado sealimenta de datos personales, nadie lo puedenegar, el Estado y el mercado tienen comocombustible permanente los datos personalesde usuarios, de clientes, de noticiarios, etcétera.
Lo que urge es que se protejan los datospersonales sensibles, como ya se reconocíatambién, de manera externa, pero los datospersonales de carácter comercial pueden tenerprecio, pueden ser vendidos y deben circularincesantemente porque esto es lo que en elmundo moderno existe, y México en este casoya vinculado con Europa a través de ese Tratado
de Libre Comercio y vinculado también con losEstados Unidos y el Canadá y con muchoshermanos de América Latina no puede quedaral margen de una regulación satisfactoria quecomo el caso de Argentina esté ya certificadacon ese beneficio de ser confiable para lastransacciones y para los flujos transfronterizosque exige la realidad económica mundial.
Moderador:Moderador:Moderador:Moderador:Moderador: Alonso Lujambio Irazábal.Comisionado del IFAI.
Le voy a dar la palabra a nuestro amigo el senadordon Antonio García Torres, es licenciado enDerecho por la Universidad Nacional Autónomade México; Secretario de Gobierno del Estado deMichoacán, Magistrado del Tribunal Superior deJusticia del Distrito Federal, Subprocurador de laRepública, entre otros cargos públicos. Ha sidoprofesor de la Facultad de Derecho de laUniversidad Autónoma del Estado de Hidalgo.
Actualmente es Senador de la República,Presidente de la Comisión de EstudiosLegislativos, una comisión estratégica por la quepasa prácticamente toda la producciónsenatorial. Presidente del Comité deTransparencia y Acceso a la Información PúblicaGubernamental del Senado de la República,también de la Comisión. Integrante de laComisión Bicameral en materia se SeguridadNacional del Senado de la República.
Es promovente, ya lo he dicho, lo sabemos todos,de la Ley de Seguridad Nacional hoy vigente ytambién, por supuesto, iniciador de la Ley Federalde Protección de Datos Personales.
PPPPPonenonenonenonenonentetetetete: Antonio García Torres.
Primeramente quisiera agradecer a laComisionada Presidenta del IFAI, la invitaciónpara participar con ustedes esta tarde, en esteforo tan importante para lo temas que nosocupan.
Y, en segundo lugar, también quisiera hacer unreconocimiento al doctor José Luis Piñar, Directorde la Agencia Española de Protección de Datos,
167
quien ha sido en realidad un gran impulsor deesta legislación en Iberoamérica, ha sido unconsultor de toda la gente que estamosinteresadas en el tema y ha auxiliado a muchospaíses en las redacciones de sus leyes sobre laprotección de datos.
Yo quisiera comentar con ustedes, porque nos lohan estado preguntando en los días de estasemana, que por qué queremos en México unaLey de Protección de Datos.
Ante la transmisión que existe hoy en día dedatos con las tecnologías modernas, lascarreteras de la informática y la facilidad paracomunicarnos con el mundo entero, México seencuentra rezagado 35 años en materia delegislación de datos personales.
Esta legislación surge por primera vez enAlemania en 1970 y de allí empieza a irseextendiendo por todo el mundo, pasa a Francia,pasa a España, pasa a los Estados Unidos, pasa apaíses de América, como Argentina, como el Perúy como muchos otros países.
En febrero de 2001 yo presenté al Congreso unainiciativa denominada Ley Federal de Protecciónde Datos Personales. Esta iniciativa fue aprobadaen abril de 2002, como se dijo aquí hace unmomento, por unanimidad en el Senado de laRepública.
Yo quisiera aquí recordar con ustedes, quecuando se aprueba la Ley de Transparencia yAcceso a la Información Gubernamental,estaban las dos leyes corriendo los trámiteslegislativos y entonces se dio un trabajoparlamentario para poder avanzar y fue así comonos pusimos de acuerdo para que las dos leyesfueran aprobadas.
Lo que ocurrió fue que la Ley de Transparencia,cuando nosotros la aprobamos en el Senado, yavenía aprobada por la Cámara de Diputados y deinmediato se envió al Ejecutivo, para los efectosde la promulgación y publicación y entró envigor.
Quiero señalarles que en el mes de diciembrede ese mismo 2001, fue cuando el Ejecutivo deeste país presentó la Iniciativa sobre la Ley deTransparencia y Acceso a la Información PúblicaGubernamental. O sea, se presentó muchosmeses antes la Ley de Protección de DatosPersonales.
Sin embargo, lamentablemente, después de quefue aprobada por el Senado de la República yenviada a la Cámara de Diputados, allí ha estadodetenida de 2001 a 2005; han pasado ya cuatroaños y las cosas han ido cambiando.
En el proyecto original de la iniciativapresentada por mí se establecía un Instituto deProtección de Datos Personales, como el órganode control de la aplicación de esta ley.
En esa negociación que hicimos con los otrospartidos políticos, tuvimos que quitar el Institutoya de la minuta aprobada por los senadores,como también tuvimos que quitar la protecciónde las personas morales que también estabaestablecida en el proyecto original, y le hicimosvarios cambios, en un afán de avanzar y de vercómo caminarían estas nuevas instituciones ennuestro país.
Después de tres años de que el IFAI ha venidotrabajando y que ha surgido cada vez más lanecesidad de controlar los datos en términosgenerales, porque la transmisión de éstos esinmensa. Yo les podría comentar queaproximadamente el año pasado de nuestrovecino país, los Estados Unidos a México, setransmitieron 50 millones de datos. Eso nos dauna idea de la magnitud de este tema, de estetrabajo, y que hoy en día en México no existeninguna regulación.
No tenemos regulación para los datospersonales. Seguramente ustedes recordaránaquel gran escándalo que se presentó en México,cuando nos dimos cuenta que el banco de datosdel IFE estaba en una agencia de los EstadosUnidos, que había sido adquirida, comprada enMéxico, y también el banco de datos de licenciasde la Ciudad de México.
168
Los bancos más grandes quizás que pueda haber,yo de los que conozco es el del Seguro Social,que tiene más de 55 millones de datos depersonas, y después el de nuestro padrónelectoral, que cuando se dio a la venta tenía másde 50 millones, y para el año próximo, quetendremos un proceso electoral, está arriba delos 70 millones.
Todas estas cuestiones fueron las que nosimpulsaron a nosotros para presentar estainiciativa. El estado actual, como les hemanifestado se encuentra en la Cámara deDiputados, y aquí nos acompaña el diputadoDavid Hernández, quien es Secretario de laComisión de Gobernación, que es una de lascomisiones que van a dictaminar esta iniciativa,y que aquí en cortito yo le decía hace unmomento: Oye, diputado, ¡ojalá! que logremossacar esta ley en este periodo, para ya asignarlepresupuesto, y que pueda realmente el año queentra empezar a entrar en vigor y a ver de quémanera llegamos a los consensos, si no a losconsensos, que es muy difícil, porque el consensosignifica la voluntad del todo, y en la vida políticade nuestro país actualmente sabemos que lasfuerzas políticas representadas en el Congresoson varias, y que muchas veces es casi imposiblellegar al consenso, pero sí podemos llegar a lasmayorías.
De tal suerte que si lográramos que este temasea deshogado en lo que nos queda de esteperiodo ordinario de sesiones, podríamos ya estarpensando en que para el año próximotendríamos ya en vigor una Ley de Protección deDatos Personales, y que tendríamos, quizás, si asíse decide por las mayorías, un Instituto que seael órgano regulador de los datos personales.
La protección de datos personales es un temaque se había explorado en México muy poco,aunque se reconoce que existen algunosestudios que han sido realizados, sobre todo porla Universidad Nacional Autónoma de México, yse puede considerar que la discusión pública deeste tema se suscita de una manera ya másfuerte a partir de la presentación de esta ley delsuscrito.
La discusión se ha centrado de manerafundamental sobre los temas siguientes: Si lossujetos de protección han de ser sólo ynecesariamente las personas físicas, o sitambién deben ser personas morales.
Si el objeto de regulación debe ser los datos queobren en archivos y bases públicas y/o privadas,bajo el entendido de que en estos últimos sepueden comprender los datos que por sunaturaleza son de derecho social.
Si es aplicable el criterio del consentimientoprevio a la recogida de los datos, cuando éstosno se colectan de fuentes de acceso público, estees uno de los temas que más ha influido en ladiscusión, si se necesita el consentimientoprevio de la persona para poder transmitir ymanejar sus datos personales, sobre todo,aquellos que van a su esfera más íntima, máscercana, como son sus derechos de la intimidad,del honor, sus tendencias religiosas, políticas,filosóficas, etcétera, o si se pueden transmitir ydespués obtener los consentimientos. Esta esuna de las cosas más importantes que se estándando en el debate.
También si el flujo transfronterizo de datosrequiere que los países en cuestión tenganniveles de protección equivalentes, si esnecesaria una autoridad de control sobre loscontroladores de los datos personales, si elregistro de las bases de datos personales esnecesario, en todo caso, si cabe un remediojurisdiccional para los conflictos que se suscitencon motivo de la aplicación de la ley y cómo sepuede lograr un equilibrio entre los objetivoseconómicos, el acceso a la información y latutela de los derechos fundamentales a laintimidad, privacidad y autodeterminacióninformativa en materia de datos personales.
En el fondo lo que está en juego es si laLegislación mexicana se ha de inclinar por unmodelo americano o por un modelo europeopara proteger los datos personales.
Hablar de un modelo americano o un modeloeuropeo no es enteramente correcto, dado que
169
en los Estados Unidos de América tan sólo por surégimen federal hay multiplicidad de formas deproteger los datos personales. Mientras que enEuropa cada Estado ha adoptado formas muydisímiles a las de los Estados Unidos.
Sin embargo, en un intento por encontraralgunos referentes entre estas dos formas deproteger los datos personales, se podría decir queen los Estados Unidos de América existe unaregulación legal parcelada, que hay una fuertepresencia de la autoridad judicial, que muchotambién se deja a la autorregulación de lospropios agentes interesados y que si bien seprotege a la persona, es indudable el contenidoeconómico de esa protección.
En Europa, por el contrario, la mayoría de losEstados europeos cuentan con una legislacióngeneral, con una presencia judicial no tan fuertecomo en el caso americano y que se protege demanera primaria a las personas, sin que elloimplique que se desatiendan los temaseconómicos.
El camino aparenta ser hacia un modelo mixtopor la fuerte presencia de los intereseseconómicos y políticos de los Estados Unidos deAmérica en México, por los crecientes interesesmonetarios y generales de la Unión Europea y lanecesidad imperiosa de proteger a la persona enun Estado que se perfila hacia una democraciacada vez más justa en un mundo globalizado.
En este sentido, parece que en México existe unconsenso sobre la necesidad de una ley de estetalento híbrido, el gran problema es el problemade la gran mayoría de las regulaciones seencuentra en el cómo, pues cada uno de losagentes involucrados persiguen que lalegislación responda a sus particulares puntosde vista.
En ese cómo, los agentes privados que ahoracontrolan datos o que se perfilan hacia esecontrol, constituyen los grupos de interés másvigorosos, porque todos ellos se identifican entresí, guardan intereses comunes y no es complejoque se pongan de acuerdo en torno a los puntos
que estiman, quizá egoístamente, favorables odesfavorables de la regulación.
En este cómo proteger los datos personales, porotra parte, existen muchos ámbitos de interés:el financiero, el de la salud, los seguros, el laboral,la publicidad, entre otros.
En un esfuerzo por consolidad una opinión quepermita transitar hacia la ley que proteja losdatos personales, incluso los documentos detrabajo legislativos se han puesto a disposiciónde los interesados que se han acercado, paroparadójicamente no han revelado, cuandomenos al suscrito, de manera expresa, susposturas de frente a la regulación legal previstaen esos documentos de trabajos legislativos,como no sea el de la presencia de una idea defuerza hacia la autorregulación.
Cualquiera que sea el derrotero de la iniciativade la Ley Federal de Protección de DatosPersonales, parece que podemos concluir en lanecesidad de una regulación legal, con base encontenidos mínimos que se deben orientar, sí porlas posturas de interés legítimo, pero tambiéncon sujeción a los instrumentos jurídicosconstitucionales, a los instrumentos de derechointernacional y a la legislación secundaria quenos obliga.
ModeradorModeradorModeradorModeradorModerador: Alonso Lujambio Irazábal.Comisionado del IFAI.
María Eloisa Talavera Hernández, es egresada dela escuela de Ciencias de la UniversidadAutónoma de Baja California, desarrolló elproyecto de Plan Municipal de Desarrollo 2001-2004 en Ensenada, fue regidora en elAyuntamiento de Ensenada, fue DirectoraAdministrativa de la Subprocuraduría Generalde Justicia del Estado en Ensenada, fueSecretaria General del Ayuntamiento deEnsenada.
Actualmente es diputada federal por el PartidoAcción Nacional y Secretaria de la Comisión deCiencia y Tecnología, miembro de la Comisiónde Marina y miembro también de la Comisiónde Economía.
170
PPPPPonenonenonenonenonente:te:te:te:te: María Eloisa Talavera Hernández.
Yo iniciaría preguntando ¿Cuánto valen misdatos personales o cuál es el precio de la vidaprivada, que ese es el tema que está en discusión,frente a lo que son los derechos ciudadanosfrente a la normalización de la legalidadinformática y digital?
Y en ese sentido yo considero que la tecnologíafue y sigue siendo el principal eje de la transiciónhumana hacia la modernidad y el desarrollo ycomo tal los avances en este orden han sidosiempre considerados como fuente natural parala emancipación de la humanidad y la conquistade las libertades individuales, pero al mismotiempo dichos avances se han convertido una yotra vez en serias amenazas para la seguridadcolectiva y personal de nuestras sociedades.
Con la emergencia y la consolidación de lallamada era de la información y el conocimientoy en los albores de este siglo, los avancestecnológicos han potenciado una vez más y aun nivel jamás visto en la historia, tanto en laspromesas de libertad y desarrollo, como lospeligros y las amenazas sobre la vida de losciudadanos.
Y yo creo que a diferencia de otros momentoshistóricos la actual coyuntura tecnológica porlo menos en materia de informática no planteauna paradoja irresoluble, ni siquiera un peligropotencial de desintegración social, sino todo locontrario, creo que hoy podemos aproximarnosal problema de la relación entre la sociedad y lastecnologías de información de una maneratotalmente positiva.
Se lo debemos por supuesto a la madurez cívicaalcanzada por las sociedades modernas, alavenimiento de un nuevo orden democráticofrente a las viejas sociedades autoritarias y a lacreciente participación ciudadana a través demovimientos sociales de nuevo tipo que valoranlos principios de convivencia social y política.
Tenemos, entonces, una inmejorableoportunidad para construir un orden jurídico
alrededor de las tecnologías de información quefortalezcan nuestras conviccionesdemocráticas, nuestros principios humanistas ynuestras aspiraciones de equidad y justicia.
Quienes hoy promovemos las actuales reformasen materia de informática jurídica estamosobligados a responder cabalmente a estaoportunidades generando un marco legal a laaltura de esta promisoria coyuntura.
Mi interés en esta presentación es plantearalgunos de los retos que se nos presentan enesta materia, particularmente los que se refierena la protección de los derechos de los ciudadanosen el marco de este proceso de maduración dela normatividad que deberá regir elfuncionamiento de las prácticas informáticas ennuestro país.
En una economía donde la información y elconocimiento se han convertido en una fuenteprimordial de valor no nos debería sorprender elhecho de que los temas relativos a sudistribución apropiación y seguridad ocupen unlugar central en el debate público, lainformación se ha convertido en un elementocentral para la competitividad de las empresas;no obstante la información per se carece de valorcuando no es compartida, cuando no es utilizada,distribuida o manipulada.
Lo anterior obliga a las empresas y a lasinstituciones a integrar bases de datoscompartibles, distribuibles y accesibles desdecualquier punto, por lo cual se genera, enprincipio, la serie de problemas respecto a laseguridad, vulnerabilidad e integridad de dichainformación.
En la medida en que el uso de la información seha convertido en una obsesión, a todas lucesjustificada por su potencial para finescomerciales o para mejorar la regulación socialy política, también se han potenciado los peligrospara un ámbito primordial que le da sentido anuestra convivencia democrática y social, elderecho de los ciudadanos a su privacidad.
171
Que si bien es cierto en este gran movimientohacia la digitalización universal, sustentado porlos continuos avances de la tecnología, facilitael acceso de los ciudadanos a la información y alconocimiento, haciendo realidad una de lasaspiraciones más nobles y democráticas.
El mismo proceso establece una gran zona deconflicto entre las aspiraciones de las empresasy el Estado para el manejo irrestricto de lainformación y de los derechos de los ciudadanospara hacer valer su privacidad.
De este modo, por ejemplo, el debate sobre laseguridad informática suele plantearserecurrentemente desde la perspectiva de losintereses económicos y crecientemente comoun problema de seguridad de los Estados, en lamedida en que los intereses de estos actores sehacen valer, a través del lugar privilegiado queocupan en nuestro orden social.
Las soluciones tanto tecnológicas como jurídicasque responden a estos intereses tienen, enconsecuencia, una mayor probabilidad de sergeneralizadas y adquirir el estatus denormalidad social, que permite elfuncionamiento de un nuevo orden informáticodigital.
Desafortunadamente no podemos asumir quelo que es bueno para las empresas y para elEstado es, por consecuencia, bueno para losciudadanos.
En un contexto actual, de gran efervescenciasobre los temas de seguridad y el acceso a lainformación, los avances en materia de creaciónde garantías efectivas y procurables para ladefensa de los derechos ciudadanos a laprivacidad, veracidad y manejo responsable desu información personal, hay un rezago que correel peligro de que puede convertirse enpermanente o normal y, por lo tanto,irremediablemente aceptable.
La capacidad real de los ciudadanos paradefender sus derechos no puede ser un asunto
menor, en el contexto de la creación de un ordenjurídico, alrededor de las prácticas informáticas.
Lo que está en juego es la calidad de nuestraconvivencia democrática. Lo que peligra es lavitalidad misma de nuestra libertades y esobligación fundamental que encontremosfórmulas que nos permitan establecer un ordenque permita el funcionamiento eficiente de laeconomía y la regulación social, pero tambiénque garantice a los ciudadanos el respeto a suintegridad informática.
Podemos mencionar tres aspectos centrales quedeben jugar un papel importante en estadiscusión.
El primero tiene que ver con la capacidad de losciudadanos para hacer valer, de manera efectivay real su derecho a la privacidad, la integridad, ala veracidad y al manejo responsable de suinformación personal.
No se trata de un asunto totalmente resueltopor medio de la creación de instancias queregulen el manejo y la transparencia de lainformación.
La cuestión aquí es garantizar la capacidad delos ciudadanos para gestionar, por sus propiosmedios, sus derechos. Se trata ciertamente deuna capacidad que debe ser establecidajurídicamente, pero también debe de contar conlos instrumentos tecnológicos para ser ejercida.
Tomemos como ejemplo el caso de lainformación financiera y crediticia; mientrasque esta información ha estado disponibledesde hace décadas y ha generado a su alrededoruna impresionante arquitectura tecnológicapara su manejo y manipulación por parte de lasempresas del sector, los ciudadanos apenascuentan con medios para garantizar suintegridad y existen notables limitaciones paraejercer cabalmente sus derechos, apenasrecientemente sancionados en el marco de laregulación del sector financiero.
172
Creo que una tarea central en este movimientohacia la seguridad informática, es encontrar losmecanismos para disolver estas inaceptablesasimetrías.
Los ciudadanos deben de contar con mediosreales y efectivos para hacer valer sus derechosy el Estado es responsable de garantizar que losinstrumentos diseñados para tal fin tengan lamás amplia disponibilidad posible.
Esto nos lleva a la segunda cuestión central eneste tema, que tiene que ver con la consabidabrecha digital que existe entre quienes tienenacceso informático y aquéllos que, por sucondición económica o social, carecen de dichoprivilegio.
Y nuevamente es una situación donde para hacevaler un derecho, es en un principio necesariotener acceso al medio que permite ejercerlo,entonces, el problema pasa precisamente por lasgarantías mismas para acceder al medio, en estecaso a la tecnología.
Y el acceso universal al derecho, a la protecciónde la información personal tieneinevitablemente un carácter tecnológico y demanejo digital, por lo mismo el problema de labrecha digital debe ser una prioridad del Estadopara garantizar los derechos ciudadanos, y nosólo por la no menos importante motivación depermitir un acceso democrático a la cultura y alconocimiento.
Por último, uno de los problemas que ameritauna reflexión muy cuidadosa corresponde a lanecesidad de establecer marcos jurídicos que nosobrerregulen el entorno económico. Si bien escierto que debemos establecer marcos que leotorguen claridad y transparencia al ejercicio delos derechos ciudadanos, no podemos imponerobligaciones gravosas a las empresas querequieran de bases de datos personales para sufuncionamiento sin desquiciar el desarrollo denuestra apenas emergente economía digital.
No podemos pasar por alto que somos una de laseconomías en desarrollo que menos gastan en
tecnologías de la información y decomunicaciones, y en consecuencia ya somos unpaís muy poco competitivo en este renglón.
No podemos establecer sin mayor discusión unalegislación que dé una entrada que desincentivea los distintos actores económicos que hacende la información el flujo vital de su actividad,sin hacerle un profundo daño a nuestracapacidad de generar una dinámica decrecimiento y creación de empleos que nosurgen a todos los mexicanos.
Debemos de reconocer los avances que, comopaís, hemos hecho en esta materia, tanto en losaspectos que regulan a las instanciasgubernamentales, como el que regula laoperación de la sociedad de la informacióncrediticia.
Una parte importante de la legislación enmateria de datos personales está incluida ya enestos ordenamientos, y creo que antes de quelegislemos tenemos pendiente un gran debatenacional sobre lo que debe ser el marco adecuadoen la materia.
Creo que debe ser un debate que incluya a todoslos actores involucrados, sobre todo, los actoreseconómicos que se sienten afectados por laspropuestas legislativas sometidas en estaslegislaturas.
Es imperioso también enfatizar lo que está enjuego para la vida democrática en este procesode elaboración de marcos jurídicos de lasprácticas informáticas.
Debemos, antes que nada, defender los derechosde los ciudadanos para ejercer efectivamente ladefensa de su privacidad, la integridad, veracidady el manejo responsable de su informaciónpersonal.
Pero, sin embargo, no podemos hacerlo a costadel desarrollo de nuestras incipientes industriasde información. Nuevamente es necesario queencontremos las fórmulas que den origen a unmarco regulatorio que sea equilibrado e
173
inteligente, pero más aún cuando tenemos laoportunidad inmejorable para construir unorden que justifique las aspiraciones más noblesde una modernidad facilitada por el desarrollotecnológico y el impulso de una economía digitalque abra nuevas oportunidades a miles demexicanos.
Moderador:Moderador:Moderador:Moderador:Moderador: Alonso Lujambio Irazábal.Comisionado del IFAI.
David Hernández Pérez, es Secretario de laComisión de Gobernación de la Cámara deDiputados, una Comisión que juega un papelcentral en el proceso legislativo relacionado conla iniciativa que proviene del Senado.
Ha ocupado diversos cargos dentro del PartidoRevolucionario Institucional, entre otros ha sidoconsejero político estatal en Jalisco, consejeropolítico municipal en Tlaquepaque, Jalisco,Coordinador de Capacitación en la últimacampaña de gobernador de Michoacán,Coordinador de Apoyos Didácticos de la EscuelaNacional de Cuadros del PRI; ha sido tambiénCoordinador de Capacitación en el Proceso deselección del candidato del PRI a la Presidenciade la República, coordinador de la Federación deEstudiantes de Guadalajara; miembro fundadorde la Agrupación Política “licenciado EnriqueDíaz de León”, de Jalisco; miembro fundador deVanguardia de Profesionistas Jesús ReyesHeroles; es psicólogo, es experto enneurolingüística; tiene también una trayectoriaempresarial, es propietario de la empresa ArtesGráficas.
PonentePonentePonentePonentePonente: David Hernández.
Decirles que la LIX Legislatura retomó la minutaque en origen presentó el senador García Torresa finales del año pasado, de 2004. Y sí,efectivamente estaba, como se dice yacomúnmente por ahí, en la congeladora, lasacamos a petición de él mismo, él fue el quenos recordó que ahí estaba y nos dimos a la tareade empezar a trabajarla.
Por parte de la Cámara de Diputados ya hemosrealizado dos foros muy provechosos. Nos hemosdado a la tarea de escuchar de una o de otraforma opiniones de los diversos grupos paraevitar en lo más lo que se ha venido diciendo, deque por lo regular hacemos las leyes dentro dela Cámara y detrás de los escritorios.
Pero es cierto, en la Cámara de Diputados comoen todos lados, hay opiniones diferentes,opiniones encontradas, los hay en la propia casade cada uno de nosotros.
Cuando nosotros no queremos ir a dormir laseñora quiere ya que estemos ahí acostados. Ypor cierto que a veces es cuando más gastamos,cuando ya estamos dormidos algunos de losseñores.
Decirles que nosotros estamos entre algunosdilemas. Por ejemplo, si el IFAI es realmente seaquien debe de manejar esto que para nosotroses más amplio que lo que viene manejando elIFAI. Es cierto, tiene una gran experiencia; el IFAIha dado muy buenos resultados, tiene unaestructura que se puede utilizar, pero nosotrosestamos valorando, si no debiese ser al revés, sino debiese ser que las actividades que estárealizando el IFAI en estos momentos debe deser parte de un Instituto que tendría que realizaractividades mucho más amplias.
Y ya lo decía el senador García Torres, en elsentido de que la diversidad que puede haberen la producción de datos de cada uno en loeducativo, en lo laboral, en lo económico, comofuncionarios públicos, en cuestiones médicas ymás aún allá, en lo genético, que de una u otraforma ya con el Instituto de Genoma Humanoque próximamente podremos tener, no unmapa, sino una resonancia magnética de cadauno de nosotros en donde podamos saber quétipo de medicamentos nos funcionan, qué tipode medicamentos pueden ser mejor paranosotros, cuándo vamos a tener qué tipo deenfermedades y una serie de cuestiones quepueden ser útiles para una aseguradora para nodarnos alguna prestación o para un patrón para
174
no contratarnos y una serie de cuestiones queestán puestas ahí dentro de la mesa y quetenemos que estar valorando.
Eso es lo que prácticamente el estado en el queestamos ahorita y que también estamosvalorando algo que se nos ha venidocomentando y que estamos nosotros de acuerdoen que debe ser el propio interesado quien a finalde cuentas diga no permito que mis datoscirculen de un lado para otro; porque si lohacemos como está planteado en origen, endonde automáticamente ya nadie puedemoverse, pues acabaríamos, de entrada, conmuchos empleos de muchas empresas demercadotecnia.
Sí tenemos que buscar la forma de sí protegerlos datos personales, pero también garantizarcomercios, garantizar la posibilidad de quetambién a mí me llegue la información que yoquiero, que yo necesito, que yo puedo permitiren determinado momento y esto tendría quehacerse a partir precisamente de la petición delinteresado. Y tenemos que buscar también esaforma.
También tenemos que buscar la forma que si yahay una serie de datos que nosotros dimos y estáen poder de equis banco, por ejemplo, y que conletras muy pequeñas decía que él tiene derechoa otorgarlos y porque ya lo firmamos, entoncesya puede él hacer cualquier uso de esos datos,bueno, tendríamos que poner una limitante encuanto a eso y tendría que pedir en determinadomomento la autorización. Estamos analizandotodo eso.
El presupuesto que tendría que destinarse, porejemplo, si se creara un Instituto.
Claro, que tendría que incrementarse adicionalbastante, probablemente, depende de laestructura que se pudiera crear, todo dependeríaya del espacio, nosotros estamos preparandoahorita una propuesta de dictamen con variasposiciones en donde tendremos que invitar auna mesa en cortito ya para poder platicar notan amplia con todo respeto, para poder llegar a
algunos acuerdos en donde podamos entoncessí decir qué es conveniente, si de entrada que elIFAI se haga cargo con la estructura que tiene ydentro de un Transitorio que se prepare lacreación de un Instituto para que éste absorbatodas estas actividades en un futuro e iravanzando con pasos firmes sin necesidad decrear un monstruo que a final de cuentas norinda los frutos que esperamos.
Nosotros estamos, como fracción priísta,completamente de acuerdo en sacarla en esteperíodo. De hecho platicábamos con nuestrocoordinador la semana pasada, con un grupo deempresarios incluso, hemos platicado tambiéncon otros compañeros legisladores y estánpuestos en que la sacaremos en este período,pero tendremos que sacarla con lascaracterísticas que les hemos comentando yahorita no hemos decidido, vamos a analizar lapropuesta, incluso, junto con los compañerossenadores para que no suceda de que nosotrosle hacemos las modificaciones y luego se va alSenado y resulta que nos la regresan.
Entonces, ya una vez, la semana próxima quetendremos nosotros nuestra propuesta y que loplatiquemos ya con nuestros compañerossenadores en un trabajo bicameral podamostomar una determinación, entonces,invitaríamos de nuevo a una mesa para ultimardetalles.
Y ese es el estado que guarda queprincipalmente era lo que yo quería comentarlesen esta importante reunión.
ModeradorModeradorModeradorModeradorModerador: Alonso Lujambio Irazábal.Comisionado del IFAI.
José Cipriano Gutiérrez Vázquez, Diputado de laLV Legislatura del Estado de México. Es licenciadoen Sociología de la Universidad AutónomaMetropolitana, con un postgrado en finanzaspúblicas en el Instituto Nacional deAdministración Pública.
Es actualmente como diputado Vicecoordinadorde Política Económica y Finanzas Públicas, del
175
Grupo Parlamentario del Partido de laRevolución Democrática.
PPPPPonenonenonenonenonentetetetete: José Cipriano Gutiérrez Vázquez.
Quienes ejercemos hoy función pública quedelibera y decide sobre la configuración de leyes,la configuración de marcos normativos, tenemosentorno un tema tan de vanguardia en nuestropaís y tan necesario de discusión en términos delo que la realidad actual obliga a México yevidentemente a los estados.
Yo quisiera dividir mi participación, si ustedes melo permiten, en dos partes:
Uno. Lo que sería el comentario que se me solicitósobre la ley propiamente de protección de datospersonales y otra que corresponde a un tema decircunstancia Orteguiana, en términos derealidad concreta como diputado del Estado deMéxico, que tiene que ver precisamente con unproblema esencial y fundamental de datospersonales.
Abordaré el primer tema diciéndoles que cuandose me invitó a comentar, a hacer un comentarioy una opinión sobre el estado de la cuestión dela protección de datos en nuestro país, tenía yovarios cuestionamientos: en marcar el problema,revisar lo realizado hasta este momento, entérminos de marcos normativos.
Pero es precisamente hoy, con la exposición elsenador Antonio García Torres, que se me clarificamucho más este tema, porque para mí tiene eneste momento dos componentes esenciales enel caso mexicano.
Uno que tiene que ver fundamentalmente conel área conceptual, doctrinal y evidentementelegal para transformar el marco normativo y otraque tiene que ver con el aspecto instrumentalde quién es, cómo se hace, cuánto se le asignade presupuesto para tener esta función.
En el caso del marco conceptual y doctrinal, decíayo, me queda muy claro hoy en la exposición quehace el senador, porque aunque con la
clarificación que él ha hecho en términos de losmodelos americano y europeo, yo no quisierareferirme a eso, sino a dos elementos, dos marcosque nos pueden ayudar.
Evidentemente la necesidad de protección delos datos personales nace con una necesidadeconómica de contenido económico. Eso es algoque no se cuestiona: La protección de las basesde datos, la transferencia, etc., pues es entérminos comerciales, en términos económicos.
De hecho ya aquí se ha mencionado, todo estode lo que nos dimos cuenta en nuestro país, laventa de los bancos de datos, etc. O sea, tienenun fin económico comercial.
Pero en los últimos tiempos, en los últimosmomentos, se ha introducido otra variante, otroelemento, otra vertiente, que son los derechosciviles, los derechos ciudadanos, y esto tambiéncorresponde ya, quizá, a la entrada de la cuartageneración de los derechos civiles o ciudadanos.
Más allá de los civiles, de los políticos, de loseconómicos, hoy tenemos éstos de la protecciónde la privacidad, del problema de la publicidadde los datos.
Entonces tenemos dos componentes esencialesen esta discusión, tanto conceptual, doctrinal ylegal: Una que tiene que ver con todo lo que esla economía, con todo lo que es la necesidadeconómica, el momento que vivimos de lasociedad informatizada, de la digitación de lapersona, etc. Toda esa discusión teórica, políticaque tiene que aterrizar en un marco normativo.
Y me parece que es importante rescatar y nodejar de enfatizar que en México debemosaprovechar, si bien tenemos un rezago demuchos años, no debemos dejar de aprovecharla oportunidad de introducir, con todaresponsabilidad, el marco de los derechos civilesy ciudadanos, de la protección de la persona, dela intimidad, de la honorabilidad de la persona.
Si en las discusiones que se estén llevando acabo en la Cámara de Diputados Federal este
176
componente no tiene un peso específico,seguramente vamos a tener muchos problemasposteriores, por elementos que voy a comentarmás adelante.
Pero me parece que este elemento esfundamental de enfatizar: Sabemos que hay unanecesidad económica de la protección de losdatos personales, en términos de lo que hoy esel comercio internacional y las necesidadeseconómicas del siglo XXI.
Pero si no tomamos en consideración losderechos civiles, los derechos ciudadanos, laprotección a la intimidad, estaríamos haciendoun marco normativo cojo y un marco normativoanticuado, un marco normativo que se desligade la realidad que estamos viviendo hoy.
En el caso de la componente instrumental, escierto, hay un, digamos, el mayor escollo que seestá teniendo en términos de avanzar en lalegislación, en ya tener el marco normativo esquién va a aplicar esa norma, quién va a aplicaresa regulación. ¿Será algo superior o quecontenga la transparencia? ¿O la transparenciadebe contener la regulación de esta ley de datospersonales?
No es un tema menor tampoco, pero es un temaeminentemente de componente político.
Es un tema de cuál es la institución. Creamosuna institución nueva que compagine con elIFAI, creamos una institución o le damosatribuciones al IFAI, para que regule esto a partirde esa ley, o creamos un organismo o unainstitución que contenga al IFAI dentro de susfunciones, que contenga las funciones tambiéndel IFAI y adicionándole las funciones deregulación en términos de la Ley de Protecciónde Datos Personales.
Es un tema político, y como aquí el diputado a lomejor ahí lo tendrán que discutir los diputadosfederales, que son en este momento a quienesles corresponde la discusión, quizá no es un temafácil de tratar en un encuentro como éste, perome parece que sí hay que puntualizar que ahí
está el problema político, de los juegos de podery de la creación de instituciones. Y ahí es dondeestá detenido el problema.
Porque ya el problema presupuestal es menoren términos de la resolución del problemapolítico, de quién será la instancia que regule.Pero eso se tendrá que discutir, se tendrá queresolver. ¡Ojalá! como aquí se ha expresado, eneste mismo periodo ordinario de sesiones paraque podamos ya, los estados, empezar a trabajar,si es que es una ley federal, en lo quecorresponda en el ámbito de cada quien.
Me parece a mí, ahí me atrevo a dar mi opinión,que el IFAI puede ser la institución que tengabajo su responsabilidad, la aplicación y vigilanciade esta ley, de esta ley federal que pudieraresultar de la discusión política dentro de laCámara.
Yo sería partidario de que el IFAI fuera lainstitución que estuviese regulando y vigilandoeste nuevo ordenamiento. Pero es una opiniónparticular, que con responsabilidad, con respectome atrevo a hacer en esta mesa.
Y decía yo esto en cuanto al comentario general,evidentemente la ley, desde mi punto de vistaes necesaria por cuestiones económicas, porrazones económicas que son evidentes haciatodos, necesitamos, insisto, darle un pesoespecífico al componente de la preservación ola vigilancia de los derechos civiles, los derechoshumanos y ciudadanos. Me parece que eso tieneque estar dentro de la discusión.
Y tercero, me parece que el Instituto, el IFAI,debiera ser la instancia que regulara y vigilaraeste ordenamiento.
Hasta ahí yo dejaría este comentario entérminos generales, pues todo lo demás, ya aquíhemos escuchado, están los especialistas, estánquienes están discutiendo la ley en concreto.
Nosotros en el Estado de México no tenemostodavía esta discusión. Acabamos de terminaruna discusión sobre el área de transparencia,
177
seguimos discutiendo la Ley de Transparencia,todavía.
No tenemos muchos elementos para abonar entérminos muy concretos de lo que estásucediendo en el Estado de México. Pero meatrevo yo a dar esta opinión, dado que se mesolicitó en estos términos.
Pero decía que también esta invitación a discutiro a opinar sobre una ley de protección de datospersonales se me hace en momento de unacircunstancia muy particular que tiene que vercon datos personales, que tiene que ver con lapublicidad de ciertos datos sensibles, parautilizar ya la terminología ad hoc en que se estáutilizando en términos de la discusión de lapropia ley de protección de datos personales.
Y yo me preguntaba, decía, cómo es interesanteesta invitación a participar, porque tenía yo enmente bajo este problema que todos conocemos,un escándalo político en el Estado de México,cómo hemos venido trabajando con muchostraspiés y con muchas desconfianzas en laconformación de la democracia mexicana, lademocracia en México.
Tenemos 10 años en una lucha que vadesbrozando el camino de estas desconfianzas,desvelando estos intrincados pasadizos de laconformación de marcos normativos de lademocracia, donde la Ley de Protección de DatosPersonales es, sin duda alguna, un elementosustantivo.
No hace mucho, una década, la desconfianzasobre los procesos electorales nos obligó a unadiscusión profunda, extensa, intensa paraconformar instituciones como hoy lo tenemosen el Instituto Federal Electoral. La desconfianzasobre los procesos electorales nos obligó adiscutir las reglas para el acceso al poder, latransparencia, la confianza en los procesoselectorales.
Todavía hoy tenemos discusiones sobre el propioInstituto, creo que no vamos a dejar de tenerlo,es una institución pública en donde se toman
decisiones importantes y como tales siempre sondiscutibles.
Pero avanzamos hacia finales de la década delos 90 y se nos presenta otro gran problema dela construcción de la democracia en México, quees la transparencia, la duda sobre el ejercicio delpoder y del gobierno, sobre el ejercicio de lafunción pública, qué hacen y como lo hacenquienes son funcionarios y quienes sonservidores públicos.
Nos lanzamos a una discusión teórica,conceptual, política sobre la transparencia ylogramos establecer una Ley de Transparenciaque hoy todavía sigue siendo discutida tanto anivel federal como a niveles locales. Todavía noterminamos en los estados de la República paraque todos tengan una ley correspondiente a lafederal en términos de transparencia y acceso ala información.
Y si bien nos explicaba el senador que fuepresentada la Ley de Protección de DatosPersonales antes que la Ley de Transparencia.Hoy, con las realidades que estamos viviendo, lascircunstancias que estamos viviendo nos damoscuenta que hoy, incluso, tenemos un problemade credibilidad en el ejercicio de la funciónpública a través de la cuestión de los datospersonales en términos patrimoniales y detransacciones financieras.
Por eso les decía es azaroso este camino de laconfianza que es uno de los elementosfundamentales de la democracia en nuestropaís. Pero, bueno, así están las cosas, así lo hemosvenido haciendo, la desconfianza de los procesoselectorales, la duda sobre el ejercicio del poder ydel gobierno, y hoy la circunstancia de la duda yde que se tiene que hacer en términos de losdatos personales en términos patrimoniales ytransacciones financieras de quienes hanejercido la función pública o la representaciónpopular.
Y por eso decía que es un tema que me hacereflexionar porque nosotros lo tenemos en elEstado de México y, sin duda alguna esto nos
178
obliga a revisar, no sólo atender la creación deuna Ley de Protección de Datos Personales conlas connotaciones que ya he mencionadoanteriormente, sino nos obliga a revisar losmarcos normativos en términos de la Ley deServidores Públicos, de la obligatoriedad, de lapresentación de los datos patrimoniales y hoyde la discusión sobre si también es necesario yposiblemente obligatorio que quienes ejerzanfunción pública o representación populartengan que hacer públicas sus transaccionesfinancieras y patrimoniales.
Porque eso me parece que es un reclamonecesario, la realidad está ahí, la duda se siembraen la ciudadanía y tenemos que responder. Ytenemos que responder en base a institucionesy en base a marcos normativos quedefinitivamente hoy tenemos pero que nosresultan insuficientes.
La Ley de Transparencia del Estado de Méxiconos permite un marco de solicitud deinformación sobre estados patrimoniales defuncionarios públicos y sin embargo lasinstituciones no tienen esa agilidad o no tienenesa voluntad política que se debe tener tambiénpara cumplir la ley.
Necesitamos revisar esos otros marcosnormativos que son complementarios o que sonincidentes en la creación de una ley federal ouna ley general de protección de datospersonales.
¿Hasta dónde los datos personalesfundamentalmente patrimoniales y detransacciones financieras de servidores públicos,de representantes populares o ex funcionarioso ex representantes deben ser públicos? Y meparece que esta es una discusión que tendremosque dar en México porque así lo requiere laconstrucción de nuestra democracia, laconsolidación de nuestra democracia.
Hoy ahí está la duda, hoy ahí nos surge lainquietud y tenemos que atenderlo coninstituciones y con marcos normativos.
Si no le damos una respuesta correcta por la víainstitucional y legal a este tipo de circunstanciasno estaremos abonando en mucho en lacreación de la confianza en nuestro país, ennuestros gobernantes, en nuestrosrepresentantes, no estaremos abonando en latransparencia, no estaremos abonando, sobretodo, en la protección de los datos personales delos ciudadanos en general.
¿Por qué? Porque los ciudadanos en generaltambién tienen patrimonio, tienentransacciones financieras y necesitan laconfianza en un país que esté gobernado contransparencia y con confiabilidad.
Ese es un tema que me surge a mí, que me hacereflexionar a partir de la discusión de una Ley deProtección de los Datos Personales en este tema,porque la realidad los rebasa y la realidadmexicana como se ha dicho muchas veces,rebasa las fantasías y rebasa los surrealismos.
Y ahí lo tenemos y tendremos que reflexionaren ello.
ModeradorModeradorModeradorModeradorModerador: Alonso Lujambio Irazábal.Comisionado del IFAI.
Álvaro Canales Gil fue Secretario General de laAgencia Española de Protección de Datos y esactualmente Subdirector General de Inspecciónde la propia Agencia Española.
Ha colaborado en diversas publicaciones sobreel tema, entre ellas La Agencia Española deProtección de Datos Personales, Estructura yFunciones, publicada en la obra La Protecciónde Datos en Iberoamérica, publicado en Valenciaen el año de 2005. En este año se ha publicadootra obra en Madrid coordinada por él que llevapor título Código de Protección de Datos.
PonentePonentePonentePonentePonente: Álvaro Canales Gil.
Estoy muy orgulloso de estar aquí representandoa la Red Iberoamericana y también a la AgenciaEspañola de Protección de Datos.
179
Y es para mí un tremendo honor que hayantenido la generosidad de poner a disposición deun miembro de la Red y de un miembro de laAgencia Española de Protección de Datos el daruna opinión y establecer una programación deprincipios y garantías que se puede deducir o sepuede analizar desde el punto de vista de latramitación parlamentaria de la Ley Federal deProtección de Datos de los Estados UnidosMexicanos.
Lo primero que quiero decir es que la intervenciónquiero hacerla meramente descriptiva, lanzandouna serie de interrogantes y analizando unaserie de deducciones que no vienen del propiotexto originario, a mi juicio, de febrero de 2001,como nos ha explicado el senador García Torres,sino que ya surge antes, surge antes del acuerdode la asociación económica, concertaciónpolítica y cooperación firmado entre laComunidad Europea y los Estados UnidosMexicanos en el año 2000.
Como se ha dicho, en la evolución de lanormativa de protección de datos en los EstadosUnidos Mexicanos existe desde la presentacióndel proyecto García Torres hasta nuestro díasuna serie de regulaciones específicas en materiade protección de datos, hemos oído hablar enestas jornadas de la ley del año 2002, de losservicios de las sociedades de la informacióncrediticia que se aprobó en enero de 2002 yhemos oído hablar mucho y tendido de la LeyFederal de Transparencia y Acceso a laInformación Pública Gubernamental, de juniode 2002.
Pero digo que antes de este proceso existe esteacuerdo entre la Comunidad Europea y México,y en este acuerdo del año 2000, en su artículo 51,se dice que “las partes convienen en garantizarun grado elevado de protección respecto altratamiento de los datos de carácter personal yde otra índole, de conformidad con las normasadoptadas por los organismos internacionalescompetentes en la materia y por la comunidad”.
Continua diciendo el artículo 51, en su punto dos,“a tal efecto, las partes tendrán en cuenta lasnormas contempladas en el anexo”.
Acudimos al anexo y allí encontramos que lasnormas de referencia de las más significativasde entre las cuatro que menciona, están elConvenio 108 del año 1981 del Consejo de Europay la Directiva 95 46 del Parlamento Europeo ydel Consejo del 24 de octubre del año 1995,quienes hayan seguido las sesiones de ayer, lohan citado otros ponentes y ha sido tratadoespecíficamente por el miembro del Consejo quenos acompaña en estas jornadas.
En esos instrumentos lo que todos ellos señalanes una serie de principios y una serie de garantíasy de derechos que se reconocen al titular de losdatos de carácter personal.
Por citarles el primero de los instrumentos quehe mencionado, el Convenio 108, en los principiosbásicos de protección de datos trata del principiode calidad, trata del principio de seguridad, tratatambién del principio de información, artículos5, 7 y 8 del propio Convenio 108.
Y hablando de derechos a los ciudadanosdenomina a estos derechos, derecho deconformación, derecho de comunicación yderechos de rectificación y borrado.
Asimismo, la Directiva 95 46, que precisa yaamplia los principios contenidos en el Convenio108, vuelve a establecer una ampliación y vuelvea pormenorizar y avanzar en el terreno abiertopor el Convenio 108.
Por tanto, yo creo que los Estados UnidosMexicanos al haber firmado ese acuerdo, hanapostado por una serie de principios, por unaserie de garantías que están recogidos en estosinstrumentos.
Y, por tanto, no se trata en este modelo, al cualhan prestado su consentimiento de apostar porun modelo europeo o por un modelonorteamericano.
180
Yo entiendo que se trata de apostar por unmodelo mexicano, en el sentido de que lo quecompartimos los europeos es un foro común, unfactor común de principios y garantías.
Y luego cada Estado, en el momento detransposición de las Directivas, en el momentode reglamentar en el ordenamiento jurídicointerno aquella parte del derecho comunitarioque nos vincula establece su propiaconfiguración interna.
Por tanto, voy a hacer referencia a estosprincipios que disciplinan y que además han sidomencionados nuevamente en la Reunión deMontreux de este año, del año 2005, como unosPrincipios que deben de ser comunes a todoproceso de regulación en materia de protecciónde datos, en este caso en Montreux referido a laglobalización y a la protección de datos decarácter personal.
Se ha dicho que en definitiva la protección dedatos de carácter personal tiene un contenidoeconómico y es un contenido económico que yocreo que es innegable. Las empresas necesitandatos de sus clientes, necesitan datos de nuevosclientes, necesitan datos de proveedores,necesitan hacer introspección de nuevosmercados y eso es fundamental para que sigancreciendo y ampliando su balance de resultados,su cuenta de resultados, sus dividendos y suprogresía.
Debe de ser respetando y entrando en unasreglas de juego que cada Estado y en este casolos Estados Unidos Mexicanos pienso que lodeberán hacer así, estableciendo undeterminado modelo, optando por un sistemade Opt-in, en el sentido de que estos principiosdel Derecho Comunitario y del Convenio 108 delConsejo de Europa, apuestan por elconsentimiento del interesado y una serie deexcepciones a este principio, que deben de estarestablecidas en una norma con rango de ley,porque estamos hablando, lo hemos dicho hastala saciedad en estas jornadas, de un derechofundamental a la protección de datos decarácter personal.
Por tanto, con estos principios en el tema de laprotección de datos de carácter personal, aquelque trata el dato asume y tiene que demostrar yasumir la carga de la prueba, de que eltratamiento de datos que ha efectuado esconforme a la norma.
Es decir, que tiene el consentimiento delinteresado o que hay una habilitación legal quele permite tratar ese dato sin el consentimientodel interesado. Este es un planteamiento muygenérico, pero es un tratamiento en la esencia yen el factor común del modelo que describo.
Me gusta mencionar el siguiente asunto: Enalgunos Estados el dato sensible es el datoeconómico. Yo he oído en alguna ocasión que laprotección de datos aplicado al sector financieroes absolutamente inviable.
E oído también en relación a este comentarioque la protección de datos acabaría con elsecreto bancario.
Yo les planteo la siguiente cuestión: Si no existeuna normativa horizontal de protección dedatos con el modelo y las características que elEstado decida, cualquier persona, cualquieragente que pueda comprar libremente en elmercado cualquier tipo de base de datos puedeutilizarlas para cualquier tipo de actividad legalo ilegal, y para esta actividad no necesita saberqué saldo o qué valores tiene un determinadoseñor, una determinada familia en una cuentabancaria, simplemente entrecruzando una seriede datos, especialmente relevantes oseleccionados, se puede saber, creo que conbastante precisión si una persona, una familiatiene una determinada posición económica ypatrimonial, y por tanto es susceptible deconfigurar el perfil que la gente que estáhaciendo ese cruce de datos pretende obtener.
En un entorno de ausencia de regulación si sobrelos datos personales existe un innegable valoreconómico, lógicamente los sectores quetrabajan en este ámbito, están absolutamentefelices, absolutamente cómodos sin cumplirningún tipo de obligación, y por tanto muchas
181
veces intencionadamente se confunde laprotección de datos con otra serie de parámetrosque el propio sistema de protección de datosadmite excepciones al régimen general yhorizontal de aplicación a la globalidad delsistema.
En cuanto a la situación en los Estados UnidosMexicanos tenemos, por un lado, la Ley Federalde Transparencia y Acceso a la InformaciónPública Gubernamental. Es decir, tendríamosuna norma con rango de ley que regularía todoel acceso a esta información pública de carácterfederal.
Existe también una ley de las sociedades de lainformación crediticia, entidades crediticias delaño 2002, sí tendríamos otra norma con rangode ley que regula este tipo de sociedades de lainformación. También tendríamos otra serie desectores excluidos de la propia normativa deprotección de datos, como puede ser el régimenelectoral, en el cual a pesar de estar excluida lanormativa de protección de datos, como creoque su propia norma indica aquellosdetentadores, partidos políticos que acceden aesa relación electoral para afrontar unos nuevoscomicios tienen que no desviar la finalidad parala cual la obtuvieron, y por tanto el resto quequeda de regulación de otros sectores públicosy de los sectores privados, es lo que sería objeto,en principio de esta regulación de la Ley Federalde Protección de Datos de carácter personal enlos Estados Unidos Mexicanos.
Yo he descendido un poco al texto de la normadel proyecto, y advierto algunas cuestiones queno me voy a resistir a comentar.
Por un lado, la norma tiene como objetogarantizar los derechos de los ciudadanosmexicanos.
Sin embargo se observa en la norma que no sesabe muy bien cuáles son los contornosconcretos, de qué derechos disponeconcretamente el ciudadano mexicano, porquese citan en diferentes partes y yo he optado porhacer caso y relatar los derechos que se recogen
en el artículo siete, en la fracción cuarta cuandohabla de los derechos de acceso, rectificación,actualización, complemento y supresión dedatos de carácter personal.
En segundo lugar. En el ámbito objetivo seexcluye una serie de sectores, de ámbitos, unosde los cuales son las bases de datos de titularidadpública cuyo objeto por ley, sea almacenar datospara su publicidad con carácter general.
Yo no sé cómo están reguladas, lo confieso, lasnormas sectoriales que regulan esta materia ysi es así que hay una norma habilitante conrango de ley que dice que la información de esosregistros públicos es accesible en su integridadpor cualquier tercero, no tengo nada que decir.
Lo que sí digo es que nosotros en la aplicación deeste apartado tenemos la definición de unconcepto, que es el concepto de interésconocido, es decir, la manera en la cual modulaaquél que administra los datos, si aquel terceroque le solicita un dato de un titular tienelegitimación y tiene justificación suficiente parapedirle esos datos que le está solicitando a eseregistro que tiene naturaleza pública, pero queen modo alguno su norma constitutiva permiteun acceso indiscriminado de terceros a esainformación.
También les quería comentar algunos aspectosdel proyecto que se refieren a datos queaparecen publicados en medios decomunicación oficial. Entiendo que estos datosque se publican en medios de comunicaciónoficial tendrán la consideración de fuenteaccesible al público y por tanto de esa naturalezase derivaría que cualquier tercero puede tratarlos datos sin el consentimiento del titular.
Creo que es una cuestión que planteo laincógnita o la pregunta porque no estoy segurode que esto sea así.
En cuanto al esquema de principios, el principiodel consentimiento, en cuanto a la recogida delos datos, es una garantía fundamental, es decir,el consentimiento inequívoco del titular se basa
182
en que aquél que trata los datos, que recoge losdatos, que los almacena, que los recopila, que losrecolecta tiene que informarle al titular de losdatos de qué datos recaba, con qué finalidad, paraqué, si hay sesiones previstas, etcétera.
Y aquí en el proyecto se hace una estructurainversa en el sentido de que no se recogeexpresamente esta información en el momentode la recogida de los datos, pero sí se recoge elderecho del ciudadano a solicitar al responsableque le facilite la información sobre los mismosextremos a los que se refiere la directiva 95 46de la Comunidad Europea.
Por tanto, creo que no sería muy congruente elpibotar una información sobre unos requisitospara dilucidar un consentimiento inequívocoque no estuviese previamente habilitado poruna cláusula de recogida de datos.
En penúltima cuestión que les quería plantearrespecto al modelo y a los principios, insisto, delacuerdo del año 2000 entre la ComunidadEuropea y los Estados Unidos Mexicanos, megustaría hacer referencia a esta cuestión, a lacuestión de los datos sensibles.
Respecto de los datos sensibles dentro de loscuales se recogen los datos de salud, se establecela necesidad de un consentimiento expreso ypor escrito y, sin embargo se dice que esteconsentimiento no es preciso, simplementecuando se vaya a facilitar al ciudadano unaasistencia médica, una prevención o undiagnóstico médico sobre su estado de salud.
Pero no se relaciona esa falta de consentimientoen el momento de tratar los datos sensibles sinel consentimiento del titular, no se relaciona conuna situación extraordinaria que se produzcaen al salud del propio interesado, cosa que sinembargo sí se dice cuando se habilita laposibilidad de la transmisión de esos datos desalud a un tercero.
Creo que en este apartado, respecto al tema delos principios que relativa en un principio seríaoportuno recapacitar.
Por último, les quería plantear una cuestión quesé que puede ser delicada, pero creo que debomencionar a la hora de analizar el proyecto. Y esla figura de las sociedades de información,porque he dicho que en el año 2002 se aprobó laLey de Sociedades de la Información Crediticia,es una norma que tiene un ámbito bien concretocomo nos lo han explicado en la sesión anteriory sin embargo, aparece esta figura de lassociedades de la información respecto de lascuales el proyecto no identifica con empresasque se dedican al marketing directo ni a laprospección comercial y tampoco se identificancon las sociedades de información crediticia.
Se establece un filtro, una autorizaciónadministrativa previa del Gobierno Federal paraconstituirlas, como una posibilidad de incluso lasautoridades fiscales les proporcionen datos y, sinembargo, en algunos casos a estas sociedadesde información crediticia que hacen informes oreportes sobre determinados ciudadanos se lespermite facilitar, obtener datos de salud encontra de las normas de transmisión de datosque establece el artículo 23 en su fracción II.
Por tanto, quiero hacer mención a este tipo desociedades, no sé si son sociedades de lainformación de carácter crediticio llevadas acabo por entidades comerciales, por empresas,no sé si se refiere a otro tipo de sociedades deinformación, reconozco mi ignorancia en esteasunto, pero les quiero plantear estascuestiones respecto al estado y situación delcrédito.
Como conclusión les quería volver al origen demi intervención. Creo que por encima no, perotambién como un documento complementarioa las iniciativas llevadas a cabo tanto en elSenado, como en el Congreso de Diputados, noconvendría perder de vista este acuerdo deasociación económica, concertación política ycooperación entre la Comunidad Europea y losEstados Unidos Mexicanos, porque creo que enese instrumento ratificado por México tenemosuna referencia a una serie de principios y degarantías que pueden modular perfectamenteel modelo de protección de datos mexicanos y
183
en definitiva en un futuro llegar a obtener porparte de los Estados Unidos Mexicanos elreconocimiento de un nivel de protecciónadecuado y equivalente al de la Unión Europea.
ModeradorModeradorModeradorModeradorModerador: Alonso Lujambio Irazábal.Comisionado del IFAI.
Antes de pasar a dar respuesta a varias preguntasque ya están aquí entre nosotros, creoimportante rescatar una idea central de laexposición última de don Álvaro.
La búsqueda del modelo mexicano. Creo queestamos en una coyuntura histórica en eldesarrollo de este derecho en el mundo, endonde se abre un espacio extraordinario a mijuicio para la creatividad; armonizar estos valoresque insistentemente hemos estado analizandocreo que es el gran reto.
Y a mi juicio si México lograra resolver de algúnmodo creativamente esta tensión, armonizarla,creo que se pondría a la vanguardia de estedebate y creo que de algún modo la iniciativadel senador apunta en ese sentido, quizá, conalgunos matices si se quiere o desarrollos máspuntuales de algunas normas.
Yo debo decir, por otro lado, respecto de un temaque ha estado aquí en la mesa y lo digo contransparencia, porque esa es una obligación deesta institución, que en el IFAI ciertamente sobradecir esto: no somos grupo de presión, somosautoridad responsable.
Lo que yo les he querido transmitir a nombre dela institución senadores federales es que en elIFAI tendríamos la mejor disposición de asumiresa nueva responsabilidad, una responsabilidadpública que supone la aprobación de una nuevaLey de Protección de Datos Personales.
Hemos analizado la experiencia francesa de dosinstituciones que ha generado colisión, hemosvisto la experiencia inglesa reciente, la dealgunos estado de la federación canadiense, endonde la fusión en una institución de estas dosresponsabilidades ha sido exitosa.
En todo caso, quiero expresarles nuestra mejordisposición para compartir los datos quetenemos, esa es nuestra prioridad de contribuirconstructivamente a su debate, diputado,senador.
Si les parece bien me gustaría queprocediéramos a dar respuesta a las preguntasque ya he distribuido, en el mismo orden en elque ustedes fueron interviniendo a lo largo deesta deliberación.
En consecuencia, le pediría a Francisco JavierAcuña que diera breve respuesta,
PonentePonentePonentePonentePonente: Francisco Javier Acuña.
Me toca a mí atender el comentario del doctorJulio Téllez Valdés que es investigador dejurídicas de la UNAM y que como él lo dice aquíhago énfasis a los señores legisladores y en estecaso, por lo pronto, a los señores diputados lescorresponde el turno de dar una respuesta degran entidad a un tema que tiene que seratendido porque no puede, eso sí, quedar en elaire, no puede quedar estancada la oportunidadde resolver el asunto en forma adecuada.
Ya lo decíamos, en el Estado democráticosiempre se ha resuelto primero el tema de laprotección de datos personales e incluso el temadel acceso y la transparencia a la informaciónpública.
En algunos lugares ha sido simultánea laexperiencia y ha sido afortunada.
México emprendió una ruta distinta. Este forodemuestra que hay un compromiso crecientepor dar a esta cuestión ya una salida, esperamosque decorosa.
Y de esta manera pedimos a los señoreslegisladores que, en consonancia a suresponsabilidad gravísima sobre la cosa pública,incidan favorablemente y tomen de este forolas mejores recetas, para adecuar su creación, lacreación legislativa que necesitamos.
184
PPPPPonenonenonenonenonentetetetete: Antonio García Torres.
Aquí está una pregunta que dice: ¿Consideraimportante que el futuro Instituto de Protecciónde Datos Personales sea regulador y tambiénposeedor de los datos personales o usted quépiensa?
Yo le contestaría que de acuerdo con el proyectoy aquí ha habido una confusión en muchaspersonas interesadas en el tema.
El Instituto, si es que se crea, no tiene comofunción recabar los bancos de datos que existenen este país que, por otro lado, yo quiero decirleque son miles y miles de bancos de datos.
Cualquier profesionista tiene un banco de datos.Cuando uno va con un doctor le pregunta endónde vive, su teléfono, dónde lo puedo localizar,sus parientes, a quién le avisamos, y unprofesionista va formando un banco de datos.
De acuerdo con el proyecto de esta ley, si eseprofesionista esos datos los va usar sólo para elejercicio de su profesión, no tiene ningunaobligación de registrar ese banco de datos.
Si él va a transmitir los datos personalesentonces sí ya tiene la obligación, primero, deregistrarlo ante el Instituto y después de pedirla autorización del titular de los datos.
Pero esto es por señalar un ejemplo. Cualquiercadena de tiendas, de restaurantes, de hoteles,todos tienen bancos de datos que hoy en día enMéxico no sabemos ni cuántos son ni para quélos usan ni quién los maneja ni qué destino lesdan a los datos de cada quien. Por eso laimportancia de tener esta ley.
Entonces, aclarando, no hay la obligación de queel Instituto tenga todos los bancos de datos. ElInstituto va ser el órgano regulador para sabercuántos bancos hay, dónde están, quiénes sonlos responsables de los bancos, quiénesrecolectan, para capacitar, para informar, paracorregir esos datos, cuando el interesado sienta
que lo están afectando con datos falsos o condatos que no están correctos, para ampliarlos,en un momento dado, hasta para solicitar sucancelación.
Entonces, aquí sí que quede muy claro que elInstituto no va ser el dueño de todos los bancosde datos ni va a recolectar los bancos, no; cadaquien tiene su banco y lo maneja.
Lo que el Instituto va a manejar es nada máscuál es el banco, en dónde está, quién lo maneja,para qué lo utilizan.
Tengo otra pregunta que dice que si considerausted que para reformar o complementar unaLey de Datos Personales o promover laautorregulación sea necesario legislar en formaclara y específica en materia de daño moral.
Yo creo que sí, yo les diría que tengo por ahípresentada una iniciativa sobre reformas encuanto al daño moral y que también es algo queestoy impulsando. Definitivamente sí lo creomuy importante y muy necesario.
Hay aquí otra pregunta más, que en lo máscentral dice que se está trabajando con tresborradores sobre esta Ley de Datos Personales.
Yo aquí quiero decirles, a reserva de que el señordiputado también tome la palabra en este tema,que solamente hay una minuta que fueaprobada por unanimidad en el Senado de laRepública a la que me referí en mi exposición yque fue turnada a la Cámara de Diputados en elaño 2002.
Que después de esa minuta, yo en lo personalhe seguido trabajando el tema, he asistido amuchos foros internacionales, he estado enBuenos Aires; he estado en Guatemala también,invitado por el doctor José Luis Piñar.Colaboradores de mi oficina han asistido a otrosforos en Cartagena de Indias y en Madrid, porquehemos tenido un gran empeño en que estainiciativa llegue a feliz término, y que Méxicocuente con esta legislación.
185
Hay una minuta en Cámara de Diputados y hayun documento de trabajo, que así yo le hedenominado, para no llamarle ni siquieraanteproyecto, porque este tema ya está en laCámara de Diputados y ellos son los que van adictaminar. Lo que yo he pretendido es que eldictamen que ellos saquen en un momentodado ya vaya con el conocimiento de nosotros losenadores, para que como él lo dijo, ya no nos loestemos peloteando; sino que como ellos loaprueben al regresarlo a Cámara de Senadores,nosotros también lo aprobemos y ya pase a serley.
Hay la minuta y un documento de trabajo en elque ha participado mucho el Banco de México,por conducto del Banco de México la Secretaríade Hacienda y últimamente también laSecretaría de Economía. En un afán de lograr launiformidad de criterios.
Son nada más esos dos documentos, y yotambién relaté que el documento de trabajo lohemos facilitado a los sectores interesados, a lasgentes que manejan redes de Internet, desoftware, de marketing, de todo, para que den suopinión, y para que si esta ley sale finalmentevaya lo más ampliamente conocida, y sobre todoa los sectores a los que va destinado.
PonentePonentePonentePonentePonente: David Hernández.
A los comentarios que hace el senador.Efectivamente, no tenemos un documento.¿Qué es lo que hicimos? La minuta que nos envíael Senado con las observaciones que nos envíaposteriormente el senador García Torres, con lainformación que nos han estado haciendo llegaren los foros algunos de los participantes,nosotros estamos elaborando una propuesta.
Y ese será, en determinado momento eldocumento sobre el que se tendrán que hacerlas discusiones. Gracias.
PPPPPonenonenonenonenonentetetetete: María Eloisa Talavera Hernández.
Tengo dos preguntas. Una del señor HéctorGuerrero Huertas, que pregunta si habrá algún
trabajo conjunto para impulsar esta iniciativade datos personales, pero que esté equilibradaantes de dar un dictamen final.
Y hay otra del señor Everardo MaldonadoMartínez, que pregunta: Desde el 2001 sepresentó la iniciativa, y que cuáles son las causaspor las que no se ha aprobado.
Debo de mencionar que en efecto la minuta estáen la Comisión de Economía y está turnadatambién a la Comisión de Gobernación.
Y no es que no haya un consenso al interiorúnicamente de la Cámara de Diputados entrelos grupos parlamentarios.
Yo creo que va más allá por el tema que seplantea y las dos perspectivas que se planteanen la discusión de esta minuta o de esta ley, quetiene que ver con la protección de los datospersonales, el garantizarle al ciudadano laseguridad, pero también cómo lo hacemoscompatible con toda una actividad comercialque se viene desarrollando en el país, y que comolo mencionaba hace un momento, es incipiente,va naciendo y en principio hemos estadotrabajando, preguntando, consultando conusuarios interesados de esta ley también deprotección de datos personales, y me refiero puesa las cámaras de la industria electrónica, a lascámaras de mercadotecnia, a las asociacionesbursátiles, entre otras.
Lo que nosotros hemos levantado con ellostambién es que se requiere de un análisis muchomás profundo del tema y para poder tener unadecisión que sea verdaderamente consensuada.
En ningún momento del proceso de esta ley, porejemplo, se ha invitado a la industria a participaren la elaboración; yo creo que estos foros sonimportantes porque se abre el tema de discusióny se recaban las opiniones de todas las partesque se ven afectadas también con laconstrucción de un instrumento tan importantecomo es esta ley.
186
También hay preocupaciones importantes conrespecto a la iniciativa. Hay obligaciones, porejemplo, a quienes se dediquen a venderproductos, obtener un consentimiento previo yexpreso de los individuos para poderles enviarinformación o transmitir datos. Y otra serie decuestiones.
Establece también facultades discrecionales ala autoridad con el fin de definir una tecnologíaa emplearse en el manejo de archivos. Y tienevarias implicaciones; es decir, para que unindividuo pueda tener acceso a informaciónreferente a una promoción directa de bienes yservicios, y/o servicios, tendrá que enviar primerosu consentimiento a cada empresa; que no es loque precisamente ocurre en el mundo.
Hay afectaciones que esta iniciativa propicia,por ejemplo que a lo mejor si se plantea así comoestá, pues sí que haya una inhibición a laeconomía y que se afecten a empleos que setienen ahorita y que además son necesarios.
Dentro de las propuestas que nosotros estamosmanejando, trabajando en la misma Comisión, ydebo de decirlo también, al interior del mismoGrupo Parlamentario es precisamente recogeropiniones de los sectores involucrados y poderllegar a un consenso con esta ley, si haya quemodificarla o construir otra.
Creo que nos falta trabajo, pero que esimportante abrir una discusión plural y escuchara todas las partes para poder consensar uninstrumento que pueda balancear las dos cosas:la protección o la seguridad que tenga elciudadano de su información personal, perotambién que se llegue a un balance en la partedel desarrollo de la economía. Gracias.
PonentePonentePonentePonentePonente: José Cipriano Gutiérrez.
A mí se me pregunta sobre si hay deficiencias enla Ley de Transparencia en el Estado de México,no tanto en el marco normativo, yo más bienencuentro algunas deficiencias y resistenciastodavía en la operación propia de la ley.
La ley, yo creo que fue una discusión muy amplia,muy intensa, habrá que ver primero lafactibilidad de operación de la propia, no diría yoen el marco normativo, creo que es reconocidoampliamente que la Ley de Transparencia delEstado de México es una ley que incorpora lasdiscusiones actuales y trata de ser uninstrumento normativo de vanguardia.
Sí hay la posibilidad de que se expida en el Estadode México una Ley de Protección de DatosPersonales. Evidentemente que es factible quese dé, obviamente no existe todavía unainiciativa presentada, me imagino y sé que miamigo y compañero en la Cámara Luis GustavoParra pues estará preparando alguna cosa similar,estaremos discutiéndolo y evidentementeatentos a lo que resulte de la discusión en laCámara de Diputados Federal.
Por otro lado se me pregunta si yo considerooportuno que el Instituto de Transparencia delEstado de México tenga facultades para castigaro sancionar a las personas que violen la Ley deTransparencia.
Insisto, esto sería una discusión posterior a laoperación, a la verificación de la operación de laley. No podemos dar, otorgar nuevas facultadeso rediscutir la ley cuando todavía estamos en elplan o en el momento de la implementación dela propia norma, por lo que esto será unadiscusión posterior.
Yo creo que estamos en vías de conseguir ya elconsenso y la voluntad de todos los actores paraque la Ley de Transparencia en el Estado deMéxico sea una realidad y, bueno,posteriormente discutir tanto sus deficiencias,como sus reformas.
PonentePonentePonentePonentePonente: Álvaro Canales Gil.
Bueno, tengo dos preguntas, la primera preguntaes: ¿Cuáles han sido las adecuaciones que hansufrido las leyes españolas de bases de datos yqué razones han influido sobre estasadecuaciones?
187
La respuesta que yo le daría a don GerardoGuerrero, es el que hace la pregunta, es lasiguiente: En cuanto a leyes españolas de basesde datos no se puede hablar propiamente deesto, lo que habría que hablar sería de leyesespañolas que en algún punto concreto y debidoa un bien jurídico a proteger o a prevenir oespecialmente a hacer un tratamiento de datosen condiciones excepcionales al principio delconsentimiento, habilitan a que el responsablede esa base de datos efectúe los tratamientossin ese consentimiento siempre y cuando ellegislador lo quiera hacer.
Por lo demás, desde el año 1999, a partir de enerodel año 2000 que entró en vigor la Ley Orgánicade Protección de Datos, es la que disciplina entérminos generales y horizontales, todo elfuncionamiento del sistema y establece laposibilidad de un acceso, comunicación de datossiempre y cuando estén tasados una serie demotivos que aparecen en la propia ley orgánica,es decir, la norma genérica y horizontal y lasnormas sectoriales lo que hacen es ir siguiendoel ítem que les he relatado al principio, que esun principio de consentimiento en términosgenerales con algunas habilitaciones legalesque hacen causa o crisis de ese consentimiento,bien porque las refleja expresamente una leysectorial o bien porque exista un caso deexcepción como puede ser la relación de unarelación contractual o negocial asumida por eltitular de los datos y que hace preciso eltratamiento de datos sin ese consentimiento.
En cuanto a la segunda pregunta dice: Pareceque se observan dos vertientes en el Encuentro,por un lado, el problema que origina lasinstituciones financieras al usar los datospersonales de los usuraos y, por otro lado, elsurgido con la solicitud de datos personales deservidores públicos para conocer la informaciónque los gobiernos no han dado a conocer demanera oficiosa o que han clasificado. ¿Cómoquitar el aparente antagonismo que interpretanen este sentido?
Yo les puedo decir la experiencia española y eslo siguiente: las instituciones financieras tienenque tener, vuelvo al planteamiento anterior deprincipios que es el que en definitiva a losestudiosos, a los licenciados en derecho nos haceobservar y dar solución a los temas.
Las entidades financieras tienen que tratar losdatos siempre que tengan alguna habilitaciónpara ello, es decir, si un cliente tiene undeterminado producto financiero y de eseproducto financiero que ha contratado no sederiva la emisión por parte del banco en undeterminado o nuevo producto, ese tratamientoserá un tratamiento sin consentimiento porparte de esa entidad financiera.
Cosa diferente es si la institución financiera,porque no especifica la pregunta a qué se refiereexactamente, puede incorporar los datos dedeudores a un buró de crédito.
Cosa que sí permite la Ley Horizontal, la LeyOrgánica de Protección de Datos como una seriede garantías y de prevenciones que el propio casoespecífico contempla a la hora de volcar datosde deudores y buscar la solvencia patrimonialde futuros clientes que esa entidad decideevaluar para establecer nuevos riesgos a sugestión.
Por otro lado, respecto a la información de losgobiernos, pues aquí volvemos a plantear otravez el tema de los principios, es decir, si unamateria es clasificada, una materia está exenta,no está recogida dentro del derecho deinformación que tiene el titular de los datos,lógicamente esa habilitación legal permitirá queel órgano federal en este caso o central en elcaso autonómico o local en el caso español,imposibilite el acceso a ese tipo de datos.
Piensen ustedes lo verdaderamenteesperpéntico que supondría que un terroristaque sabe que existe una base de datos,lógicamente de ficheros terroristas ejerciera underecho de información a obtener los datos quela policía o las fuerzas de seguridad del Estadotienen de él.
188
Y piensen también el esperpento que supondríasu aplicáramos el modelo general y yo herelatado antes si a un terrorista, o unnarcotraficante, a un grupo de delincuenciaorganizada cada vez que hubiera que introducirun dato en un fichero de esa naturaleza hubieraque informarle: consiente usted que… pues,lógicamente caeríamos en un temaabsolutamente ridículo.
Por eso digo que el modelo permitecompartiendo principios adaptar esos principiosque son la base fundamental de la estructurajurídica a la problemática concreta que existaen un determinado país, como he relatadoanteriormente.
189
Presentación del Libro:Presentación del Libro:Presentación del Libro:Presentación del Libro:Presentación del Libro:Privacidad y Derechos HumanosPrivacidad y Derechos HumanosPrivacidad y Derechos HumanosPrivacidad y Derechos HumanosPrivacidad y Derechos Humanos20052005200520052005
PrPrPrPrPresenesenesenesenesentadortadortadortadortador::::: Vamos a continuar con la presentación del libro que se refiere a la protección dedatos de carácter personal en Iberoamérica, le doy la palabra al doctor José Luis Piñar Mañas.
José Luis Piñar MañasJosé Luis Piñar MañasJosé Luis Piñar MañasJosé Luis Piñar MañasJosé Luis Piñar Mañas. Presidente de la Red Iberoamericana de Protección de Datos.
En lo que a mí me atañe y como Presidente de la Red Iberoamericana de Protección de Datos, es unenorme honor y una gran satisfacción poder presentar hoy ante todos ustedes y en el marco del VIEncuentro Iberoamericano de Protección de Datos una publicación que es fruto del trabajo de laRed Iberoamericana de Protección de Datos.
La Red Iberoamericana de Protección de Datos surge en el año 2003, en la ciudad de La Antigua, enGuatemala. Allá se celebra un Encuentro de Protección de Datos Personales los días 2 a 6 de juniode 2003. Encuentro del que surge una declaración, la llamada Declaración de La Antigua, queconsta de nueve puntos, uno de los cuales, el punto número siete es precisamente el de la creaciónde la Red Iberoamericana de Protección de Datos.
Y en ese punto, en el punto número siete, entre los compromisos que asume, los cometidos queasume la red, se encuentra el de promover la edición y publicación de documentos de trabajo y delas obras que permitan difundir y dar a conocer los resultados obtenidos en el desarrollo de lasactividades de la Red Iberoamericana de Protección de Datos.
De la letra de la declaración pasamos a la acción y esa acción se ha concretado en la obra que hoytenemos el gusto de presentar ante todos ustedes.
Se trata, en efecto del libro Protección de Datos de Carácter personal en Iberoamérica, que ha sidoeditado por la propia Red Iberoamericana de Protección de Datos, junto con la Agencia Española deProtección de Datos y una de las más prestigiosas editoriales jurídicas de España, la editorial Tirantlo blanch.
Este libro, del que tienen ustedes aquí algunos ejemplares, recoge los trabajos del encuentro al queantes me refería, el Encuentro celebrado en La Antigua, Guatemala, en junio del 2003.
Es una obra que pretende hacer ver que la red no sólo se manifiesta a través de declaraciones, através de trabajos de enorme importancia, a través de la vía de fomentar, dar a conocer el derechofundamental a la protección de datos personales, sino también a través de obras concretas, que
190
permitan a todos aquellos que quieren acercarseal derecho fundamental, a la protección dedatos, tener un instrumento de información queles permita conocer la situación que en lamateria se da en diversos países.
Este libro consta de dos partes bien diferenciadas.La primera está dedicada a lo que hemosdenominado estudios generales; la segunda, laque se dedica a estudios nacionales.
Dentro de los estudios generales hay diversostrabajos que se refieren a cuestiones de caráctergeneral, que tienen que ver con el derechofundamental a la protección de datos.
Y en este sentido se abre con un trabajo de quienles habla, sobre el derecho fundamental a laprotección de datos; a continuación un estudiosobre la evolución histórica y el marco normativointernacional del derecho fundamental a laprotección de datos.
A continuación un trabajo de don FernandoArgüello, quien ha intervenido en esteEncuentro, sobre protección de datos personales,La Directiva Comunitaria, su influencia yrepercusiones en Latinoamérica.
Seguido de un estudio del doctor Juan AntonioTravieso, que también ayer tuvo ocasión dedirigirse a todos ustedes, sobre la protección delos datos personales en América Latina: Unidoso Desprotegidos hacia una Red Iberoamericanade Datos Personales.
A continuación un trabajo de don Jesús RubíNavarrete, también ayer tuvo ocasión deintervenir en este Encuentro sobre Tratamientode datos personales en la prestación de serviciosde telecomunicaciones.
Otro más de don Emilio Aced, sobretransferencias internacionales de datos, y dosmás en particular sobre cuestiones de caráctergeneral, por más vinculadas al áreaiberoamericana y América Latina.
Por un lado un Estudio sobre la conferenciaiberoamericana, su sistema de cooperación y laprotección de datos personales y otro sobreMERCOSUR y la protección de datos.
Esta primera parte, por tanto, configura lo quesería los contenidos generales de la protecciónde datos personales.
La segunda parte se refiere, o se dedica a estudiosnacionales, estudios de Colombia, a cargo deldoctor Nelson Remolina; de la República deCosta Rica, a cargo del doctor Alfredo Chirino,también ha intervenido en este Encuentro y deldoctor Mario Carbajal, que también nosacompaña, así como de don José Francisco Bart.
Estudios también de España, a cargo de MarMartínez y de don Álvaro Canales.
También dos estudios de la situación enprotección de datos en México, uno de ellosprecisamente sobre el proyecto de Ley Federalde Protección de Datos Personales, redactado porel senador Antonio García Torres, quien es unmiembro muy activo de la Red Iberoamericanade Protección de Datos, y otro sobre la legislaciónsobre protección de datos personales en México,redactado por don Eduardo Guerrero Gutiérrez.
Hay también un estudio sobre Paraguay, que seencargó de elaborar la Superintendencia deBancos de Paraguay. Otro sobre Perú, elaboradopor la doctora Lilián Oliver, y dos más sobreUruguay, uno de ellos elaborado, redactado porel entonces senador, doctor Alberto Brause, y otropor la doctora Ana Brian, que también intervieneen este Encuentro Iberoamericano deProtección de Datos.
Creemos que es una primera muestra de lo quequiere ser la Red Iberoamericana de Protecciónde Datos, un foro de encuentro, de intercambiode experiencias, de intercambio de información,que pretende facilitar la información a todoscuantos se mueven en el sector de la protecciónde datos, ya hemos dicho innumerables vecesdurante este Encuentro de un derecho
191
fundamental de todos y cada uno de losciudadanos.
Junto a este libro querría también hacer unabrevísima referencia a otra mucho más modesta,pero no por ella menos importante publicaciónde la red, que es la que contiene las declaracioneshasta ahora aprobadas en el marco de la RedIberoamericana de Protección de Datos, y quese les han entregado a ustedes como parte de ladocumentación de este Encuentro.
La primera de ellas, de enorme importancia es laque tuvo lugar con ocasión de la Declaración deSanta Cruz de la Sierra, en la DecimoterceraCumbre Iberoamericana de Jefes de Estado y deGobierno de noviembre de 2003, en la que sehace una referencia expresa en el punto 45 a laprotección de datos personales y a la Red.
Permítanme muy brevemente leer este punto45, que considero de enorme importancia:
Dicen unánimemente todos los jefes de estadoy de gobierno de los 21 países iberoamericanosreunidos en Santa Cruz de la Sierra en Bolivia.
Asimismo somos conscientes de que laprotección de datos personales es un derechofundamental de las personas y destacamos laimportancia de las iniciativas regulatoriasiberoamericanas para proteger la privacidad delos ciudadanos, contenidas en la declaración dela Antigua por la que se crea la RedIberoamericana de Protección de Datos abiertaa todos los países de nuestra comunidad.
Por tanto reconocimiento expreso de que laprotección de datos es un derecho fundamental.Reconocimiento expreso también de laimportancia de la Red Iberoamericana deProtección de Datos.Además, se recoge la declaración de la Antiguaa la que antes me refería y también ladeclaración de Cartagena de Indias con motivodel encuentro celebrado en mayo de 2004, querecoge las conclusiones que entonces sealcanzaron en la Red referidas a temas deenorme importancia en nuestra opinión.
La primera de ellas sobre La protección de datosy la perspectiva del sector financiero.
La segunda. La lucha contra el Spam.
La tercera. Las transferencias internacionales dedatos, perspectivas Europea e Iberoamericana.
La cuarta. El sector de las telecomunicaciones eInternet ante los ataques de la privacidad.
La quinta. El sector comercial y el uso de lainformación con fines de marketing.
La sexta. Consideraciones en torno al desarrollode la Red Iberoamericana de Protección de Datos.
Es intención de la Red el acometer de inmediatola publicación, no sólo de estas declaraciones,sino también de la que surja de este encuentro,del Encuentro México 2005, al objeto decompletar de este modo una publicación demayor alcance incorporando todos losdocumentos que hasta ahora se han producidoen el ámbito de la Red, no sólo en texto español,sino también traducidos al inglés para dar unamayor difusión a todo lo que en materia deprotección de datos se está haciendo en elámbito de la comunidad iberoamericana.
Tan sólo me resta agradecer muy de veras a todoscuantos han participado en la redacción de estelibro y de estos documentos, por su tesón, por suinfatigable labor, por su impulso y por su ánimo,desde que en junio del 2003 en una reunión quedebo decir entonces era sumamente sencilla, meatrevería a decir, una reunión de no muchaspersonas que creíamos que había que dar unaexpresión de apoyo a todo cuanto se estáhaciendo mucho y bien en materia de deprotección de datos en Iberoamérica, de unaexpresión del grupo que entonces surgió a lo quees este IV Encuentro Iberoamericano deProtección de Datos.
Agradecimiento a los que han colaborado en laRed, los que están colaborando en la Red.Agradecimiento a todos los que han participado
192
como autores del libro que ahora tengo el honorde presentar.
Y por último, y por supuesto agradecimiento aquienes han organizado, al IFAI sobre todo porhabernos permitido presentar este libro en esteEncuentro.
Y agradecimiento una vez más a todos ustedes.Tan solo decirles que disponemos de algunosejemplares, pocos, pero quien tenga interés enesta obra, puede ponerse en contacto o bien conel IFAI o bien con la Agencia Española deProtección de Datos Personales.
CCCCCédric Laurédric Laurédric Laurédric Laurédric Lauranananananttttt: Consejero de Política, Director,Proyecto de Privacidad Internacional, ElectronicPrivacy Information Center-EPIC.
Les presentaré el libro y voy a hablar sobre losdesarrollos globales que se llevaron a cabo en elperíodo en que este libro se hizo desde junio del2004 hasta julio del 2005.
Este libro proporciona una visión general del lostemas más importantes de privacidad, desde lasupervisión de satélites, del comercio, etc., ytambién revisa el estado de privacidad en másde 70 países en todo el mundo.
En la primera parte que se llama Visión Globalque nos habla sobre lo básico de lo que es laprivacidad, de lo que quiere decir privacidad einstituciones de protección, de cómo definir laprivacidad, cuáles son los modelos de protecciónde privacidad.
Existen secciones que nos hablan sobre lavigilancia, la vigilancia de la comunicación, elconsenso, la privacidad, la privacidad de los viajes,etc.
Y también hay una tercera parte sobre losinformes de los 73 países que hemos analizadoeste año y en estos informes nosotros hemostratado de dar una presentación, unaintroducción sobre el marco constitucional quese refiere a la privacidad a la protección de losdatos y de la privacidad de las leyes
criminalísticas y las de procesamiento criminaly también en los países donde dichasautoridades existen.
Y también incluimos algunos países comoNueva Zelanda que han ratificado en laComisión Internacional los derechos deprivacidad.
En este año también tuvimos una organizaciónque incluida puntos muy breves sobre losdesarrollos más importantes en esos países, lasgráficas que incluyen las leyes de protección deprivacidad en cada uno de los países, un glosariode recursos de privacidad internacional, que sepueden encontrar en diversos países, si ustedesquieren investigar más y cuáles son lasinformaciones que ya existen, las informacionesque hay en el libro. Y también tenemos unaversión en CD.
Para la elaboración de este libro nosotrostrabajamos con más de 200 expertos, desdeprofesores, académicos y autoridades deprotección de datos, funcionarios del gobierno,activistas de derechos humanos, activistasdiversos y personal diverso.
También les voy a hablar sobre lo que yo creo eslo más importante o el desarrollo másimportante que se llevó a cabo en los últimos 12meses.
Esta investigación más bien se enfoca en lasupervisión del gobierno y en las accionesgubernamentales, en la privacidad de cómoresponder ante la amenaza del terrorismo.
Primero vamos a hablar de uno de los desarrollosmás importantes que son las medidas que elgobierno tomó y realizó para responder frente aterrorismo y también de otras medidasgubernamentales de bases de datos deinformación de salud y de uno de los desarrollosmás importantes en los últimos 12 meses en elcampo de supervisión de privacidad y deidentificación y tecnología de frecuencias deradio.
193
También hay un cuarto punto al respecto, yquisiera hablar de las leyes de protección dedatos en diversos países, de las tendencias deprivacidad y sobre los retos más importantes dela privacidad futura.
Lo que hemos encontrado en EPIC, al trabajar eneste estudio es que no ha habido muchoscambios en los últimos tres o cuatro años, enespecial desde septiembre del 2001 con losataques terroristas en los Estados Unidos, enMadrid, en Indonesia, en Londres, y también enla forma en que el gobierno ha tratado deresponder a la amenaza del terrorismo y tambiéna la forma en que han tratado o hanimplementado dichas leyes.
Primero parecía que las leyes que se habíanpuesto en vigor tenían el propósito legítimo ymás adelante lo que sucedió fue que una vezque este marco legal ya estaba en vigor, habíadado toda la disposición de nuevos poderes a lasautoridades de aplicación de la ley y estas leyesse extendieron o estos poderes que se les dierona las autoridades, de aplicación de la ley, se lesdieron de una manera para luchar contra elterrorismo y en contra de otras amenazas, nosolamente del terrorismo, sino de otros actoscriminales.
Lo que descubrimos en los últimos tres o cuatroaños, fue que los países han añadido mucho másde agencias gubernamentales y departamentosgubernamentales, que tienen que verespecíficamente con las tareas de luchar contrael terrorismo y de recopilar datos, de coordinar yde compartir información.
Y también hay una retención de los datos, enespecial en Europa, pero también en algunospaíses africanos y latinoamericanos, al igual quela tendencia para centralizar los datos.
Esa no es diapositiva correcta, sino la 1.2, es lasiguiente.
Otra tendencia que encontramos es que losgobiernos están dispuestos, con tal de proteger
las fronteras, con tal de proteger los medios detransportes, a identificar a las personas en lasfronteras.
Primero empezó en las fronteras y después conlas revisiones domésticas. Entonces, en principiolos países presentaron la idea de supervisar a lospasajeros, de sacarles un perfil y uno de lossistemas más notorios es el sistemaestadounidense de seguridad del transporte osistema de computadora que es como pasar porla pantalla a los pasajeros y EPIC y otros gruposen los Estados Unidos empezaron denunciarlo.
Sin embargo, fue reemplazado adecuadamentepor otro sistema y fue una situación que otrospaíses siguieron: Canadá, Australia, la UniónEuropea y también algunos países asiáticos.
Lo que yo creo que son los principales asuntosde protección de datos en el caso de este nuevopoder de prescribir un perfil, dado que estasautoridades de aplicación de la ley es el hechode que más específicamente en el caso de losEstados Unidos, violó las leyes de protección delos datos europeos.
Y, otro caso, que sucedió es que el Gobiernoamericano protegía sus fronteras y trataba deobtener información a partir de compañíasprivadas de los Estados Unidos sobre losciudadanos que vivían, en por lo menos 10 paísesde Latinoamérica, la información había sidoconseguida de una manera ilegal.
Y lo que ocurrió es que la autoridad en losEstados Unidos tomó información de estacompañía privada, compañía local en Brasil,Colombia y México, con tal de ver si había unenfrentamiento entre lo que los inmigranteshabían dicho a estas autoridades fronterizas ylo que los Estados Unidos tenían en sus archivos.
Otra tendencia preocupante es el hecho de quelos datos una vez obtenidos por las autoridadesde aplicación de la ley y algunas veces laviolación de estos datos de protección nacionalno está segura de no ser transferida hacia otra
194
autoridad de aplicación de la ley, que no estabade acuerdo con esta ley de protección de datosen vigor.
Una situación muy notoria fue la que se llevó acabo en los Estados Unidos, se llamaba “las visitasde los Estados Unidos”, que obligan a todas laspersonas que entren a los Estados Unidos a darsus huellas digitales y tomarle una fotografíapara poder formar un sistema indicando laidentidad de la persona que entra al país.
Específicamente este año nosotros vemos quela mayoría de los países que hemos analizadohan salido con ideas o han tenido ideas paracartas inteligentes o tarjetas inteligentes conun número único de identificación, comolicencia de manejo, una especie de CURP, huellasdigitales, piel, etcétera.
Los principales problemas relacionados con estapresentación de tarjetas inteligentes es que lamayoría de los países que los presentaron notienen una forma de protección. Eso significaque ellos dan más poderes a las autoridades deaplicación de la ley, sin darles la situaciónadecuada a otras agencias gubernamentales ogrupos de protección al consumidor que tienenla situaron de poder ver si estos poderes que lesotorgan los utilizan de una manera adecuada.
Otras medidas gubernamentales que vemosespecíficamente es la presentación de estainformación en la base de datos.
Ya había esta información, pero vemos que cadavez más gobiernos utilizan esta base de datospara poder combatir el terrorismo, y en los paísesque no tienen esa protección de datos se hacepara estos problemas, porque ayuda a que lainformación médica sea muy sensible a los datospersonales, y confía o depende únicamente delgobierno para tratar con esta información, sinabusar de ella y sin diseminarla.
Los poderes adecuados que generalmente no sepueden llevar a cabo, en la mayoría de los paísesy en especial en los Estados Unidos, lo vimos en
muchos casos en donde la información estárecolectada por compañías privadas.
Ahora, esto está sin que haya salvaguardasestablecidas para poder supervisar las prácticasgubernamentales.
En el campo de lo que es la supervisión del sectorprivado, una de las tendencias más importanteses el uso de lo que se llama RFID (Identificaciónde Radio Frecuencia). Esta tecnología realmenteno es nueva y se comenzó a utilizar hace como15 ó 20 años e incluso más en los años 60, peroahora por el precio tan disminuido de latecnología y el tamaño tan disminuido de losdetectores, hemos visto muchas másaplicaciones que han surgido en lo que es laindustria de la defensa.
Se están utilizando detectores deradiofrecuencia para monitorear a losempleados en los lugares de trabajo, paramonitorear a los niños en las escuelas, paramonitorear a la gente en los hoteles y muchasde estas aplicaciones tienen un rango de precios.Por ejemplo, cuando se tuvo un sistema enMalasia, es una tarjeta inteligente conidentificación de radio frecuencia, ésta teníamucha información sobre la persona y seencontraba en una tarjeta; la de la licencia demanejo, los registros médicos, muchainformación.
Lo que está sucediendo más bien, la informaciónde la tarjeta se está centralizando y era muyinteresante para hackers y gente que roba laidentidad.
Quisiera decir que la tecnología de RFID vemosmuchas cosas nuevas, lo que son lineamientos,leyes, reglamentos que están trabajando en estecampo.
Y también en otros países en donde hay cadavez más industrias, compañías y gobiernos. Estoes un campo en que hay una vigilancia muyintensiva en lo que es la tecnología deidentificación de radio frecuencia en la
195
información financiera y de transacciones, entreasociados, un producto por ejemplo que secompra en la tienda para ver la ubicación.
Lo que quiero decir aquí es que esto se podríautilizar posteriormente para otros propósitosque no están en el sistema de formación deperfiles, y lo que termina sucediendo es que latecnología comienza con una meta legítima ytermina siendo para prevenir cualquier tipo decrimen en un aeropuerto, por ejemplo enEstados Unidos.
Otra tendencia de privacidad es que lasautoridades de aplicación de la ley estáninteresadas en recolectar toda la informaciónque puedan y delegan esta recolección o estatarea de procesamiento de información a lasempresas privadas.
Hay casos muy famosos de los que quiero hablarque son, por ejemplo, una compañíaestadounidense llamad Check Point que ayudóa los estadounidenses a obtener informaciónque no podía obtener legalmente, obteniendoesta información de ciudadanoslatinoamericanos y mandándola al gobierno. Deesta manera se evitaba la aplicación de una leyen Estados Unidos que evitaba que el gobiernoobtuviera estos datos.
También encontramos y es difícil llegar a estaconclusión, que la seguridad nacionalnormalmente se ha detenido por los derechoshumanos y los derechos a la privacidad, tambiénla conveniencia.
Un ejemplo, el Departamento de Estado de laUnión Americana, junto con el Ministerio deRelaciones Exteriores de México empezaron autilizar la identificación de radiofrecuencia enlos pasaportes, y aquí la razón principal parahacerlo era la propuesta inicial delDepartamento de Estado que fue en diciembrede 2004 y enero de 2005, era poder acelerar elpaso de la gente por las líneas fronterizas, aquíse puede ver el valor o la conveniencia que eramucho más importante que el derecho a laprivacidad.
Por estas razones creo que los retos siguientesque veremos en la privacidad van a ser pensarcómo los gobiernos y la sociedad civil pudieranestablecer unas salvaguardas y supervisionesseguras sobre el uso que está haciendo elgobierno de los nuevos poderes que estáobteniendo.
Podemos pensar en las nuevas formas de obteneresta nueva protección con las leyes, esto espotencialmente tecnología muy intrusiva, porejemplo, sale muy barato como un implante queuna empresa pensó en utilizar, y esto indicaríaen ponerlo en una persona en el antebrazo,cuando esta persona quedara inconsciente estollamaría a los paramédicos y a los doctores y estollevaría información médica del paciente encaso de que él no tuviera un estado adecuadopara dar información.
Y en este caso específico, parte de la UniónEuropea y algunos lineamientos en paísesasiáticos no tienen ningún marco de privacidaden vigor, por ejemplo, en Estados Unidos no hayningún marco de privacidad que aborde estasamenazas de manera específica.
Otro reto de la privacidad sería ver qué es lo quesucede cuando la información que se recolectóde manera legítima y legal en un país tiene quetransportarse a otro país, eso crea asuntos de lasnormas globales de privacidad o flujostransfronterizos de información y este es ungran debate ahora en Latinoamérica, esto seenfrenta con dos modelos básicos: Los modelosen la Unión Europea y el marco del área AsiaPacífico, en la parte cooperativa de Asia Pacífico.
Quisiera evitar los datos, vieran estos importesen las páginas Web en las siguientes semanas oen ésta, está disponible en inglés y a mediadosde diciembre en español.
Pedro MendizábalPedro MendizábalPedro MendizábalPedro MendizábalPedro Mendizábal: Ciudadanía y Derechos enla sociedad de la información, CPSR-Perú.
Para CPSR-Perú es muy grato compartir lapresentación en este foro de lo que será laprimera edición en castellano del libro
196
Privacidad y Derechos Humanos, versióncorrespondiente al año 2005.
CPSR-Perú es un centro de investigación enpolíticas públicas y tecnologías de lainformación y comunicaciones, fundado en Limaen octubre de 2002, su misión consiste enpromover el uso y desarrollo socialmenteresponsable de las tecnologías de la información;influenciar en las decisiones vinculadas con lasmismas y fomentar el desarrollo de lassociedades de información que concilie latecnología con el ser humano que la usa.
El campo de acción de CPSR-Perú se sitúa enaquel punto en que convergen tecnologías dela información, derecho y sociedad.
En tal sentido, tiene varias áreas de trabajo entrelas que destacan las relativas a derecho de autoren el entorno digital, sociedad de la información,privacidad y protección de datos personales,seguridad de informática, de la información ycomunicaciones, entre otras, todas ellasabordadas desde un enfoque interdisciplinarioque involucra lo técnico, jurídico, económico,político, social, cultural y ético.
Desde el 28 de septiembre de 2005 CPSR-Perúha sido incorporado a la Red Iberoamericana deProtección de Datos, como miembro asociado.
La intimidad personal, definida desde la ópticadel sujeto que goza y ejerce su derecho,representa el ámbito de libertad del individuo,el momento y lugar en que, como decía Rousseau,lo íntimo de identifica con lo universal.
Ello le permite a la persona reencontrarseconsigo misma, recargar energías para retornarcon brío a las actividades sociales, en especialtrabajo. Es, asimismo, el espacio de sosiego enque toma decisiones que afectarán su futuro yque tendrán, en la sumatoria de millones deintimidades y autonomías, consecuencias deamplios alcances.
La intimidad, pensada desde el individuo haciael mundo exterior, entendida como espacio de
libertad, en el que el sujeto decide en quémedida expone o no su vida privada, disminuyeapreciaciones negativas del derecho a laintimidad que lo vinculan, en ocasiones, con elsecretismo o individualismo.
Concebido desde esta perspectiva, el derecho ala intimidad se revela no como el derecho delsolitario o del ermitaño, sino como el ejerciciode la mínima y necesaria libertad y autonomíaque el derecho moderno debe garantizar a lapersona humana, para que a partir de supersonalidad en acción edifique o público ysocial.
Por ende, estamos ante un derechofundamental base de la ciudadanía ydinámicamente relacionado con aquella nociónclásica, según la cual el ser humano es serhumano en sociedad.
Lo planteado justifica el esfuerzo por averiguaren 73 países, convocando la participación de másde 200 expertos y colaboradores, durante casiun año de labores, cuál es el estado de laprivacidad en el planeta.
La edición en castellano contendrá la partegeneral del PHR 2005, los reportes individualesde 14 países de América Latina, los capítulosreferentes a aquellas legislaciones másinfluyentes en nuestro medio, como son España,Portugal, Italia, Francia, Alemania y la UniónEuropea.
Por relevancia y contraste se ha decidido incluirlos reportes de los Estados Unidos, Gran Bretañay Canadá.
Ahora bien, hemos comenzado refiriéndonos ala intimidad personal y familiar. ¿Cómo seexplica, entonces, que el libro que ahorapresentamos posea contenidos que excedenlargamente el derecho a la intimidad?
Por ejemplo, temas referidos a identidadpersonal, votación electrónica, privacidadrespeto de los datos de viaje, nanotecnología,acceso a la información pública, entre otros.
197
Interpretado en términos de la tradición jurídicaromano germánica, el concepto del right ofprivacy y del common law, comprende al menosel derecho a la intimidad personal y familiarpropiamente dicho, el secreto de lascomunicaciones y la confidencialidad de losdocumentos privados; la privacidad genética, laprivacidad física frente a procedimientos talescomo la biometría, el auscultamiento decavidades corporales, la inviolabilidad deldomicilio, la privacidad en los lugares de trabajoe incluso en espacios públicos, así como todoaquello que de una u otra manera proteja ladignidad humana.
El right of privacy estadounidense correspondemás a la concepción alemana del derechogeneral de la personalidad.
El derecho general de la personalidad, entendidocomo derecho matriz que comprende unaamplia gama de derechos innatos, vitalicios,personalísimos, extrapatrimoniales,relativamente indisponibles, nominados oinnominados, contenidos o no en el derechopositivo, responde al espíritu garantista deprotección de la persona como un todo. Hechaesta breve introducción pasemos a revisarsomeramente algunos de los resultados fruto dela investigación realizada en latinoamericana.
En la República Argentina, debido a la presiónpública por un creciente número de secuestros,se promulgó en mayo de 2004 una ley sobre losservicios de comunicaciones móviles, queeliminó el anonimato en la compra de celulares.La ley obliga a los que venden teléfonos móvilesa recolectar la identidad de sus clientes, inclusode aquellos que tienen la modalidad de serviciocon tarjeta prepago.
En enero de 2004 el Congreso aprobó lacontrovertida ley 25873, la misma que modificóla Ley Nacional de Telecomunicaciones de 2003,estableciendo la obligación de las empresas detelecomunicaciones de colaborar con lasinvestigaciones de la justicia, y en concreto, conlos pedidos de informes, así como con laobligación de retener ciertos datos de tráfico
(telefónicos, por Internet y por cualquier otromedio como la telefonía IP) por el lapso de 10años.
El reglamento de esta ley generó gran discusiónpública. La cámara que agrupa las empresas detelecomunicaciones interpuso una acción deamparo en contra de la aplicación del decretoreglamentario, basándose en los costos queacarreaba el cumplimiento de la medida. Debidoa la presión mediática el Presidente Kirchnersuspendió el decreto que él mismo habíaexpedido.
En Bolivia se agregó en el año 2004 la acción deHábeas data al texto constitucional, la mismaque se puede seguir mediante un procesosumarísimo.
En Brasil se han presentado al Congreso variosproyectos de ley. Algunos de ellos obligarían alos proveedores de servicios de Internet yproveedores de alojamiento Web a mantenerinformación personal identificable, tal como elnombre, número de documento de identidad,dirección y teléfono de los clientes, por un plazode dos a cinco años, así como datos de tráfico delas conexiones individuales a la Internet,incluyendo los números IP de los emisores yreceptores de las comunicaciones, cuando seconectan y desconectan a la Internet la cantidadde data enviada y recibida, por un lapso de seismeses a cinco años.
La intercepción ilegal de comunicaciones porparte de investigadores privados, así como lagrabación de conversaciones privadas sonfenómenos comunes en Brasil. También en 2004,como respuesta a escándalos que involucrabana funcionarios del gobierno federal, el Ministeriode Justicia manifestó su intención de presentarun proyecto de ley destinado a prohibir laintercepción y el uso de la información asírecogida, con penas de cárcel para los periodistasque usen cualquier información obtenida através de dichos medios.
Como reacción a las políticas antiterroristas delos Estados Unidos, que crearon un sistema de
198
registro de visitantes extranjeros, quecomprende el fotografiado y la toma de huellasautomatizadas; una corte brasileña resolvió, enreciprocidad, que los ciudadanosestadounidenses también tendrían que seguirsimilar procedimiento antes de permitírseles elingreso a Brasil. No obstante la orden de la Cortefue luego revocada, un mecanismo similar fueestablecido a través de un decreto del gobiernofederal. Hacia finales de 2004, los gobiernos deEstados Unidos y Brasil acordaron mecanismosde cooperación recíprocos sobre la materia.
Respecto del creciente número de cámaras devideo vigilancia en lugares públicos y privados,la ciudad de Sao Paulo promulgó una ordenanzamunicipal que ordena la instalación de signosdistintivos, informando de la existencia de talescámaras, tanto en lugares públicos comoprivadas. Las imágenes grabadas seránconfidenciales, y el incumplimiento de lasnormas de protección de datos dará lugar aresponsabilidad por parte de los infractores.
En Chile se aprobó una Ley de Protección alConsumidor que contiene disposiciones contrael Spam, establece un sistema opt-out yprescribe que todo correo electrónico comercialdebe indicar el nombre del remitente, unadescripción precisa de lo que ofrece y unadirección válida a la cual el consumidor puedaenviar un mensaje destinado a evitar cualquierfuturo E-Mail.
En Colombia existen tres proyectos de Hábeasdata en discusión, uno de los más controvertidoses el proyecto de ley estatutaria 071 de 2005,presentado por el Ministerio de Hacienda yalgunos congresistas. Según el profesorRemolina dicho proyecto deteriora el alcance delderecho fundamental a la protección de losdatos personales de los colombianos, fortalece alas empresas que negocian con dichainformación y expone a Colombia a que seacatalogada internacionalmente como un paísque no garantiza un nivel adecuado deprotección a la información personal.
En Costa Rica hay tres proyectos de ley endiscusión que regularían el procesamientoautomatizado de información personal. La CorteSuprema ha reconocido el derecho a acceder ala información pública a pesar de no estarregulado.
En Ecuador se adoptó una Ley de Transparenciay Acceso a la Información Pública en mayo de2004 que otorga a los ciudadanos el derecho asolicitar y obtener información sobre actos,contratos y proyectos firmados y financiados conrecursos públicos. También en Ecuador sepromulgó la Ley de los Burós de InformaciónCrediticia que tiene como objeto regular laconstitución, organización, funcionamiento yextinción de las centrales de riesgo. Según lanorma legal, la información que obtengan yconserven tendrá por exclusiva finalidad el serdestinada a la prestación del servicio dereferencias crediticias y deberá ser mantenidaen el país. La información histórica de personasnaturales y jurídicas no podrá exceder de seisaños; por tanto, a los burós de informacióncrediticia les está prohibido recabar yproporcionar informar posterior a ese límite.
En el Parlamento guatemalteco se presentó enfebrero de 2005 un proyecto de ley de acceso ala información pública, clasificación ydesclasificación de información en poder delEstado.
En México existen tres iniciativas legislativasreferentes a protección de datos personalespendientes de aprobación. La ley mexicana deacceso a la información pública establece comouno de sus propósitos la protección de los datospersonales contenidos en ficheros de entidadespúblicas; creó el Instituto Federal de Acceso a laInformación Pública, uno de cuyos fines es laprotección de tal información a través de lacapacitación a los servidores públicos, laelaboración de estudios y procedimientos.
En el Perú se publicó en la página Web delMinisterio de Justicia, hacia agosto de 2004, unproyecto de ley de protección de datos
199
personales, que en líneas generales, sigue loestablecido en la normativa europea sobre lamateria. Cabe destacar la promulgación en mayode 2004 de la ley 28/2/37 Código ProcesalConstitucional, que regula de manera integrallos procesos constitucionales de Hábeas corpus,amparo, Hábeas data, cumplimiento, acciónpopular e inconstitucionalidad, sobre todo,porque se trató de una iniciativa privadaimpulsada de manera espontánea por un grupode renombrados abogados peruanos queformularon un anteproyecto que con escasasmodificaciones fue aprobado por el Congreso dela República.
En abril de 2005 se promulgó la ley que regula eluso del correo electrónico comercial nosolicitado (Spam), la norma que se prevé quetendrá escaso efecto práctico establece quetodo correo electrónico comercial, promocionalo publicitario no solicitado, que se origine en elPerú, deberá contener características específicasde información, tales como la palabra publicidaden el asunto del mensaje, el nombre de lapersona natural o jurídica que lo envía y unadirección de correo electrónica válida y activaque pueda ser utilizada para la exclusiónvoluntaria. La ley también dispone unacompensación económica para las víctimas delSpam, obliga a los proveedores de servicios deInternet a contar con sistemas de filtro einusitadamente los responsabiliza (siendo ellostambién los afectados) por el Spam que recibansus clientes.
En Venezuela se aprobó la Ley deResponsabilidad Social de la Radio y Televisión(RESORTE), denominada por la oposición la leymordaza. En general esta ley establece franjasprotegidas y programación de contenidossocialmente responsable. También regula lapublicidad y prevé múltiples penas en caso deincumplimiento. Más allá de la justificaciónoficial de la norma como protectora de lapoblación preventiva de la exposición de losniños y adolescentes a la información“inapropiada”, la Sociedad Interamericana dePrensa y Reporteros sin Fronteras, han expresado
su preocupación por la censura previa yrestricciones a la información que la ley RESORTEestablece.
En agosto de 2004 y en los meses siguientes lalista de quienes firmaron las planillas solicitandola revocatoria del mandato del presidenteChávez fue hecha pública en la Internet por elparlamentario Luis Tascón exponiéndolos arepresalias de parte de seguidores del gobierno.
A manera de reflexión final y mirando el bosque,no sólo aquel grupo de árboles que conformanla jungla jurídica, en la sociedad de lainformación no son suficientes las normaslegales, por más protectoras que ellas sean delos derechos de la persona humana, ni lasautoridades de protección de datos, por másdignas e idóneas que sean del cargo que ocupan.
Es sencillo imaginar mil formas de transgredirlas normas de protección de datos personales ylo que es peor, es igualmente fácil llevarlas a lapráctica de manera impune.
Por lo tanto, si la etérea composición esinsuficiente, si los procesos administrativos ojurisdiccionales son de probanza imposible, dedesenlace incierto o resultado ilusorio, qué nosqueda a los ciudadanos conscientes de laimportancia de cautelar nuestra data. Puesdebemos optar por la prevención y la defensapropia, prevención para no entregar datainconscientemente y sin razón suficiente ydefensa propia mediante el uso de herramientasinformáticas de auto-tutela o auto-composiciónque protegen nuestra privacidad y datapersonal.
Nos referimos, por ejemplo, al uso del correoelectrónico seguro, herramientas de navegaciónanónimas en la Internet, el cifrado de lascomunicaciones telefónicas y de los servicios demensajería instantánea, así como bases de datosy discos duros encriptados.
Pensamos que es relevante que la RedIberoamericana de Protección de Datos, debata
200
la posibilidad de ampliar la efectividad de sulabor mediante el fomento del uso de este tipode herramientas informáticas.
Es imperativo trabajar en educación para teneruna ciudadanía concienciada y vigilante quepremie a aquellos que cumplen con los principiosde protección de datos de carácter personal ycastigue a los que incumplen dichas normas.
Finalmente, lo más importante, educar en unaética que considere siempre al ser humano comoun fin y nunca como un medio.
Agradecemos la cordial invitación del IFAI a laRed Iberoamericana de Protección de Datos y alInstituto de Transparencia y Acceso a laInformación Pública del Estado de México porhabernos permitido dirigirnos a ustedes.
201
Medidas de seguridad:Medidas de seguridad:Medidas de seguridad:Medidas de seguridad:Medidas de seguridad:Los datos especialmente protegidosLos datos especialmente protegidosLos datos especialmente protegidosLos datos especialmente protegidosLos datos especialmente protegidos
Mesa 7:Mesa 7:Mesa 7:Mesa 7:Mesa 7:
ModerModerModerModerModeradoradoradoradorador: Agustín Ramírez Ramírez. Subcomisionado Jurídico, CONAMED.
Los temas que serán abordados corresponden a las medidas de seguridad de los datos especialmenteprotegidos, a la protección de datos personales en los estados de la República Mexicana y a lapresentación de los trabajos de la Red Iberoamericana de Protección de Datos Personales.
Presídium: María Marván Laborde, Comisionada Presidenta del Instituto Federal de Acceso a laInformación Pública; Ricardo Sodi Cuellar, Director de la Facultad de Derecho de la UniversidadAnáhuac; Luis Alberto Domínguez González, Consejero del Instituto de Transparencia y Acceso a laInformación Pública del Estado de México; José Luis Piñar Mañas, Presidente de la Red Iberoamericanade Protección de Datos Personales; Rolando Barrera Zapata, Consejero Presidente del Instituto deTransparencia y Acceso a la Información Pública del Estado de México.
RicarRicarRicarRicarRicardo Sodi Cuellardo Sodi Cuellardo Sodi Cuellardo Sodi Cuellardo Sodi Cuellar.....
Es para la Facultad de Derecho de la Universidad Anáhuac, un verdadero privilegio ser sede alternade este Encuentro Iberoamericano de Protección de Datos Personales, ya que ha sido preocupaciónde nuestra institución académica, crear espacios de reflexión y análisis de temas tan señalados yde tanta vanguardia, como lo es la protección de datos personales, el derecho a la información, elderecho a informar.
La Universidad Anáhuac y su Facultad de Derecho han establecido varias líneas en este sentido. Enprimer lugar dentro del programa curricular de nuestra Facultad de Derecho contamos con lamateria de Derecho Informático, una novedad que nos pone a la vanguardia académica en estecampo de derecho.
Asimismo, en nuestro Instituto de Investigaciones Jurídicas se ha creado una línea de investigaciónen torno al derecho informático, a la protección de datos personales y la regulación jurídica. Dehecho hemos participado con universidades europeas y norteamericanas en el tema relacionadocon la protección de datos personales, concretamente el doctor Emilio, de la UniversidadComplutense de Madrid, el doctor José Antonio Núñez Ochoa, Director de nuestro Instituto de
202
Investigaciones Jurídicas han realizado yrealizan varias investigaciones en torno a laprotección de datos.
Por ello, la Universidad Anáhuac se congratulade tenerlos el día de hoy en sus instalaciones yla Facultad de Derecho considera esto como undía de gran trascendencia para su historiaacadémica, toda vez que crear esos espacios dereflexión en torno a la protección de datospersonales, en torno al derecho informático, alacceso a la información es una prioridad denuestra formación académica.
Les agradezco mucho su presencia, sean ustedesmuy cordialmente bienvenidos a la Facultad deDerecho de la Universidad Anáhuac. Espero quedisfruten los trabajos de este Encuentro y quesean muy exitosos.
ModeradorModeradorModeradorModeradorModerador: Agustín Ramírez Ramírez.Subcomisionado Jurídico, CONAMED.
Como ha sido ya la mecánica de este evento,vamos a proceder a una Conferencia Magistrala cargo del doctor José Roldán y, posteriormentetendrán su intervención cada uno de losparticipantes de este panel, que en estemomento solamente enumero, María JoséBlanco Antón, la doctora Marván Laborde,Abraham Sotelo Nava, Enrique Domville y CédricLaurant.
Iniciamos entonces con esta conferenciamagistral del doctor José Roldán de quienbrevemente diré algo de su extenso currículum,es un académico reconocido, es licenciado enDerecho por la Universidad Autónoma de Puebla,maestro en Derecho Económico por laUniversidad Autónoma Metropolitana, UnidadXochimilco y, doctor en Derecho por laUniversidad Nacional Autónoma de México; haescrito diversos libros en materia administrativay sobre otros temas que han sido de su interés y,actualmente es profesor de tiempo completo delDepartamento de Derecho del ITAM, titular dela materia de Derecho Administrativo y sedesempeñó además como director de lalicenciatura en Derecho.
Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: José Roldán Xopa
Agradezco su gentileza en haberme invitado aésta que pretenciosamente se llamaconferencia magistral; sin embargo, creo que esun buen momento para pensar y procuraré quepodamos hacer un ejerció colectivo depensamiento, tomando en cuenta el estado delarte de la cuestión en nuestro país.
Para nosotros, incluyéndome, resulta novedosoel que comencemos a hablar de un nuevo temaque anteriormente nos parecía hasta ciertopunto lejano, pero que con la presentación quediversas iniciativas legislativas en el Congresosobre la materia nos obliga a pensar mucho másdetenidamente y por supuesto en la medida enque vamos entrando al problema vamos, por unaparte, en un proceso de conocimiento, pero porotra parte también nos van suscitando diversaspregunta.
Primer punto de entrada, nos importa cada vezque regulamos algo nuevo que la regulación seaefectiva, esto es, que efectivamente, querealmente en la sociedad se provoquen lasconsecuencias que tiene la intención.
Puede haber muy buenas intenciones, pero siestán mal instrumentadas entoncesseguramente el resultado va a hacer ineficaz,no se va a lograr lo que se busca.
¿Cuáles serían las condiciones para llegar a talobjetivo? Yo creo que en primer término que lamateria se encuentre bien definida. Esto es quese encuentre debidamente precisado qué es loque se quiere, cuál es el bien que se estátutelando, y por otra parte, además, de la buenadefinición de la materia, que tengamos unabuena organización institucional queinstrumente el derecho, que proteja el derecho,que procure el cumplimiento de obligaciones, ypor tanto también que tenga un buen sistemade cumplimiento de forzamiento de lasconductas debidas.
203
El siguiente punto es: ¿Entonces de qué estamoshablando cuando oímos el término de datosespecialmente protegidos o datos sensibles?
Procuraré hacerlo de una manera muy simple, sien términos generales el término que nosconvoca a este seminario es el de la protecciónde los datos personales, cuando se habla de datossensibles o datos especialmente protegidos.
Existe una previsión de qué es lo que se consideracomo datos sensibles. Y lo que dice el proyectodel artículo 19 para que todos podamos compartiresta información, dice: Ningún titular estaráobligado a proporcionar datos sensibles que leconciernen; y posteriormente dice, los datossensibles únicamente podrán ser objeto detratamiento cuando se cuente con laautorización vigente y por escrito del titularotorgada mediante su firma autógrafa, salvo lodispuesto en equis artículo.
Lo que nos está diciendo este artículo es quehay un conjunto de informaciones que estásujeto a una regulación especial.
¿A qué se refiere esto de los datos sensibles? Enla Ley, en el Capítulo de Definiciones nos remitea datos tales como la salud, la raza, laspreferencias sexuales que, por lo que ustedespueden ver, presenta una calificación respectode la valoración o de la posición social delindividuo en una sociedad que pudiera dado elcontexto de presentar alguna circunstanciaparticular.
¿Por qué pudiera ser sensible el dato?
La sola expresión de que se hable, por ejemplo, oque se refiera a preferencias sexuales o bien a lasalud o a la raza, implica que tal informacióntiene determinada valoración en una sociedad.
Por tanto, el primer punto, creo, es que el datosensible depende del contexto en el cual viva elindividuo y, por tanto, los datos podrían serrelevantes y ameriten una determinadaprotección.
En este caso la protección se refiere a unelemento importante que es: No se puede dar aconocer ningún dato que pueda comprendersedentro de esto, si no es con la autorización de lapersona, de su titular, de a quién se refieren losdatos.
Lo que podemos ver es una especie de soberaníadel titular respecto de la información que leconcierne, dependiendo del contexto en el cualse vaya desarrollando.
El primer problema es: ¿Cuáles son estos datossensibles, cómo se determinan?
Hay un primer problema en la ley. La ley esenunciativa, dice: Raza, preferencias sexuales,salud, otros y aquéllos que por disposicionesgenerales determine el órgano encargado de laregulación.
Por tanto, aquí nos da una puerta, una aberturapara que no sea un númerus clausus, sino que através de una decisión administrativa de unórgano regulador se pueda extender el tipo dedatos que pudieran ser protegibles. Esto nosplantea una serie de problemas.
Aquí viene entonces la cuestión de la técnicaalrededor de la cual se va precisando qué es eldato sensible. Hay una definición legal y, portanto, después habría una definiciónadministrativa, lo cual crea una serie deproblemas normativos.
Voy a entrar a alguna de estas definiciones.
La protección, en buena medida, estáencomendada a un órgano regulador. Lainiciativa es, hasta cierto punto, ambigua; aveces plantea que puede ser el IFAI o bien algúnórgano regulador especializado en esto.
El problema de diseño institucional creo quetiene que entender dos cuestiones: Primero, quelos sujetos regulados, si es que tomamos elmodelo IFAI, no serían ya la clientela habitualdel IFAI, que son entidades públicas, sino que
204
también serían entidades privadas, lo cualamplía no solamente la clientela, sino queademás complica la ordenación, porque en lamedida en que hay una relación o bien al interiorde la administración o al interior de laorganización estatal y al ampliarlo a losparticulares, entonces, esto significa que hayuna relación externa y, por tanto, la regulaciónjurídica también es diversa.
Porque las regulaciones jurídicas funcionan demanera distinta cuando el sujeto obligado es unsujeto público, porque hay un relacióninstitucional especial, que no es una relacióninstitucional en donde el sujeto obligado gocede derechos, pero en cambio sí lo es cuando elsujeto obligado, el sujeto regulado es unparticular y, por tanto, su posición comogobernado, como administrado, activa unaregulación especial y, por tanto, también losmedios de defensa y las formas de actuación sondistintas.
No operaría de la misma manera una normageneral del IFAI que regule esta materia, frentea sujetos públicos que frente a sujetos privados.La exigencia frente a sujetos privados es mayor.
Por ejemplo, podría haber una oposición en elsentido de que la regulación de cuál puede serel dato protegible debe ser hecho en ley y no poracción administrativa, lo cual evidentemente nopodía ser oponible en el caso de institucionespúblicas, porque la relación jurídica distinta. Y,por tanto, hay una diversidad de instrumentos yéstos operan de distinta manera si es frente aun particular o frente a una institución pública.
Allí hay que tener mucho cuidado en lo quepodría expresarse como una simetríaregulatoria.
El siguiente punto es la simetría regulatoriatambién puede estar complicada debido al tipode derecho que se cree con la información.
Si un particular argumenta que respecto de lainformación tiene un derecho patrimonial,entonces el argumento de que se requiere una
ley para que pueda consignarse qué dato es elprotegible adquiere mucho mayor fuerza. Estoysimplemente señalando problemas.
La siguiente cuestión es el tratamiento, le hacela revelación de la información del dato sensible,está, como ustedes pueden ver establecido comouna regla general, solamente con laautorización de su titular puede ser dado aconocer. Este es el principio, que me parece unbuen principio, pero sin embargo, tenemos quepensar y preguntarnos respecto de si esto esabsoluto.
El propio proyecto establece ya un indicio o uninicio de que esto puede ser relativo en el casode revelación de datos médicos, esto es, si serequiere para una cuestión de salubridadgeneral o bien de tratamiento específico en lapersona puede accederse a esta información.
El ejemplo que me parece muy revelador es elsiguiente: Supongamos que una persona llegaa un hospital, a urgencias, está inconsciente y,por tanto, no está en condiciones de revelar lainformación necesaria para el médico, pero elmédico requiere llevar a cabo una transfusiónsanguínea; entonces, el conocimiento del dato,por ejemplo, de la religión puede ser relevantepara el tratamiento, si un Testigo de Jehová,bueno, el médico tiene que enfrentarse aldilema de si opera con una transfusiónsanguínea o bien busca otro tratamientomédico alternativo para poder salvar estaobjeción, derivada de la religión.
Entonces, suena justificable que haya ahí unasalvedad a la necesidad de una autorizaciónprevia.
Pero la ley dice que se requiere la firmaautógrafa, lo cual plantea un problema demanejo de administración del tratamiento delos datos, a diferencia de lo que pasa con laconsignación del tipo de datos que pueden serregulados en una disposición administrativa, meparecer por ejemplo más razonable que losinstrumentos, incluyendo los tecnológicos parapoder salvar la autorización con métodos
205
alternativos a la firma autógrafa podrían ser máspropios de una regulación por vía administrativa,tomando en cuenta los avances de la tecnología.Sin embargo, esta es una cuestión que tendríaque darse en la discusión.
La pregunta y aquí confieso hasta cierto puntomi limitación de información, solamente en estecaso se justificaría una salvedad al monopoliode la autorización autógrafa o pueden existirotras buenas razones para establecer, porejemplo, que mediante autorización judicial ode alguna otra autoridad diversa a la judicialpueda tratarse, relevarse una informaciónrelativa a datos sensibles.
Yo me planteo, por ejemplo, el problema de laraza. En México a partir de la reforma al artículo2 Constitucional, se establece la raza como unelemento importante para la determinación dedeterminadas situaciones jurídicas, laincorporación del derecho indígena, elreconocimiento de los pueblos indígenas implicaque la raza es relevante para determinadassituaciones, ligadas a obligaciones, a derechos, apreferencias.
La definición de quién es un indígena es por símisma muy problemática y además es costosa,puede ser algo así como la prueba del diablo. EnMéxico con los índices de mestizaje indígena esuna cuestión problemática y cara y que enocasiones no puede ser costeable cuando se vadesahogando un procedimiento.
Entonces, ahí puede ser relevante la posibilidadde acceder a una información que puede estaren algún banco de datos público o privado quepueda resolver el problema.
El dato de ser indígena o de ser de otra raza nonecesariamente importa o puede no ser viablea través de la autorización de su titular, es más,su titular puede oponerse a que se conozca esainformación, pero esa información puede serrelevante para la determinación de unasituación jurídica, por ejemplo, para elestablecimiento de un agravante cuando secomete un delito.
Si esta información para no acudir a un peritajemédico que puede ser sumamente caro de DNA,por razón de economía de información puedesolicitarse a través de algún medio a pesar o encontra de la no autorización del titular.
Nos van surgiendo una serie de problemas quecreo que es importante que los vayamospensando.
Y finalmente es: ¿Qué mecanismos son los queel proyecto de ley prevé para poder tener unadecuado cumplimiento de este tipo decuestiones?
Partamos de lo siguiente, en la medida en quehay un ordenamiento que regula los datospersonales, se lleva a cabo una operación en lacual se excluye del mero manejo de losparticulares, y considerando que puede ser unasituación de interés público, por tanto, se activala posibilidad de intervención de órganosadministrativos.
Y, además, que la infracción a los deberes tienecomo consecuencia la imposición de multas ode sanciones públicas. Esto es, hay una exclusióndel menor manejo de relaciones contractualeso defensa o extracontractuales de particulares.
Estamos frente a una cuestión de orden público,en donde la sola infracción, por sí misma, ameritauna sanción. Pero la infracción a los deberes decuidado de los datos personales también puedeocasionar daños particulares.
La pregunta aquí sería: ¿Cuál es la mejor forma olas formas de garantizar un adecuadocumplimiento de deberes?
La ley establece dos tipos de sanciones. Primero,una multa que evidentemente no va abeneficiar al particular. Ni un peso de la multapuede llegar a su bolsillo, pero por otra parte laposibilidad de indemnización si es que hay daño.
Me parecen buenas, me parecen razonables, enprincipio, estos dos instrumentos. Sin embargo,yo creo que puede quedarse corto. La revelación
206
de un dato sensible puede ocasionar daños, y portanto genera la acción de daños y perjuicios. Perono necesariamente puede generar daños. Larevelación de un dato personal puede, inclusive,originar un beneficio a la persona, a su titular,puede darse ese caso. Pero no obstante se violóel deber de cuidado.
Si es así, y si no hay daño, ¿habría alguna acciónque tiene el titular, aunque haya sidobeneficiado o no haya sido dañado para exigir opedir una indemnización por el incumplimientodel deber de cuidado de quien tenía ese datoprivilegiado o no? Yo sería partidario de quepodría intentarse una vía, porque de todasmaneras hay una afectación a su decisión deque ese dato no se dé a conocer,independientemente si le origina daño o no.
El siguiente punto, y con eso concluyo, es cómoestá diseñada la sanción administrativa. Deacuerdo con el proyecto hay una sanción de 5mil a 10 mil salarios mínimos. La únicaconsideración que hago es que esto nos planteasiempre decisiones de costo-beneficio. Esto escuánto va del dato personal, el dato sensible.
¿El dato sensible puede valer más de 10 milsalarios mínimos? Yo creo que sí, podría darse elcaso de que valiera más. Si vale más entonces lasanción está mal diseñada, ¿por qué? Porque noes un adecuado instrumento para poder inhibiro para poder sancionar una práctica de este tipo.
ModeradorModeradorModeradorModeradorModerador: Agustín Ramírez Ramírez.Subcomisionado Jurídico, CONAMED.
Voy a darle la palabra a María José Blanco Antón,quien es licenciada en Ciencias Matemáticaspor la Universidad Autónoma de Madrid,pertenece al Cuerpo Superior de Sistemas yTecnologías de la Información de laAdministración del Estado.
Se ha desempeñado en diferentes puestos en laAgencia Española de Protección de Datos,ocupando actualmente el de SubdirectoraGeneral del Registro General de Protección deDatos.
PonentePonentePonentePonentePonente: María José Blanco Antón.
La seguridad de los datos y las categorías de datosespecialmente protegidos, constituyen dosprincipios básicos de la regulación de laprotección de datos personales, y en lostratamientos de estos tipos de datos lanormativa exige una serie de garantías yobligaciones adicionales, a las que con caráctergeneral establece en cualquier tratamiento dedatos personales.
El tratamiento de datos especialmenteprotegidos es uno de los aspectos que planteamayor complejidad en el análisis general de laregulación de la protección de datos, y esto sedebe al hecho de que son tratamientos queconllevan recogidas conservación y uso de datossensibles, esencialmente relacionados con laesfera más íntima de las personas.
La Directiva Europea de Protección de Datosdefine las categorías especiales de datos,incluyendo en éstas a aquellos datos personalesque pueden revelar el origen racial o étnico delas personas, relativos a las opiniones políticas ocon visiones religiosas y filosóficas, lapertenencia a los sindicatos, aquellos datosrelativos a la salud o a la vida sexual de laspersonas y, por último, los relativos a lasinfracciones o condenas penales oadministrativas.
En el tratamiento de estas categorías de datospueden producirse conflictos entre la intimidadde las personas y, por ejemplo, su esencialderecho a la vida y a la salud, que exige laadaptación, por los ordenamientos jurídicos, deun conjunto de medidas específicas, quegarantizando la protección al derecho a laintimidad, a la protección de datos, no dificulteo entorpezca la asistencia sanitaria o médicanecesaria, para garantizar los derechos queantes comentaba, a la salud o a la vida de laspersonas.
La Directiva, cuando establece estas categoríasespeciales de datos, directamente dice que seprohibirá el tratamiento de estos datos, si bien
207
planten una serie de excepciones y situaciones,que deja pendiente de que cada Estado en sulegislación nacional regule de una forma o deotra, siempre dentro del marco que define laDirectiva.
En el ordenamiento jurídico español, lalegislación española regula los datosespecialmente protegidos en el artículo Sietede la Ley Orgánica de Protección de Datos de laLey Orgánica de Protección de Datos de CarácterPersonal, dentro del Título Segundo dedicado alos Principios de la Protección de Datos. Y definetres categorías de datos sensibles. En primerlugar, los relativos a la ideología, a filiaciónsindical, religión y creencias, para los que exigeque únicamente pueda ser recogidos y tratadossi existe el consentimiento expreso y por escritode la persona, del titular de los datos.
Previamente la Constitución Española, en elartículo 16 fracción segunda recoge que nadiepuede ser obligado a declarar sobre su ideología,religión o creencias.
La segunda categoría de datos especialmenteprotegidos que establece la LOPD son losrelativos al origen racial, la salud y la vida sexual.
Para esta categoría de datos la legislaciónespañola exige el consentimiento expreso de losinteresados o bien que exista una ley que porrazones de interés general haga preciso eltratamiento de estos datos.
Para estas dos categorías de datos la LOPD realizaalgunas precisiones, reconociendo la posibilidadde tratar estos tipos de datos en determinadossupuestos, condicionados a ciertas finalidades ya las personas que realizan estos tratamientosde datos.
En cuanto a las finalidades, las finalidades queestablece la ley son aquellas relacionadas conla prestación de la asistencia sanitaria o de untratamiento médico o la gestión de serviciossanitarios o siempre que sea necesario para laprevención o diagnóstico médico.
En cuanto a las personas para las que la leyestablece un tratamiento especial, son aquellas,los profesionales sanitarios que se encuentransujetos al secreto profesional y otras personasque podrían estar sujetas a una obligación desecreto equivalente.
Para estos tipos de datos, además, establece unaprecisión; el artículo 7 de la LOPD estableciendoque quedan prohibidos los ficheros creadosúnicamente con esa finalidad exclusiva dealmacenar datos que revelen este tipo deinformación.
Por último, la Ley de Protección de Datosespañola recoge una tercera tipología de datosespecialmente protegidos, que son los relativosa las infracciones penales o administrativas, paralos que únicamente las administracionespúblicas, competencia en la materia, estaríanhabilitadas para realizar estos tratamientos dedatos.
Por otra parte, como decía a principio, laseguridad de los datos constituye otro principiobásico de protección de datos que está tambiénrecogido en la directiva y puesto en elordenamiento español, en la legislaciónespañola en el mismo Título Segundo al quehacía antes referencia, dedicado a los principiosbásicos de protección de datos.
Este principio establece que el responsable deun fichero o el encargado de un tratamiento dedatos especialmente protegidos, con algunasprecisiones que haré luego más adelante, decualquier tratamiento de datos, debe adoptarmedidas técnicas y organizativas quegaranticen la confidencialidad, la integridad yla disponibilidad de la información.
La aplicación de este principio y el nivel deexigencias para evitar la alteración, la pérdida,el tratamiento o el acceso no autorizado, van aser más amplios en cuanto a la naturaleza delos datos que se tratan sean más sensibles.
208
Y cuando hablo de datos sensibles, me estoyrefiriendo a las categorías de datosespecialmente protegidos que he estadocitando. Este principio en la regulación españolaestá desarrollado en el Reglamento de medidasde seguridad que aplicando lo que acabo de decirasigna al tratamiento de datos especialmenteprotegidos, el nivel más alto de exigencias encuanto a su cumplimiento.
A partir de este momento voy a centrar lapresentación en los datos de salud. Para lo quese debería limitar el concepto de datos de saludy cómo se regula.
Es necesario, lo decía yo al principio, evitarconflictos entre el derecho a la privacidad y elderecho a la vida y a la salud y hay que adoptarmedidas que garanticen la recogida, laconservación, la confidencialidad, la integridad,la disponibilidad de esta información al resultaresenciales para la preservación de la vida y laintegridad física de las personas.
Por ello se hace necesario articular mecanismosque, garantizando la protección del derecho a laprivacidad no dificulte o entorpezca la labormédica, la labor sanitaria, la labor investigadorasin el consiguiente perjuicio del interesado.
La importancia de los derechos de las personas,pacientes, como eje básico de las relacionessanitarias, se han puesto de manifiesto en elinterés que han demostrado un gran númerode organización internacionales concompetencia en la materia como NacionesUnidas, la UNESCO, la Organización Mundial dela Salud, la Unión Europea, el Consejo de Europaque han impulsado declaraciones o hanpromulgado normas jurídicas sobre la materia.
El Consejo de Europa en particular ha estudiadolas cuestiones relacionadas con la problemáticadel tratamiento de datos en el ámbito de la salud,desarrollando una serie de recomendacionessobre bancos de datos médicos, sobre eltratamiento de datos utilizados con fines deseguridad social, datos epidemiológicos, datosrelacionados con la salud mental. En particular
la Recomendación 5/97 sobre protección dedatos médicos. La última recomendación que haestado relacionada con esta materia sobreprotección de datos recogidos para finesrelacionados con el sector asegurador.
Todos estos son recomendables si se quierehacer un estudio o realizar una aproximaciónde los distintos principios de protección de datosy su aplicación en el ámbito del tratamiento dedatos sanitarios o en el tratamiento de datosrelacionados con la salud de las personas.
Siendo los más importantes, el Apartado 45 de laMemoria Explicativa del Convenio 108 para laprotección de las personas con respecto altratamiento automatizado de datos de carácterpersonal, que viene a ser la primera definiciónde lo que se considera datos relativos a la salud,incluyendo las informaciones concernientes ala salud pasada, presente y futura, física o mentalde un individuo, comprendiendo igualmente alas informaciones relativas al abuso del alcoholo al consumo de drogas, pudiendo tratarse deuna persona de buena salud, enferma o fallecida.
La Memoria Explicativa del Convenio 108, laRecomendación del año 97 sobre protección dedatos médicos también hacen alusióndefiniendo datos médicos como todos aquellosdatos de carácter personal relativos a la saludde una persona, afectando igualmente a losdatos manifiesta y estrechamente relacionadoscon la salud, incluyendo las informacionesgenéticas.
Por último, en cuanto a referencias alreconocimiento que precisa la aplicación delconcepto de datos de salud, traía una referenciaa una sentencia del Tribunal de Justicia de lasComunidades Europeas, que ya ha sido citadoen el Encuentro, la conocida como sentencia“linquis”, en la que el Tribunal viene a aclararqué es lo que se entiende por datos de salud ysimplemente hubo una información quepublicaba la señora “linquis” en su página Websobre la lesión en un pie de un compañero decatequesis, el Tribunal deja claro que se trata deun dato de salud.
209
Volviendo al principio, en el tratamiento dedatos especialmente protegidos relativos a lasalud, es necesario encontrar ese equilibrio dela aplicación del derecho fundamental a laprotección de datos y la prestación de laasistencia médica o sanitaria.
La Ley Orgánica de Protección de Datos en el casoespañol, la LOPD, establece con carácterhorizontal los principios, obligaciones y garantíasde protección de datos, incluyendo ya una seriede limitaciones en cuanto al tratamiento de losdatos especialmente protegidos; la normativade protección de datos se completa con laLegislación Sectorial y la armonización de laLegislación Sectorial con la específica deProtección de Datos es la que va a regular lostratamientos de datos relativos a salud que serecogen algunos de los tratamientos másimportantes en los que se están recogiendo datosrelativos a la salud, están los tratamientosrelativos a la asistencia sanitaria, vigilancia,epidemiológica, ensayos clínicos, investigación,aparte de otros muchos de naturalezaadministrativa, como pueden ser los relacionadoscon la actividad aseguradora, con sus pensionespor minusvalías y muchísimos más.
Ya para terminar, les voy a relatar cómoafectarían las medidas de seguridad, los datosespecialmente protegidos en la regulaciónespecífica de protección de datos en la situaciónespañola, en la LOPD.
El Reglamento de Medidas de Seguridad que hacitado antes que desarrolla el artículo 9 de laLey de Protección de Datos, establece tres nivelesde seguridad: Básico, medio y alto, y en funciónde la naturaleza de los datos que son tratadosen cada fichero, en cada sistema de informaciónestablece una serie de medidas que son deobligado cumplimiento y que soncomplementarias.
Y así, en concreto, en los ficheros de nivel alto, osea, en el nivel alto de aplicación de medidas deseguridad se encuentran aquellos tratamientosque contemplan datos especialmenteprotegidos.
Debe estar implementado un buen sistema deseguridad en la organización, pero además, deberealizarse una auditoría periódica cada dos añospara controlar que las medidas de seguridad seapliquen correctamente.
Un tema muy importante. Cuando se estátratando información especialmente protegidafuera de la organización, bien si ese tratamientose hace mediante un soporte que se hapreparado en la organización para llevarlo a otraentidad o bien cuando esa transmisión se hahecho a través de una red detelecomunicaciones los datos deben ser cifrados,debe mantenerse un registro de accesos paracontrolar quiénes acceden a la información, yqué movimientos realizan en la información delos datos especialmente protegidos, y además,debe existir una copia de respaldo para que encaso de una pérdida de información se garanticela recuperación de la misma.
Todo esto, sin perjuicio del respeto al resto de losprincipios de protección de datos y delcumplimiento del resto de los más sectoriales.
ModeradorModeradorModeradorModeradorModerador: Agustín Ramírez Ramírez.Subcomisionado Jurídico, CONAMED.
Le pediría ahora a la doctora María MarvánLaborde su presentación, de quien baste decirpor el gran reconocimiento que tiene, que esComisionada Presidenta del Instituto Federal deAcceso a la Información Pública.
PonentePonentePonentePonentePonente: María Marván Laborde.
Para continuar con la discusión no abundarémucho en cuáles son los datos especialmenteprotegidos, son así definidos en la Legislaciónespañola en contraposición a otras legislacionesque determinan o los definen como datossensibles.
Creo, simplemente, que vale la pena decir quemientras más clara y precisa sea la definiciónmás sencillo será su manejo. Lo que hay en loshechos, es un reconocimiento explícito y clarode que existen algunos datos que necesitan
210
mayor protección y mejores cuidados por lasautoridades que los tienen en todo su manejo alo largo de todo el proceso que comprenden lasleyes de protección de datos personales desdesu recolección hasta su transmisión.
Hay, de alguna manera, el acuerdo de, como yabien decía el doctor Roldán que los datossensibles, y se empiezan a enumerar una seriede características: origen racial, étnico,características físicas, morales, ideologías,opiniones políticas, convicciones religiosas,filosóficas, estados de salud, estados síquicos,vida sexual y otras análogas.
Y ahí empezamos a tener el problema. Cuandoponemos otras análogas, y hacemos de ladefinición de los datos que necesitan mayorprotección o de los datos sensibles “un cajón desastre” empezamos a perder claridad y certezade qué es lo que estamos protegiendo, qué datosestamos protegiendo y por qué necesitan unamayor protección.
Creo que hay una cuestión que es importantehacer clara. Hablamos de condiciones especialesde protección en todas las fases que supone laley, una Ley de Protección de Datos Personales.
La recolección, el tratamiento, la transmisión yla necesidad de crear o determinar medidasespeciales de seguridad, relativas a su custodiay a quién puede y bajo qué circunstancias, teneracceso a estos registros.
¿Qué los hace especiales?
Que alrededor de estos datos tenemos laposibilidad, reconocida o no, de formarnos juiciosde valor sobre la calidad de las personas y creoque esa es un cuestión importante.
Los datos sensibles, desde mi perspectiva, o losdatos que deben ser especialmente protegidos,son aquéllos que de manera mucho másdelicada, tocan la dignidad y la intimidad del serhumano y que por diversas razones nos generano propician motivos de discriminación o depersecución política, social, racial o religiosa.
En la medida en la que reconozcamos esto creoyo que es importante aceptar que hay unaevolución histórica y cultural del concepto dedatos sensibles, o bien de lo que tenemos queponer en este cajón de datos especialmenteprotegidos.
Hay un principio inamovible: Debemos protegerla igualdad del ser humano y asegurar que todoser humano sea tratado de la misma manera.
Al afirmar que la definición puede variar por lasituación histórico cultura del país, tenemos laposibilidad de reconocer que lo que es un datosensible, porque genera ciertas medidas dediscriminación o de no tratamiento encondiciones iguales, en un lugar puede no serloen otro lugar o en otro tiempo.
Quisiera poner solamente dos ejemplos, que sonilustrativos y que nos llevan a aceptar que estoes una realidad.
En México hasta el año de mil novecientos unaparte lógica de las preguntas del censo, erapreguntar por la raza de la gente: ¿Usted quéraza es? La gente contestaba: Blanco, indígena,negro, etc.
En 1910 no se levantó el censo, en razón de unagran revolución que tuvimos y a partir de 1920desaparece la pregunta de raza en el censo.
Hay una política de Estado que, sin necesidad dehaber hablado o discutido en ese momento deprotección de datos personales, hay una políticade Estado que identifica la raza como una razónde discriminación y la saca del censo.
¿Fue bueno o malo sacarlo?
No lo sé. Lo que sí es que la regresaron, pero conbase en eufemismos.
Hoy día el censo no me pregunta mí raza, pero síme pregunta si hablo una lengua indígena. Enalgunas ocasiones se preguntaba si era yobilingüe, les aseguro que no estabanpreguntando si hablaba yo inglés y español o más
211
bien si hablaba yo tzotzil y español o nada mástzotzil, por poner un ejemplo.
Hay una evolución histórica que tenemos queatender.
A partir del 11 de septiembre en Estados Unidos,pero en todos los aeropuertos del mundo, larelación religión y raza ha adquirido unapreponderancia que no podemos negar.
Si una persona es musulmán, tiene cara demusulmán, tiene cara de árabe, yo puedopresumir o las autoridades de los aeropuertos sedan la libertad de presumir que es un terroristaen potencia, Ahí tenemos cómo claramente haycondiciones históricas que transforman losensible de los datos.
Insisto, perdón, tenemos que hablar sobre lascaracterísticas especiales de los datos, nosolamente en su custodia, sino en recolección,tratamiento y transmisión de los mismos.
Por la relevancia que ha adquirido en México ladiscusión acerca del expediente médico, a partirde la aprobación de la Ley Federal deTransparencia y Acceso a la Información PúblicaGubernamental, centraré mis ejemplosfundamentalmente en este caso, pero creo queson generalizables a muchos ámbitos que tocanlos datos sensibles.
Desde luego, parto de la lógica que no podemosreducir la discusión del tratamiento de los datosque requieren protección especial o los datossensibles a los expedientes médicos, pero enMéxico son un buen ejemplo que nos permiteabordar la complejidad de esto.
No existe una sola Ley de Datos Personales en laque no se defina el estado de salud como undato personal especialmente protegido osensible. Y por ello me congratulo y lo decía hacerato cuando llegamos y nos saludamos, que laCONAMED esté en esta mesa, esté en estadiscusión; créanme que ha sido unapreocupación constante del IFAI y mía personal,
el pensar que se pueda llegar a aprobar una Leyde Protección de Datos personales en México,que solamente tiene la perspectiva financierade Hacienda, Banco de México y Buró de Crédito,etcétera; dejando de lado las preocupaciones demédicos y pacientes cuando claramente estáncontemplados en esta lógica.
Hablemos un poquito de la recolección. Quizá loque primero que tenemos que empezar a definires, ¿qué debe contener un expediente médico,cómo debe llenarse? Reconocer que existenhospitales de primero, segundo y tercer nivel yque esto nos lleva a complejidades específicasen el expediente y desde luego, en eltratamiento de la persona; reconocer que hayhospitales de investigación y que por laprotección de datos personales de una cosaestamos seguros, no queremos que al afirmarque el paciente tiene derecho a conocer suexpediente médico en su integridad, estoprovoque que el médico deje de escribir.
Si ese es el efecto logrado, algo hicimos mal enel diseño de la normatividad y eso creo quetenemos que tenerlo muy claro. El cuidado en eldiseño de las leyes en este momento esverdaderamente crucial.
¿Hasta dónde debe llegar una Ley de Protecciónde Datos Personales? ¿Cuáles son los principiosgenerales que debe sentar? Y, ¿qué le debeencargar a otras leyes?
Ayer hablamos con toda naturalidad de cómolos datos financieros se transmiten o no enrelación a las leyes propias de las institucionesde crédito y demás.
De la misma manera tenemos que lograr unaarmonización entre la Ley de Protección deDatos Personales con la Ley General de Salud. Yesto me lleva a una extraordinaria ponencia deldoctor Roldán hace sólo unas semanas en Chileen el contexto del CLAD (CentroLatinoamericano de Administración para elDesarrollo) que tienen que ver con el proceso dela creación de normas.
212
No basta con que el sector financiero puedahacer lobbying. No basta con que la CONAMEDpueda hacer lobbying. No basta con que la propiaSecretaría de Salud pueda opinar y discutir sobreesto. Tenemos que tomar en cuenta, sin lugar adudas, la perspectiva del paciente.
En esta medida avanzamos sobre la discusióndel expediente médico. Hemos discutido ya enmuchos momentos quién tiene derecho, quiénes propietario del expediente. Hemos habladode la necesidad de trascender esta discusión porasegurarle al paciente, cuestión que me parecefundamental, el derecho a ver el expedientemédico. No podemos privar al hospital o almédico ni de su responsabilidad ni de suposibilidad de tener y organizar los expedientesmédicos.
Y en esta medida quiero yo entrar a un puntoque me parece crucial en el tratamiento de estosdatos sensibles, en la medida en la que soninformación sumamente valiosa en el diseño depolíticas públicas, así como decía hace unmomento quien me precedió en el uso de lapalabra.
¿Cómo podemos plantearnos, diseñar políticaspúblicas de prevención, sin identificarclaramente a la población susceptible decontraer, por ejemplo, una enfermedadespecífica?
Y esto me lleva a la necesidad de usar el dato ymanejarlo con toda responsabilidad en unadefinición territorial. Nadie niega, hoy día, quehay lugares donde se concentra la propensiónal cáncer en razón de ciertas contaminacionesy demás y la investigación médica tiene quepoder contar con esos datos.
Cómo generar un cerco sanitario si no tenemosuna ubicación clara de la población que estásiendo afectada por una determinada epidemia.
Las cuestiones raciales y culturales incidentambién en esta definición de políticas públicas,es claro que hay ciertas razas donde algunas
enfermedades o problemas congénitos son máspropensos a suceder que en otros.
Cuestiones socioeconómicas. ¿Quién seatrevería a negar hoy en México que la diabetestiene una relación muy clara con problemas dedesnutrición y problemas donde la población seconsidera económicamente marginada?
Patrones de la vida sexual. Desde el ejemplo másclaro que nos ponían en genética cuandoestábamos en primaria, donde fue claro que lahemofilia tenía que ver con los patronessexuales, permítanme una expresión un pocofuerte, de apareamiento, en la manera en la quese casaban entre los reyes, las cortes, hasta hoydía en cuestiones como la propagación del VIH-SIDA.
Como país yo necesito saber quién es VIH-POSITIVO por qué y esto al mismo tiempo que lonecesito saber no debe dar lugar a ladiscriminación, ese es el punto delicado delasunto, ni una discriminación laboral, ni unadiscriminación de cualquier otro tipo.
Me atrevo afirmar, un dato se vuelve sensiblecuando su difusión o su mal uso se convierte enmotivo de discriminación. Muchos de nosotroshemos tenido la posibilidad de conocer unejemplo clásico que hubo de resolver la AgenciaEspañola de cadena de supermercados que conbase en la fotografía de los solicitantes de empleodeterminaron quiénes podían y no podían entrar,gorda, chaparra, fea, tiene cara de mexicana, esdecir, aparecieron todos estos datos y con esoselementos discriminaron de la posibilidad deque se consiguiera empleo a un grupo específicode personas.
Los datos o el manejo de los datos en manos delSector Salud pueden tomar una connotacióncompletamente distinta en manos de lasaseguradoras, creo que es importante reconocerque existe una tensión entre los interesespúblicos y privados.
Ayer dijimos de manera prácticamente natural,en el seno del trabajo de este Encuentro, que
213
era válido de alguna manera para el Buró deCrédito manejar los niveles de riesgo y premiaral buen pagador cuando solicita un crédito oquiere comprar algún tipo de mercancía. Si bieneste principio puede ser muy claro en esteámbito, probablemente no sea extrapolable sinton ni son sin tomar en cuenta ciertos principioséticos al ámbito de la salud.
Si las aseguradoras médicas sólo concedenseguro contra enfermedades médicas a quienesno tienen el riesgo de enfermarse, para quécompro un seguro.
Permítanme caricaturizar un poquito, si mehacen un análisis de ADN como condición paradarme un seguro y me dicen sólo la podemosasegurar a usted contra tal y cual enfermedad,porque es lo que le podemos asegurar por suADN, que no va a contraer, como para qué lespago una prima todos los meses o todos los años.
Es decir, son cuestiones que nos llevanrealmente a tratar de entender y manejar lacomplejidad que tiene el manejo, perdón, laredundancia, de estos datos sensibles.
Cuando hablamos de datos especialmenteprotegidos, normalmente se incluye en laslegislaciones de datos personales la necesidadde disociarlos, disociarlos de quién, del dueño deestos datos.
Y aquí permítanme también problematizar unpoco. ¿Cuándo y cómo debemos disociarlos? Siun expediente médico va a ser utilizado para lainvestigación, me queda claro que debemos dedisociarlo del nombre y rostro del paciente a finde que éste no pueda ser identificado y en últimainstancia discriminado por su condición desalud, pero al mismo tiempo tenemos quepermitir al Sector Salud, a quien se dedica a lainvestigación médica, darle seguimiento a laspersonas desde que nacen hasta que mueren ytodavía más, aún yendo hacia sus antecesores odescendientes.
Resulta una verdad de Perogrullo afirmar queproblemas de desnutrición en la infancia tienen
consecuencias claras en mi estado de salud enla vida adulta. Que la tendencia familiar a ladiabetes o el cáncer puede predisponer a mishijos a tener cáncer o diabetes.
Sin embargo, si esto va a ser razón o motivo paraque no se me dé un seguro, para que no se metrate en un hospital, para que no se me contrate,tenemos que tener precisamente un cuidado endonde la ética atraviesa siempre ypermanentemente este tipo de manejos.
Los datos especialmente protegidos requierenuna reflexión sería de las condiciones de latransmisión. ¿Quién y bajo qué circunstanciastienen derechos a tenerlos y/o recibirlos? ¿Cuálesson las medidas de seguridad electrónica, desdeluego, y no nada más electrónica dealmacenamiento y custodia de los mismos?
Y aquí venimos a otro punto que en la discusiónde las leyes de datos personales es crucial: ¿Quétipo de consentimiento requiere el manejo deestos datos que ya hemos definido comoespeciales?
Es claro que necesitamos un consentimientoexpreso, firmado y claro que cubra todas y cadauna de las partes del proceso. Su recolección, sutratamiento y su transmisión. No es nada más elpermiso cuando voy a recolectar los datos, no esnada más el permiso para poderlos manejar ytratar, participar de una investigación otransmitirlos. Cada una de las fases varequiriendo consentimientos expresos, quetienen que estar claramente enmarcados en laley, de tal manera que sean una realidadoperable, pero que garanticen al individuo estaprotección de sus datos.
Parto, desde luego, del derecho a saber. Cuandoingreso, por ejemplo, a un hospital-escuela, yosé que por definición mis datos pueden serutilizados para la investigación. No es nada mássaberlo por definición. Creo que lo menos quemerece una persona que es paciente de unhospital-escuela, es que se le advierta y pida suconsentimiento de que su expediente médicoserá parte de una investigación, y asegurarme
214
que tenga yo este conocimiento. Es decir, enúltima instancia las leyes de protección de datospersonales nos llevan a nosotros, comoindividuos, a adquirir conciencia de que somoscajas completas de información, y que el manejode estos datos debe hacerse con todo el respectoa mi dignidad de persona, y en beneficio tambiénindividual y también social.
Por eso creo que es importante poner el ejemplode la importancia del manejo de los datossensibles en el diseño de políticas públicas.
Tenemos que partir de reconocer en el manejode estos datos de la capacidad deautodeterminación del ser humano, que en estecaso específico nos lleva a afirmar la autonomíadel paciente, y a dejar atrás prácticaspaternalistas, que nos llevan a suponer queexisten seres humanos, hombres y mujeres, quedeben o no pueden ser tratados como adultos. Odicho de otra manera, que los tenemos quetratar como eternos menores de edad.
Hablar de protección de datos personales, hablarde tomar conciencia como persona que tengoestos derechos, es en última instancia unreconocimiento de la libertad humana, y unreconocimiento de que todo ser humano tieney debe protegerse su capacidad de razonar y deescoger.
Creo que ésta es, en alguna medida, la esenciadel tratamiento especial que le debemos dar alos datos personales que nos llevan a lanecesidad de una definición clara, de previsionesnormativas cumplibles en todas las fases delprocesos: recolección, tratamiento, transmisión,almacenamiento de datos y acceso a los archivosde los mismos y, desde luego, como ya decíatambién el doctor Roldán, a sanciones específicasque realmente sean capaces de disuadir altrasgresor.
El día de ayer conversábamos en la cena con eldoctor Piñar Mañas. Hay compañías españolasque prevén en su presupuesto hasta 6 millonesde euros, para pagar en multas por el maltratamiento de datos.
¿Qué quiere decir? Que ellos ya hicieron uncálculo que pueden ganar, por lo menos 6millones de euros más uno, en caso de violar laley. Esas son las cosas que tenemos que tomaren cuenta en el diseño de una norma y por eso,créanme, me congratulo mucho que estén en lamesa con nosotros.
ModeradorModeradorModeradorModeradorModerador: Agustín Ramírez Ramírez.Subcomisionado Jurídico, CONAMED.
Quiero decirle que en el Sector Salud yparticularmente en la Comisión Nacional deArbitraje Médico, reconocemos este interés nosolamente jurídico, legal, de entrar al estudio deltema, sino un interés legítimo que en estemomento se reconoce con sus palabras, pues senota que el Instituto de Acceso a la Información,su Presidenta y el resto de los señoresComisionados tienen este interés en abordar eltema, para beneficio no de las instituciones, sinoconcretamente, como usted lo señalaba, de lospropios pacientes.
Así que muchas gracias por habernos invitado.
PPPPPonenonenonenonenonentetetetete: Fabrique Gallegos.
Quiero aclarar que vengo en representación deAbraham Sotelo Nava; soy Director General enla Unidad de Gobierno Electrónico y Política deTecnología de la Información. Me dedico a laoperación de todos los sistemas electrónicos queofrece la Secretaría de la Función Pública.
Primero explicaré un poco sobre lo que estamoshaciendo en medidas de seguridad y en especialcon los datos especialmente protegidos.
Los voy a sacar un poco de contexto en el sentidode que no voy a hablar sobre expedientesmédicos, voy a hablar de lo que estamoshaciendo en el ámbito de la tecnología.
La Secretaría de la Función Pública,antiguamente la Secretaría de la Contraloría yDesarrollo Administrativo, ha cambiado defunciones a partir de enero de 2004; es decir, ha
215
tenido nuevas atribuciones y estas atribucionesinvolucran precisamente a la Unidad deGobierno Electrónico y Política de Tecnología dela Información, a generar esto: Política enTecnología.
Para la presente administración el tematecnológico es de gran prioridad, es una altaprioridad y, por lo tanto, los resultados quenosotros hemos ofrecido y realizado en el tematecnológico, nos han generado que nuestrosentir, nuestro ser y nuestro saber es ahora elciudadano. Ese es nuestro centro de atención,es nuestro centro de acción.
Por lo tanto, al tener, como nosotros, alciudadano en medio, queremos recuperar esaconfianza perdida del ciudadano con sugobierno. Es decir que el ciudadano tenga ungobierno que funcione como todos queremos;un gobierno el cual sea eficiente, el cual seaeficaz, el que sea oportuno, el que sea seguro y,por lo tanto, se ha generado una estrategiageneral, la estrategia de buena agenda, de buengobierno, que comprende diferentes líneas deacción, en donde le estamos ofreciendo alciudadano diferentes acciones en materia sobresu gobierno, que tenga un gobierno que cuestemenos, de calidad, profesional, digital, con mejoraregulatoria, honesto y transparente.
En la utilización de la tecnología, en lautilización de la mejora regulatoria, esprecisamente ahí donde la seguridad que hemosdado a los sistemas que producimos juega unpapel relevante.
La aplicación y el uso de la tecnología de lainformación, si bien nos ofrece ventajas para queel ciudadano tenga una calidad de vida mejor,para que el ciudadano tenga facilidades deinteracción entre gobierno, sus particulares, lasempresas y el propio gobierno, que tenga unmejor desarrollo social y económico.
También la tecnología en una utilizaciónincorrecta puede convertirse en una amenaza.Cuántos de nosotros no hemos utilizado loscajeros automáticos y sentimos amenaza
cuando utilizamos un medio electrónico, el quenos pueda dar el dinero correcto que estamossolicitando; cuántos de nosotros tambiénconsultamos o hacemos una transacción víaInternet o recuperamos nuestra Curp a travésde Tramitanet.
Existe una gran diversidad de trámites y serviciosque ahora se ofrecen a través de estos medios yque pueden resultar en una mala utilización,puede resultar una amenaza para el propiousuario, puede formar una manera de exclusióno tener alguna condición de incertidumbre o deriesgo por la propia transacción electrónica quese esté realizando.
Nosotros creemos en principios básicos en laprotección de datos, sean datos personales osean datos no personales.
Uno es el principio de legalidad. Tener los datosprecisamente en el ámbito legal que sonrequeridos, no pedir más, no pedir menossimplemente los que legalmente podemos pedir,los datos que sean de calidad, es decir, no contarcon información que sea basura o que seaincorrecta, que sea impropia.
Uso y destino de la información. Precisamentesaber cómo se van a utilizar estos datos y dóndevan a estar almacenados, es un principio muyimportante.
La seguridad que implica diferentes tipos deseguridad, llámese física, lógica y, la custodia yconsentimiento para la transmisión de datos. Esdecir, hacer una transacción electrónicatenemos que tener el consentimiento de ambaspartes y de esa manera van a poder comunicarsey serán válidas sus transacciones.
En el ámbito de la custodia se han generadodiferentes acuerdos en donde la Secretaría dela Función Pública tiene en custodia, por ejemplo,bases de datos de servidores públicosconteniendo información muy sensible endonde podemos definir datos que son personales,aquellos que relacionan a la identificación de lapersona y aquellos también que comprenden su
216
información en archivos, es decir, la que tienerelacionada con esa misma persona. Pero aúnasí existen datos que no necesariamente sonpersonales y que requieren ser tambiénespecialmente protegidos.
La Secretaría de la Función Pública ha generadodiferente tipo de seguridad y política para lautilización correcta de estos datos.
La política de la seguridad física. En nuestrasoficinas seguridad física implica tener accesosrestringidos en nuestras propias instalaciones,custodia de los archivos físicos que podemostener, circuitos cerrados de televisión en dondepodemos verificar exactamente las personasque estamos autorizadas a trabajar en el pisoasociado a nuestra unidad.
La seguridad lógica que conlleva a la utilizaciónde registros electrónicos que nos permitan laentrada electrónica a nuestras instalaciones.
El acceso a los propios sistemas que implicantambién una seguridad lógica, implican unaseguridad desde el punto de vista de lautilización de las bases de datos, de los roles quejuegan los que custodian las bases de datos y losroles que juegan quienes hacen uso de estasbases de datos.
Así también la utilización del correo electrónicoen el sentido de no volverse un distribuidor deinformación, tal vez confidencial. También laseguridad en redes, proteger ciertos segmentosde transmisión de datos por los cuales no puedentransitar los mismos para los cuales la Secretaríade la Función Pública ha generado este tipo depolíticas de identificación y de autentificación,utilizando también mecanismos como la firmaelectrónica, la firma electrónica avanzada, endonde la Secretaría de la Función Pública através de diferentes acuerdos normativoshemos generado este mecanismo que nos dauna confidencialidad de autenticidad de losdocumentos electrónicos que estamosutilizando, entiendo por autenticidad aquellosdocumentos en donde podemos ser e identificaral autor del propio y también la confidencialidad
guardando el acceso al propio documento yrestringirlo a quien únicamente pueden verlo.
Aunado a ambas partes, la confidencialidad y laautenticidad nos da para nosotros lo queutilizamos ahora que es la firma electrónica y lafirma electrónica avanzada, utilizadoinfraestructura de llave pública y llave privada.
Con ello hemos generado diferentes sistemas,como es el sistema Compra-Net, que es el sistemapara las compras del Estado, en donde utilizamoseste tipo de mecanismos donde protegemosdatos sensibles que no necesariamente sonpersonales. También tienen que ver con datosen donde una transacción puede llevar a caboalgo en negocio, es decir, algo en dinero, aquellosproveedores y contratistas que quierancontratar con el Estado pueden enviar susofertas a través de este sistema y podrán serganadores, tal vez, de un contrato de unconcurso; por lo tanto, la protección de sustransacciones es sumamente importante, asícomo los datos que contienen cada una de esastransacciones, no pueden ser revisadas por nadiemás, solamente en tiempo y forma que estáadecuado o realizado para la utilización de estesistema.
También este sistema ha sido auditado por elBanco Mundial, precisamente en el aspecto deseguridad.
Tres ejemplos más donde utilizamos protecciónde datos muy importantes: sistema deDeclaranet, que nos permite a nosotros, servidorespúblicos, presentar nuestras declaracionespatrimoniales; es decir, nosotros como servidorespúblicos tenemos la obligación de presentarcuánto ganamos, qué propiedades tenemos(bienes muebles, cuentas bancarias) que leasegura poder identificar al gobierno con lo quecontamos en el ejercicio de nuestro servicio.
Existe otra iniciativa como es elsistema@campus donde nos permiteidentificarnos a través de estas llaves públicas yprivadas y poder tener acceso como servidorespúblicos a capacitación en línea.
217
También existe otro sistema, el Sistema RUPA,que es el Registro Único de Personas Acreditadasque nos permite acreditar la personalidadjurídica de una empresa que quiere hacertrámites y servicios con el Gobierno Federal ycuenta con toda su información y es válida entodas las dependencias; es decir, su informaciónpuede ser visible por los interesados para realizartrámites y servicios en las demás dependencias.
Con esto espero haber dado un panoramageneral de lo que estamos haciendo en laSecretaría de la Función Pública y especialmenteen los productos y servicios que estamosofreciendo a la ciudadanía.
ModeradorModeradorModeradorModeradorModerador: Agustín Ramírez Ramírez.Subcomisionado Jurídico, CONAMED.
A continuación le pediría al doctor EnriqueDomville, quien es médico egresado de laUniversidad Nacional Autónoma de México, quetiene una amplia experiencia y trayectoria de25 años en diversas instituciones del SectorSalud.
Fue asesor en tecnología de la información delexpediente clínico y actualmente es asesor delSubdirector General Médico del ISSSTE.
PonentePonentePonentePonentePonente: Enrique Domville Domville.
Los datos especialmente protegidos. En estemomento estamos adoptando un lenguaje, peroen realidad estos datos a nosotros nos losenseñaron en la facultad que teníamos queprotegerlos y teníamos materias como sería laIntroducción a la Clínica, donde nos hicieronhincapié de cómo obtener la información paraayudar a nuestro paciente, por supuesto que esainformación tiene que ver con todos los datosque pueda el paciente darnos para poderleayudar.
¿Cómo se guarda el expediente? Nosotrostenemos en el país actualizaciones del siglo XIX,del siglo XX, siglo XXI, estamos en una época detransición, donde estamos cambiando del papelal óptico, al electrónico. En este momento decir
que todo el material está debidamenteprotegido en todo el país, sería redundar en unanecedad y error.
Los Usuarios:¿Quiénes son los que pueden acceder al tipo deinformación que nosotros manejamos? ¿Elpersonal del hospital? Me atrevo a decir no legal,sino judicial, porque habitualmente se requiereuna orden para la entrega de un expediente, yse puede usar desde el punto de vista comercial.
¿Qué es lo importante? El respaldo. ¿Por quénecesitamos respaldo? Porque hemos vistorecientemente, en diciembre del año pasado untsunami que acabó con información médica entodo el Sureste Asiático. Tenemos un temblor del85. Tenemos recientemente huracanes en lazona sur del país. La protección no nada más vacontra el mal uso de esa posible información, sinoa la protección, tiene que ver con guarda, tieneque ver con el poder seguir ayudando a aquelque lo necesita, y por lo tanto su información,porque es muy difícil acordarnos de todo. Tal vezel paciente se acuerde de algunos detalles, peropara eso utilizamos el expediente, precisamentepara remarcar y recalcar todos aquellos avanceso diagnósticos o bien estudios que se hayanhecho.
¿Cuáles son los peligros? Los peligros son, laconsulta fraudulenta. Siempre hay alguien quequiere obtener algo, además de su salud. Alguienquiere utilizar la información para otros fines,no para los que fue creado. A esto nosotros letenemos que denominar de alguna maneraconsulta fraudulenta.
Tenemos la sustracción de esa información, seroban los expedientes para fines de personal ytenemos los desastres que ya hacia mención.
La empresa por no decir el sistema médico, quepuede ser desde el individuo hasta unainstitución privada o pública, y el usuario son losresponsables, porque ambos tienen derechos yobligaciones.
218
Mencionaba la doctora hace un momento sobrela importancia de lo que sería el consentimientoinformado. De acuerdo a la regulación de nuestropaís nosotros utilizamos lo que es elconsentimiento informado. En este momentono se practica ninguna circunstancia de ordenmédico si no está con firma autógrafa en elexpediente el procedimiento o lo que se le va ahacer al paciente. Siempre está por escrito conla autorización.
La información tiene un flujo. Tenemos dos tiposde información, una que proviene del hospital yotra que provendría de una delegación.
La delegación tiene varios tipos de unidades. Lasunidades podrían ser de primer nivel, podrían serclínicas hospitales u hospitales generales. Ytienen guarderías, oficinas administrativas,velatorios, almacenes. Todos estos manejaninformación privilegiada, información que puedeser de uso comercial, esta informaciónprivilegiada tenemos que custodiarla.
Pero la más importante es la que se genera tantoen las unidades médicas como en las guarderías.
Ahora, acuérdense ustedes que nosotrostenemos la posibilidad de la dualidad. Endeterminado momento podemos ser custodiosde la información y en otro momento estamosproporcionando la información, porquerequerimos nosotros del tratamiento médico.
En los hospitales regionales hay que ver cómoestá su estructura, el abasto, el personal, losaccesos. En personal tenemos fichas deidentificación del personal, que además puedenser derechohabientes de los propios hospitales.Por lo tanto, aquí se maneja el sistema de quetenemos archivos separados y tenemos variosarchivos.
Ahora, cuando tratamos de evaluar la estructuraaquí vamos a ver los daños que ocasionó y esosdaños nos llevan a verificar la información, si esun daño interno o es un daño externo.
Si es un daño interno tenemos que evaluar sipuede seguir operando. Esto quiere decir que sitenemos los recursos para seguir atendiendo ala gente que lo requiere, ya sea a nuestrosderechohabientes, población abierta o a nuestromismo personal, y hay que evaluar los por cientos.Todo esto es información que puede serprivilegiada, aunque en este momento no sondatos personales, pero todo esto va influir sobrelos datos personales, porque va ser la manera conlo que vamos a poder o no poder hacer nuestrasacciones y se tiene que plasmar en undocumento, que es el expediente clínico.
Ahora, si el daño es externo poco podemos hacer,pero tenemos que ubicarnos en el lugar de sitio.
Nosotros necesitamos saber qué abastotenemos. ¿Por qué? Pues porque esto se vareflejar otra vez en le expediente. Nosotrosvamos a saber si le podemos dar agua, si lepodemos dar medicamentos, si los tenemos o nolos tenemos. Todas estas acciones se reflejan ose van a reflejar sobre los datos especialmenteprotegidos del expediente clínico.
El personal. En un desastre tenemos que saberqué personal estaba, necesitamos saber quiénesestaban y si les ocurrió algo en nuestrasinstalaciones o si no llegaron a nuestrasinstalaciones y, por lo tanto, si están ausentesde las áreas.
¿Cómo son los accesos?
El tipo de atención. A cada uno de éstos que leestamos dando atención, nosotros tenemos quehacer un registro de la atención que estamosdando y, por lo tanto, se vuelven datosespecialmente protegidos, pero estos datos setoman en circunstancias muy especiales, porqueestamos frente a un fenómeno.
La organización. Esta organización, para obtenerlos datos, guardar los datos y conservarlosdurante el desastre, pues es un reto que no estáregulado, es un reto que hay que pensar y quehay que trabajar mucho.
219
¿Con qué frecuencia vamos a actualizar estosdatos? ¿Cada seis horas, cada ocho horas, cada 12horas?
Pues va depender de la organización previa aldesastre que tengamos, para el manejo de estetipo de información.
La información en hospitales. Pues toda estainformación va estar en relación con elexpediente clínico; el nombre del hospital, enfin, etc., la fecha de inauguración, las historias,las anécdotas, la capacidad física de un hospital,el número de camas, consultorios, urgencias.Todo esto influye sobre el documento queestamos hablando, que está especialmenteprotegido.
El número de camas, consultorios de urgencia,consultorios de gineco-obstetricia para saber, porejemplo, la capacidad resolutiva. Si nosotrosvemos dos pacientes por hora y tenemos unconsultorio, pues no vamos a poder ver más dedos pacientes por hora. Los quirófanos de lamisma manera para ver su capacidad.
Todos estos auxiliares de diagnóstico son parteimportante de lo que contiene el expedienteclínico, ya que estos datos hablan de una partedel tratamiento o hablan en especial de algunasterapias que se usaron, como por ejemplo en elbanco de sangre, si se ha transfundido, si no seha transfundido.
Y habitualmente todas éstas traen eldiagnóstico presuncional.
El archivo: El número de expedientes quemanejamos. En promedio es uno por poblaciónderechohabiente, si el ISSSTE tiene 10 millonesde derechohabientes, pues vamos a tenerteóricamente 10 millones de expedientes, perono es así. Cada nivel de atención tiene su propioexpediente, entonces estamos hablando de laposibilidad de 30 millones de expedientes, massi fue atendido en otras unidades, aparte, queno le correspondía, entonces estamos hablandode muchísimos datos, de millones de datos.
Estamos haciendo 90 millones de accionesmédicas por año. Estos 90 millones de accionesmédicas se reflejan en un expediente y en estereflejo estamos hablando de que hay queguardar esos 90 millones de acciones, de algunamanera, para que no tengan un mal uso ypuedan hacerse para lo que son, para ayudar anuestros pacientes.
Ahora bien, antes de llegar a decir que hay unaregulación o que estamos en proceso de,nosotros tenemos que llamar a los responsablesy decirles, el contexto ha cambiado. Nosotros eneste momento vamos a hacer conciencia de losmillones de datos que manejamos, quenecesitan ser salvaguardados. Por lo tanto, debede existir un cuerpo colegiado de expertos quedé asesoría, antes de auditoría, primero tiene quedar asesoría para formar y, posteriormentecertificar el cumplimiento del mismo. Yo lellamaría asesoría y certificación en lugar deauditoría.
ModeradorModeradorModeradorModeradorModerador: Agustín Ramírez Ramírez.Subcomisionado Jurídico, CONAMED.
Cédric Laurant, voy a señalar brevemente sucurrículum, es Consejero de Políticas de EPIC,centrado en temas de privacidad internacionaly políticas comparativas y aspectos legales delos regímenes europeos y estadounidense; sutrabajo reciente se ha enfocado en los ficherosde viajeros aéreos, vídeo vigilancias, tecnologíasde identificación de radio frecuencia, en lanegociación de las directrices en privacidad, dela APEC y, en el tema de vigilancia electrónicagubernamental; es master en Derecho por laEscuela de Derecho de la Universidad deColumbia.
PonentePonentePonentePonentePonente: Cédric Laurant.
Voy a explicar principalmente la situación en losEstados Unidos, el concepto por sí mismo noexiste. Lo que sucede en los Estados Unidos sondiversas regulaciones que cubren tiposespecíficos de información y en las legislacionesse menciona una referencia donde existen datossensibles.
220
Los datos sensibles son algo que se refiere nosólo a muchas cosas, sino a uno muy importanteque es la dignidad, que cuando se utiliza de unamanera adecuada por las autoridades se llamanrealmente datos sensibles.
Entonces, al formar este concepto nosotrospodemos ver que estamos rastreando yperfilando un desafío hacia la sensibilidad deprotección de datos o la protección de datossensibles.
Recientemente y posterior al huracán sepublicaron y las autoridades empezaron a decirque se podían identificar mejor las tarjetas deidentidad, así que ahora en los Estados Unidosexiste un gran debate sobre si estasinvestigaciones son desafiantes o no, y si sepuede dar la aplicación de la ley con las agenciasgubernamentales que están tratando con estasituación de emergencia.
Yo me enfoco en tres casos principales: Elprimero, es la supervisión de los niños; lasegunda, es la de los empleados en un lugar detrabajo y la tercera de las situacionesimportantes.
En el primer caso la vigilancia de los niños tieneun tipo de datos que se refieren a la educación yhacia dónde van los niños desde su escuela o sukindergarten para ver qué es lo que se identificacon respecto a los menores.
Esto fue algo reciente en los Estados Unidos, porejemplo, en los parques de diversiones comoDisneylandia, Six Flags, etc., y se están pidiendohuellas digitales en todos los patrones queincluyen niños.
Si este fuera el caso en la Unión Europea, si fuerauna situación de protección de datos entoncesestaría prohibida en los Estados Unidos puestoque no hay una situación de datos, de protecciónde datos unánime, ya que esta recolección dedatos no es permitida. Las compañías tienen elderecho de recolectar datos, pero no siemprehuellas digitales, lo interesante en este caso esque el propósito es muy sensible, porque la
mayoría de las personas en los Estados Unidoscreen que las huellas digitales son datosrealmente sensibles, la razón para recopilar estoes que evita que las personas utilicen laidentificación de alguna otra persona, pero elpropósito mismo no es proporcional el tipo dedatos y la sensibilidad de esta recopilación delos datos.
Este problema de protección de datos es que noexiste una proporcionalidad, la recolección dehuellas digitales con el propósito de asegurar losdatos y de la persona que necesita utilizar estode la misma manera, de una manera legalexcede esta proporcionalidad.
Otra situación que me interesó es que el 99.9por ciento de estas situaciones no se dan cuentade que cuando se les pedía que hicieran unafirma, que pusieran sus dos dedos, el índice y elmedio, la mayoría de ellos no se daban cuentade que en realidad estaban proporcionando sushuellas digitales.
Lo que sucede con estos datos es que lospropósitos que se están generando se utilizanposteriormente por las autoridades, entonces, latercera y la más importante es que las personasno dan un consentimiento explícito para que seutilicen estos datos o las huellas digitales comohemos estado diciendo.
Otro caso interesante que se llevó a cabo aprincipio de este año, se presentó en California,era un rastreo de niños con diferentesimplicaciones. Los obligaban a utilizar unos comodelantales, donde estaban ocultos estosarsenales, y les podían, les decían que erasituación de manejar mejor a estos niños. Y aquípodemos ver que esta situación generaba elpropósito que estábamos viendo que habíagrandes problemas, y que estaban manejandoestos datos tan sensibles a su entender,registrando toda la situación que estabagenerando los niños en cualquier momento.
La situación de la protección de datos en EstadosUnidos principalmente tiene un alcance de ladignidad de los seres humanos, incluso aquí que
221
estamos hablando de niños, y son niños que nosacan una tarjeta de identidad, ni existe unaproporcionalidad entre el tipo de datos que seestán utilizando para medir esto y el propósitoque éstos tienen.
También se refiere a la implicación delconsentimiento y de la transparencia. Esto conuna implicación que nos da una situación de losdatos y la tecnología, es un propósito que se iniciapara tratar a los seres humanos, para rastrearloscomo vegetales, como latas o como situacionesde embarque.
También puede tener un impacto. ¿Qué tanfácilmente podría darse que esos niños fuerandiscriminados en cierta instancia, debido a queesa información que está contenida aquí sepuede manejar no solamente por los que se lesrequirió, sino también por cualquier persona quetenga acceso a esta información y por todas laspersonas que puedan entrar en contacto con losniños, y podrían leer la información de este niño?
Otro caso interesante es la supervisión o lavigilancia en el lugar de trabajo, en el uso depactos, de cartas o de tarjetas de identidad.
El uso de tarjetas listas, de tarjetas que seutilizan para dar un acceso, para Internetespecífico en el lugar de trabajo. Estas tarjetasastutas a veces son realmente seguras.
Pero en general no tiene sentido, por ejemplo,en los hospitales o en algún otro tipo deinstalación tampoco tiene sentido si se haceeste tipo de situación en todo el ambiente detrabajo.
También eso ha sido terminado por lainvestigación que se ha dado en el gobierno, quese investiga a ciertas compañías, para entenderde una mejor forma cómo estas compañíaspodrían recopilar o utilizar este tipo de tarjetasastutas y utilizarlas como una referencia futurapara definir este tipo de personas que elloscontrataban.
La mayoría de los registros estaban en una formapersonal y el empleado podía ser rastreado, podíaser encontrado por sus patrones en cualquierlugar, en cualquier posibilidad o en cualquierregión en que éste estuviera; en grupo, en ellugar en que se localizara, con quién se estuvierasocializando, con quien se estuvierarelacionando, con otros empleados.
Por lo tanto, también es interesante al definiresto, que solamente una de las compañas, dadaslas cláusulas específicas y escritas, en las queellos lo autorizaban, donde no se utilizara estetipo de datos en contra de las personas queestaban siendo empleadas y de unas pólizasespecificando cómo más adelante estos datossolamente se utilizarían para el momento enque se estaban contratando.
Así es de que uno de los asuntos másimportantes de protección de datos es que esastarjetas, aunque originalmente se utilizabanprimero para abrir puertas, digámoslo así,generaron una gran cantidad de datos que serecopilaban posteriormente con esos propósitosy eran una situación diferente, puesto que enlugar de beneficiar los perjudicaba, a pesar deque se pudieran considerar como situaciones deseguridad.
Y entonces aquí podemos ver que el uso de estesistema de rastreo, que modifica el equilibrioentre la conveniencia personal, la seguridad enel lugar del trabajo y la privacidad, nos lleva auna pérdida de seguridad privada.
En los Estados Unidos esto no se consideradentro de los derechos humanos, puesto que seestá hablando de la Constitución, puesto que seconsidera como valor, que se pone en situaciónde la supervivencia en el lugar de trabajo. Laseguridad y la conveniencia personal, en estecaso en particular, son de un uso y un valor deuna conveniencia personal, a pesar de que estéatentando contra la seguridad y contra losvalores individuales.
222
La tercera área de supervisión era la situaciónde poder tener un chip subcutáneo, que muchascompañías estaban utilizando para ayudar a losparamédicos y a los doctores para poder teneren caso de que el paciente permanecieseinconsciente y no pueda dar su información osu historial médico.
Es muy poco probable, es muy poco convenienteque se promueva una tecnología quepermanentemente ate al ser humano con unchip, una vez que desde aquí ya no va a teneresta situación de privacidad y de tranquilidadque pudiera lograr.
También se propuso un marco para regular estasituación y pensamos que lo que podríamoshacer con este asunto y los generales, seríaidentificar y no ocultar de una manera personalla identificación personal, pero si se pudieraencontrar podemos decir que podría ser unasituación no permanente, pero que sí serelacionara con el individuo en específico.
Esto debería ser una incertidumbre. Aquí el casocon los pacientes que están etiquetados por estetipo de chips, por seguridades de su privacidadpuesto que se está afectando su identidad.También sería el caso del uso de este tipo detarjetas que están permanentemente ligadas alos individuos, esto representa a las personas queestán originando esta identificación. Estaríaprohibido este tipo de chip.
Como conclusión general yo quisieraproponerles que pensaran y consideraran. En losEstados Unidos lo que sucede es que la mayoríade las personas piensan en los riesgos, en los tiposde datos específicos, en los duplicados, cuandoestamos hablando de los individuos y en generales un marco que el legislador y los que hacen lapolítica deben de valorar cómo estos sectoresespecíficos deberían de ser interrelacionados ocómo estos datos deberían de ser recopilados.
Y también siempre deben enfocarse hacia unasituación de una privacidad en general, queconforma no obtener o poseer los datos a travésde la tecnología, sino de una tecnología futura y
de una protección de este tipo de datos. Estosejemplos, yo les quiero demostrar que lascompañías empiezan a pensar en la tecnologíay en el interés de tener una base de datoscomprensiva total.
Y por ejemplo esto afecta a Microsoft porquetienen asuntos de privacidad, problemas con suprivacidad. También que vean esta situación deque estos tres factores claves se deben apoyarcon estas compañías y deben de responder deuna manera legislativa.
Primero la conclusión potencial con loscongéneres de otros tipos de datos que sepodrían cubrir. También el incremento de podertener más confrontación con la recolección dedatos personales que pueda afectar unasituación y también incrementar los códigos deacceso para poder mejorar la seguridad.
Y también esto debería realmente hacerse, sobretodo en el trabajo de Microsoft. Han propuestotambién un marco específicamente conrespecto a la información que influye en losrequisitos de obtener un consenso explícito porparte del consumidor para que entre en vigoreste año.
223
La protección de los datosLa protección de los datosLa protección de los datosLa protección de los datosLa protección de los datospersonales en lospersonales en lospersonales en lospersonales en lospersonales en losEstados de la República MexicanaEstados de la República MexicanaEstados de la República MexicanaEstados de la República MexicanaEstados de la República Mexicana
Mesa 8Mesa 8Mesa 8Mesa 8Mesa 8ModerModerModerModerModeradoradoradoradorador: María Marván Laborde. Comisionada Presidenta del IFAI.
Tengo el agrado de coordinar esta mesa de protección de datos personales y la legislación que estárealmente vigente en algunos de los estados de la República.
PonentePonentePonentePonentePonente: Ramona Carbajal Cárdenas. Comisionada Presidenta de Acceso a la Información Públicadel Estado de Colima.
A todos ustedes les agradezco el favor de su atención y las consideraciones para el contenido de miexposición, respecto de un tema de singular relevancia y actualidad, como lo es el tratamiento delos datos personales en la legislaciones de los diversos Estados de la República, situándome desdeluego en mi estado, Colima, uno de los estados más pequeños de la República que está enclavadoen el Occidente mexicano.
Desde el año de 1977 el Constituyente de la República abrió en nuestro país la posibilidad jurídicade que los mexicanos tuviésemos acceso a la información pública al reformar el artículo Sexto,para establecer que el derecho a la información será garantizado por el Estado.
No obstante, dicho imperativo, cuya inclusión en nuestra Carta Magna generó un derecho social,fue hasta hace aproximadamente tres años que se aprobó la Ley Federal de Acceso a la InformaciónPública Gubernamental y con posterioridad la mayoría de los Estados de la República se hanincorporado a esta dinámica con las leyes locales correspondientes.
Paralelamente a la necesidad de la transparencia, a lo público, surge el requerimiento de protegera las personas del uso indiscriminado y potencialmente lesivo de sus datos personales.
Algunos de esos factores inciden en los siguientes tópicos: Las implicaciones que pudieran generarsepor las inadecuadas interpretaciones de las leyes de acceso a la información. El avance tecnológicoen materia de informática y de redes de cómputo.
En esas condiciones y ante la clara necesidad de brindar al ciudadano una protección adecuadacontra el posible mal uso de la información que le concierne, se motivó que el Ejecutivo del estadoenviara una Iniciativa de ley que el Congreso local aprobó y que contiene la protección de datospersonales del estado de Colima, en vigor desde el 22 de junio del 2003
224
Los objetivos de esta ley son similares a los quedeterminan para el Hábeas data. Tratando dehacer breve esto citaré algunos de los siguientesderechos: El ciudadano tiene derecho a conocerde su inclusión en los bancos de datos o registros.Tener acceso a la información que sobre élconste en los bancos de datos o registros, yactualizar o corregir, en su caso, la informaciónque sobre él obre en dichos bancos, y muyimportante conocer también los fines para losque se va a utilizar esa información.
Que se garantice la confidencialidad dedeterminada información obtenida legalmente,para evitar el conocimiento de terceras personas.Ya se ha dicho mucho en estos días, se necesitael consentimiento del dueño de los datos paraque lo tengan terceras personas. Y que segarantice la supresión de la información quesobre él se encuentre en poder de terceros y quese refiera a cuestiones personales.
Todos estos derechos convergen en un propósitoinmediato y fundamental, que es el de protegerel derecho a la privacidad del individuo, derivadodel mandato consignado en la fracción sexta delartículo Primero de la Constitución del Estadode Colima, el cual establece que las autoridadesdel estado velarán por la defensa de los derechoshumanos e instituirán los medios adecuadospara su salvaguarda.
La Ley de Protección de Datos Personales enColima, es entonces uno de los medios que elestado instituyó para el propósito que acabamosde citar.
Dentro de los puntos que motivaron laexpedición de la Ley en comento citaré nadamás un caso, para hacerlo más breve, lanecesidad de proteger la privacidad de laspersonas como uno de los derechosfundamentales del hombre.
La Ley en comento consta de 23 artículos en seiscapítulos. El Primer Capítulo nos trata el temade las disposiciones generales.
El Segundo Capítulo nos habla de los datospersonales.
El Tercer Capítulo nos trata de la creación y de laprotección de dichos datos.
El cuarto capítulo se dedica al tema de losarchivos, muy importante.
El quinto capítulo de la Comisión, pero de Accesoa la Información Pública, que es la encargada detutelar la Ley de Protección de Datos Personales.
Y el último tema tratado en esos seis capítuloses precisamente lo que se refiere a lasinfracciones y a las sanciones. En un primer planose precisa que la ley será aplicable dentro delestado de Colima a los datos de carácterpersonal, que serán registrados en los sectorestanto público como privado en cualquier soportefísico que nos permita el tratamiento de losdatos.
Y el propio texto jurídico señala, como datospersonales, aquellos que de manera directa oindirecta puedan conectarse con una personaespecífica. De aquí surge la diversidad de la leyque contempla en cuanto al tratamiento dedatos personales dos vertientes: Las que manejael sector público y las que maneja, por supuesto,el sector privado.
La ley establece disposiciones comunes en elmanejo de datos de carácter personal, las quedeben ser observadas por las dependencias delsector público y, desde luego, como personasfísicas y morales que deben manejarse en elsector privado.
El artículo Cuarto de la propia Ley de Protecciónde Datos señala que para el manejo de los datosde carácter personal, se seguirán los siguientesprincipios: Primero, los datos que se obtengandeben ser adecuados, pertinentes y no excesivos.También señala que deben usarse esos datosexpresamente para los fines que fueronobtenidos y que deben ser correctos yactualizados. Y además, cosa muy importante,
225
que se deben de obtener por medios lícitos, nose vale que sea de manera fraudulenta o quesea de manera ilegal. Y para obtenernos se debede informar al interesado de su existencia y delfin del archivo.
Para el tratamiento de los datos personales debeobtenerse el consentimiento explícito einequívoco del dueño de los datos y también sele tendrá que enterar quién es la personaresponsable de vigilar y de cuidar dichos archivos.
En el sector público, la verdad nos maravillamosde la cantidad de datos personas que tienen denosotros, que a la mejor ni nosotros sabemostanto. Saben perfectamente, nos tienen bienvigilados, qué hoteles nos gusta, cuáles son losrestaurantes de nuestra frecuencia.
Encontramos datos personales en los padroneselectorales, en los padrones de catastro, decontribuyentes, de instituciones del sectorsocial, por ejemplo, ISSSTE, el Seguro Social, enEducación, en la Secretaría de Hacienda, encuanto algunas personas se hicieron acreedoresa beneficiarse por algún programa oficial, allíestán todas nuestras bases de datos. Esto es porcitar algunas fuentes.
Por esta razón en la misma ley se precisandiversas disposiciones para el tratamiento queel sector público debe otorgar a los archivos yque tienden a proteger la utilización de los datosde carácter personal, estableciendogenéricamente lo siguiente: Sólo se crearán,modificarán o eliminarán los archivos, previadisposición del Titular del Ejecutivo, de losPresidentes Municipales y de los titulares de losorganismos públicos.
También se regulan los casos en que los datoscontenidos en archivos públicos podráncomunicarse exclusivamente a otras instanciasde las administraciones públicas estatales ymunicipales u organismos públicos, cuando setrate, por ejemplo, de la misma competencia ode que se hubiera previsto en la disposición decreación del archivo.
La ley previene los casos en los que las entidadespúblicas podrán integrar archivos sin elconsentimiento de los interesados.
Quiero señalarles a ustedes que el sector privadotiene muchas bases de datos.
Podemos hablar de esas cadenas de tiendasdepartamentales, de la correspondencia odocumentación y de las ventas a distancia y dela prospección comercial de actividadessimilares.
Al respecto la ley establece que para la creaciónde archivos que contemplan datos de carácterpersonal de parte del sector privado, podráncrearse cuando sean necesarios para lograr losobjetivos legítimos, pero deben de dar aviso a laComisión de su creación.
Quiero también informar que genéricamente laley concede al ciudadano, de manera expresa,varias acciones: Acceso a sus datos personales;rectificación de sus datos; oposición ycancelación de datos.
Concluiré diciendo tres cosas: Solamente elestado de Colima cuenta con la legislaciónespecífica para proteger a las personas del usoindebido de sus datos personales.
En algunas otras entidades las leyes contemplanel acceso a la información pública, pero resultaninsuficientes para su adecuada regularización.
Dos. La aplicación de la ley en nuestro Estado haencontrado cierta complejidad, particularmentecon motivo de que un alto número de archivosdel sector privado que contiene datos personalesde habitantes de Colima se concentran desdeentidades ajenas, donde no es factible aplicarlas disposiciones normativas en observancia, alprincipio de territorialidad de la ley.
En consecuencia, es deseable que el resto de losestados cuando tengan ya su ley de protecciónde datos personales, tome en cuenta esto quenosotros le llamaríamos vacío legislativo.
226
Por último. Cuando se vaya a tutelar la Ley deProtección de Datos Personales es importantecontar con recursos humanos, tecnológicos yfinancieros que hagan posible aplicarla en formade vida exitosa.
ModeradorModeradorModeradorModeradorModerador: María Marván Laborde.Comisionada Presidenta del IFAI.
Agradecemos muchísimo a la ComisionadaPresidenta del estado de Colima, creo que apuntauna de las cuestiones fundamentales de la Leyde Protección de Datos Personales y el problemade la territorialidad y como lograr realmentearmonizar la Federación, el estado y es elmunicipio y al mismo tiempo controlar las basesde datos que están en Colima o que afectan a lagente de Colima, sin lugar a dudas uno de losproblemas centrales que hay que tomar encuenta en esta legislación.
Sin más prolegómenos porque el tiempo noscorretea, le doy ahora la palabra al Consejero delInstituto Coahuilense de Acceso a laInformación Pública, Alfonso Raúl Villarreal, mehe permitido presentarlo solamente por laComisión en la que están, no haciendo casoomiso de sus muy valiosos currículum, sino enrazón de que su representación institucional yaestá aquí como tal.
PonentePonentePonentePonentePonente: Alfonso Villarreal Barrera. Consejerodel Instituto Coahuilense de Acceso a laInformación Pública.
Yo les voy a hablar brevemente acerca de lasituación de la protección de los datospersonales en el estado de Coahuila.
En octubre de 2003 en el estado de Coahuila seenvió al Congreso del estado un paquete decuatro anteproyectos de ley en relación a latransparencia.
La primera fue de acceso a la información. Lasiguiente fue de archivos públicos. La siguientefue la que da creación al Instituto Coahuilensede Acceso a la Información Pública y, finalmente
el anteproyecto, la Iniciativa de Ley de laProtección a la Intimidad de las Personas.
Las primeras fueron aprobadas en el Pleno delCongreso y esta última quedó pendiente suaprobación.
Mencionaré muy brevemente cuál es elcontenido de ese anteproyecto de ley y cuálesfueron algunas de las reacciones de los grupossociales en relación a este anteproyecto, a estaIniciativa, para finalmente concluir en cómo seha ido subsanando la carencia de esanormatividad y como es urgente la regulaciónde esta materia.
El contenido de la ley en sus aspectos medularescontemplaba garantizar el derecho a laintimidad de las personas y el derecho de laprotección de los datos personales, a partir delos principios de la calidad de los datos, latransparencia o la publicidad del tratamiento,el consentimiento informado, la seguridad de losdatos, la interpretación constitucional másfavorable, la libre circulación de los datos confines lícitos. Y consideraba también elgarantismo de los datos en poder de lasentidades públicas y de los particulares.
En la iniciativa el derecho a la intimidad seconsideró como un poder autónomo de laspersonas, con la posibilidad de que estaspersonas definieran libremente qué actividadeso qué aspectos formaban parte de su círculointimo, de su círculo personal o su círculo familiar.
Además este anteproyecto determinaba losderechos de ciertos grupos en torno a unarelación jurídica con el estado u otrosparticulares y se pretendía establecer como uninterés público y social la protección a laintimidad de ciertos grupos, como eran los niñosy las niñas, las mujeres, la juventud, los adultosmayores, las personas con preferencias sexualesdiferentes y las personas con capacidadesdiferentes, a estos grupos se les reconocía comogrupos vulnerables y en ese sentido gozarían deuna tutela prevalente en la medida que su
227
derecho a la intimidad resultara restringido oafectado por la discriminación.
Estableció también este anteproyecto las basespara la prohibición de afectar la esencia alderecho a la intimidad, ninguna persona podríaser obligado a declarar sobre ideología, sobrereligión, sobre cuestiones de honor, creencias opreferencias o algunos otros datos personalesque afectaran sensiblemente su dignidad.
Destacaba también lo relacionado a que losinculpados no podrían ser sometidos a ningunaprueba que pudiera afectar su intimidad y enun caso de hacerlo tendría que existir elconsentimiento expreso.
Se consideraba a la comunicación del inculpadoy su defensor como algo privado e inviolable yque los centros penitenciarios deberían de tenerun lugar para asegurar este derecho.
Ante la violación de los datos personales y laintimidad de las personas toda diligencia oprueba carecería de valor probatorio y además,si se practicaba alguna prueba tendría que sercon carácter confidencial.
De esta manera se establece que la vida privaday la vida familiar son inviolables en los términosde la ley.
Reconoce algunas otras materias, como es lamateria de salud, en donde la máximaprotección a la intimidad del paciente esobligatoria para el médico el secreto profesionaldel médico o el secreto profesional de losabogados o cualquier otro profesionista quetuviera acceso a datos personales y con estoestar íntimamente ligado a la privacidad de lapersona.
Abordaba también este anteproyecto el secretodel periodismo profesional. Establecía queninguna autoridad podía obligar a unprofesional del periodismo a revelar sus fuentes.
Y en materia religiosa asentaba la obligación deguardar el secreto de la intimidad de los fieles
por parte de los confesores o sacerdotes ocualquier otro ministro de culto.
Se establecía la protección de los datospersonales como una garantía individual deinterés legítimo, que genera información que esirrenunciable, que es intransferible y negociablee indelegable.
Y puntualizaba en lo relacionado al interéslegítimo, en donde las personas con este interéstendrían el derecho de conocer, de acceder,rectificar, ratificar o cancelar los datospersonales que tuvieran o las entidades públicaso las entidades particulares.
Establecía también este anteproyecto de ley elsistema garantista de la acción con dosherramientas jurídicas que eran la acción paraexhibir proteger el dato personal y la otra queera el juicio para la protección del derecho a laintimidad.
Este anteproyecto a los ojos de expertos era unanteproyecto bastante completo, pero paraotros no lo era tanto y sí era restrictivo, de talmanera que se generó en la sociedad lapercepción que era una ley mordaza ycomenzaron a surgir algunas cabezas deperiódicos como las siguientes: “Bloquearán enCoahuila la libertad de expresión”, “Perderá lacomunidad el derecho a informarse”, “Revisarán35 diputados la Ley de Datos Personales”,“Critican los expertos lo relacionado con la Leyde Datos Personales”.
Todo esto dio como resultado final que elCongreso del estado dejara pendiente deaprobación esta iniciativa de ley. Por tal razón elmarco jurídico que tiene el estado de Coahuilaen materia de transparencia y acceso a lainformación está cojo. Tenemos solamente la Leyde Acceso, la Ley del Instituto, la Ley de Archivosy traemos pendiente esa parte.
Por disposición constitucional el InstitutoCoahuilense de Acceso a la Información es elgarante de la protección de los datos personales.Sin embargo, carecemos del Marco Jurídico para
228
poder llevar esto con apego a la ley, y estológicamente representa inseguridad jurídicatanto para las entidades públicas y privadas enel manejo de los datos, como para las propiaspersonas que en algún momento se pudieranver afectados en su vida privada, familiar, suintegridad física, genética, moral.
A manera de conclusión yo quisiera exponer queexiste una urgente necesidad de regular estamateria de datos personales, y el respecto alderecho a la intimidad de las personas en elestado de Coahuila, y que seguramente el ICAIimpulsará una iniciativa de ley en la materia.
ModeradorModeradorModeradorModeradorModerador: María Marván Laborde.Comisionada Presidenta del IFAI.
Agradezco de manera muy cumplida laexposición.
Sin lugar a dudas la exposición nos revela lasdificultades del equilibrio entre la libertad deexpresión, la protección de datos personales y valela pena apuntar la novedad de la ley de Coahuila,en donde se habla de la legalidad del secreto deconfesión. Sin lugar a duda es una innovaciónpropia de la ley, habrá que ver si también aplica asicólogos y siquiatras, desde luego.
PonentePonentePonentePonentePonente: María Pérez Cepeda. ComisionadaPresidenta de la Comisión Estatal deInformación Gubernamental de Querétaro.
Puede ser que yo sí me ajuste al tiempo, porqueen Querétaro tampoco hay Ley de Protección deDatos Personales, y solamente hay algunasdisposiciones en la Ley de Acceso a laInformación en donde se protegen los datos delos particulares, los datos personales de losfuncionaros públicos, también en algunos casos,que se encuentren inmersos en un documentopúblico. Pero más allá de esta protección noexiste posibilidad de rectificación de los datosde conocer qué bases de datos existen en lasentidades gubernamentales y de interés público.De poder solicitar la supresión de los mismos,etcétera.
Básicamente en Querétaro contamos con la LeyEstatal de Acceso a la InformaciónGubernamental, que establece lo necesario paragarantizar el acceso a la información pública,entendida ésa como toda la información con laque cuenta el estado.
Y por otro lado, y con el fin de no afectar losderechos de terceros se establecen excepcionesa esta permisa principal, previendo los conceptosde información reservada y de informaciónconfidencial.
Pero como les decía, no hay sistemas de datospersonales, no se establece cómo deben detratarse éstos. No se establecen medidas deseguridad, no se establece responsabilidad paralos funcionarios públicos que divulguen datospersonales, etc.
El artículo Tres de la Ley Estatal de Acceso a laInformación Gubernamental define cuáles sonlos datos confidenciales, la informaciónconfidencial y coinciden con muchas otraslegislaciones de acceso a la información,estableciendo como información confidencial larelativa a cualquier dato que pueda seridentificable a una persona, entre otras, larelativa al origen étnico, racial, la que se refierea características, físicas, morales, emocionales,la vida afectiva familiar, el domicilio, número deteléfono, patrimonio, ideología, etc. Cualquierotra análoga que afecte su intimidad. Y allí estála complicación de entrar al campo de laanalogía.
También nos remite a las disposiciones, a losderechos de la personalidad que establece elCódigo Civil, que más adelante voy a tocar.
Establece la Ley de Acceso a la Información unaserie de información que se debe de estarpublicando de manera obligatoria y en donde seencuentra la posibilidad de que las personas seopongan a la publicación de sus datos personalescomo, por ejemplo, la información con la quecuentan los órganos jurisdiccionales,administrativos o del trabajo, tienen que estarhaciendo ellos, tienen que estar publicando
229
extractos de las resoluciones, extractos de loshechos que se están discutiendo y las lista de lapartes.
Esto vendría a afectar la intimidad o la privacidadde las personas, pero se salvaguarda estasituación con la posibilidad de que las partespuedan oponer a la publicación de sus datos.
Establece también la responsabilidad delfuncionario que divulgue la informaciónreservada o confidencial y dice: “De conformidadcon las leyes aplicables”, pero no hay otraaplicable a la materia, nos tendríamos queremitir a la Ley de Responsabilidad de losServidores Públicos, que en el caso no dice nada.
Aquí hay una situación importante también, quenos pasa en Querétaro con esta Ley de Accesode la Información, porque por una parteestablece como información confidencial, quedesde luego no está sujeta a plazos devencimiento y que requieren consentimientopara que pueda ser difundida, del titular de losdatos, que es la información confidencial.
Sin embargo, en otro artículo, en varios artículosseñala como información reservada, que lanaturaleza de la información reservada es quesí está sujeta a plazos de vencimiento y se refierea que será información reservada, por ejemplo,la de carácter personal que se contenga en lospadrones o registros estatales de contribuyentes,la información de carácter personal que secontenga en los expedientes de la defensoríade oficio en material penal o de la defensoríadel trabajo o similares en materia civil y familiar;nombres de las víctimas de delitos sexuales o deexplotación de menores y las partes en lascontroversias de carácter familiar.
La información personal contenida en lasactuaciones de la Comisión Estatal de losDerechos Humanos para la investigación dedenuncias por violaciones a derechosfundamentales; la de carácter personal,contenida en los registros o expedientes delpersonal académico de la Universidad
Autónoma de Querétaro y también de losalumnos.
Encontramos aquí este problema, porque o esconfidencial o es reservada. La estaríamanejando la ley dentro de estos dos aspectos, ysiendo que definitivamente sabemos que lainformación, los datos personales no estánsujetos a ningún plazo de vencimiento, nirequieren someterse a un procedimiento declasificación de reserva, sino que por sí son yaconfidenciales.
Igualmente, el Reglamento de la Ley establecealgunas disposiciones en las que se observa elprincipio de consentimiento para la divulgaciónde los datos personales que básicamente, comoles decía, se encuentra inmersa en lainformación pública.
Y, bueno, ahí la Unidad de Información tiene queencontrar al titular de los datos, notificarle quehay una solicitud en donde hay informaciónpersonal suya y si está de acuerdo o no con quese divulguen.
En caso de que no conteste nada, bueno, seentiende negado el acceso a los datos personalesy el funcionario tendrá que salvaguardar losdatos, pues tachando los mismos del documento.
Con este marco jurídico nos hemos encontradocasos y hemos tenido que resolver algunassolicitudes de información, algunos recursos derevisión en la Comisión Estatal de InformaciónGubernamental, en donde tiene que ver lasolicitud con los datos personales de un terceroo que tiene que ver la solicitud con datospersonales de los cuales es titular quien losolicita.
En las dos situaciones, y con esta, como lo decía,con este marco jurídico ambiguo y lleno delagunas y sin que exista una disposiciónespecífica en la materia, nos hemos tenido queenfrentar a resolver algunas controversias, sobredeclaraciones patrimoniales, sobre, digamos, quese solicitaban de un tercero, pues hubo que
230
negar el acceso a la información y, sobreinformación, por ejemplo, que solicitaba unmilitante de otro partido y que quería limpiar suhonor diciendo que no había pertenecido alpartido opositor, pues también le dijeron no tepuedo dar esa información, siendo que él en todocaso era el que tenía derecho a saber si habíainformación suya en ese Instituto político.
Ha habido otros casos también interesantes quetiene que ver con fideicomisos en donde lostrabajadores entregaban parte de su sueldo yfinalmente no tenían acceso a los contratos deadhesión, no tenían acceso a saber en quécondiciones se habían contratado. Por ahítambién hubo que resolver en ese sentido.
Básicamente contamos con disposicionesrelativas del código civil en donde se definen losderechos de la personalidad y donde se estableceque son ilícitos los actos o los hechos quelastimen el afecto de las personas, la creencia ola consideración de sí misma. También aquítenemos un problema para probar en qué gradose afecta el honor, la intimidad, la estima o laconsideración que de sí mismo tiene uno. Quetal si tiene su estima muy alta.
Se menoscaba el honor, la reputación, el prestigioo la estima que de ellos tengan los demás, seafecte la vida privada o la intimidad de lossecretos de las personas. También aquí hay unelemento difícil de probar, en qué grado se afectao no se afecta la estima de las personas.
También una disposición importante queestablece el Código Civil, es en cuanto a lareproducción de la imagen de las personas quetambién en este sentido habría que contemplar,se tendría que contemplar en la legislación laprotección a la propia imagen.
En Querétaro contamos, como les decía, con estadisposición que establece que la reproducciónde la imagen de la persona sin suconsentimiento y sin un fin lícito es violatoriade los derechos de la personalidad. Básicamenteese es todo el marco jurídico.
Existen algunas disposiciones por ahí en elCódigo Urbano, en la Ley de Catastro, en la Leyde Educación en donde se puede rectificaralgunos datos como el domicilio fiscal de lapersona o el domicilio del contribuyente, losdatos de los nombres de los menores en laUnidad de Servicios de Educación Básica, lasActas de Registro Civil. Pero básicamente no haymás al respecto que nos pueda apoyar en estesentido y, bueno, yo al igual que mis compañeroscomisionados y todo lo que se ha comentadoaquí en este foro, pues desde luego reconozco laimportancia que reviste el que contemos conuna Ley de Protección de Datos Personales. Y, esoes la conclusión final de todo esto.
ModeradorModeradorModeradorModeradorModerador: María Marván Laborde.Comisionada Presidenta del IFAI.
Quedan claras las dificultades prácticas quetienen malas definiciones jurídicas iniciales, asícomo la dispersión de normas de la que mepermitiré, al final de esta mesa, hacer unos brevescomentarios con relación a Jalisco.
PonentePonentePonentePonentePonente: Carlos Paniagua Bocanegra, Consejerodel Instituto de Transparencia y Acceso a laInformación Pública del Estado de México.
La protección de datos personales en el Estadode México. Tenemos una gran ventaja, adiferencia del nivel federal, nuestra Constituciónen su artículo 5, párrafo segundo y terceroestablece claramente, expresamente que elEstado garantizará el derecho a la información,que el Estado garantizará la protección de losdatos personales, que el Estado garantizará latransparencia de la función pública.
Y es importante porque es algo que no hanconsiderado los servidores públicos que niegano no proporcionan completa la informaciónsolicitada. El incumplir con un mandatoconstitucional provoca una graveresponsabilidad, que inclusive en el caso de losconsejeros es motivo para que se nos suprimadel cargo.
231
Esta modificación de la Constitución estatal esdel 30 de abril del 2004, entró en vigor el uno deagosto de 2004 y dio origen a la Ley deTransparencia y Acceso a la Información Públicadel Estado de México.
También es muy clara esta ley, el artículo Primeroestablece que esta ley es reglamentaria de lospárrafos segundo y tercero del artículo QuintoConstitucional, garantiza el derecho de accesoa la información y protege los datos personales.
¿Qué son datos personales? Caemos en el error,nuestro legislador, de copiar en este sentido lasleyes extranjeras, en caso particular la Ley 25.326Argentina, identificada como Ley de Protecciónde Datos Personales Hábeas data, se hace latraducción literal Hábeas data a datospersonales, para mí, para mí debería para ser máscongruente como información privada.
En el artículo Dos, fracción II, de la Ley del Estadode México se establece como dato personal lainformación concerniente a una persona físicaidentificada o identificable, como lo ponetambién la Ley Federal. Pero se hamalinterpretado esto, porque se hamalinterpretado, y no por parte del Instituto, deque el nombre es un dato personal y que se tieneque proteger, es un absurdo. El nombre conformeal principio que marca nuestro Código Civil delEstado de México es el elemento queindividualiza a la persona, cómo se va aidentificar a la persona si no es por su nombre,cómo no se va a precisar la información que debeser protegida si no es con el nombre de lapersona.
Por otra parte, dice que es información públicala relativa, la referente, entre otras, al domicilioy al número telefónico.
Hemos visto aquí desde la Ley Española, LeyOrgánica de Protección de Datos Personales, quela doctora María Antón nos presentó, cómo laConstitución Española, cómo la legislaciónalemana, la francesa, limita, establece que lainformación, la protección de datos personalesse lleva a cabo con los límites de la garantía de
la intimidad, de la privacidad, del honor, como lodice la Ley Argentina, se debe proteger el honor,el derecho del honor y el derecho a la intimidad.
Cuando a mí me piden la copia de un documentopúblico, una solicitud de un establecimientocomercial, no la voy a dar porque tiene el nombre,porque tiene el domicilio, quien está en contrade esta idea, que respeto mucho, pero que creoque no tiene un sentido jurídico, porque dice: esque el domicilio está protegido por el artículo 16Constitucional, efectivamente; pero el domicilioque marca el artículo 16 Constitucional se refierea la inviolabilidad de domicilio, nadie puede sermolestado dentro de su casa, nadie puede seraprendido dentro de su casa, no puede ser elcateo dentro de su casa, esos son los actos demolestia que la Suprema Corte de Justicia de laNación ha aceptado en la jurisprudenciareferente.
Si analizamos en una interpretaciónsistemática, armónica, gramatical, el conceptoque marca el artículo 2, fracción II, sobre datopersonal, también nos tenemos que referir al 25,fracción I y al 55, fracción I, de la Ley estatal, quedice: El dato personal es una informaciónconfidencial. No puede divulgarse si afecta a laprivacidad de las personas.
El citar en un documento el domicilio, el númerotelefónico ¿afecta el honor de las personas,afecta la privacidad, afecta la intimidad de laspersonas? Yo creo que eso es parte de lamodificación que debemos de proponer alLegislativo que se modifique.
Debemos tener una ley con técnica jurídica, contécnica legislativa, una ley que todo mundoentienda. Tenemos la ventaja de que es una leyválida, conforme al principio de Kelsen, surge dela norma fundamental.
Hay que hacerla eficaz ¿cómo? Con técnicajurídica y técnica legislativa para evitarconfusiones.
232
Esta ley crea el Instituto de Transparencia deAcceso a la Información Pública, comoorganismo público descentralizado, nosectorizado en reforma publicada en diciembrede 2004.
Los servidores públicos tenemos la obligación deemitir resoluciones respecto a las solicitudes delos particulares en forma debidamente fundaday motivada, cumpliendo el artículo 14 y 16constitucional. Si es así cómo vamos afundamentar una o vamos a entregar parchadacomo una figura que se habla, de una versiónpública que no tiene ningún sustento jurídico,el tachar en este documento el nombre y eldomicilio.
¿Qué acaso nuestras leyes no establecenclaramente que un documento no puede serpúblico, no puede ser tachado ni enmendado, yque en dado caso una simple línea delgadapuede subsanarse el error? Lo estamos violando,y por eso es que en lo personal yo quiero convocara un congreso mexiquense de derecho a lainformación, para efecto de considerar yestablecer, hacer más claro y más válido, máseficaz este derecho a la información.
PonentePonentePonentePonentePonente: Vicente Hernández Delgado.Comisionado Estatal para el Acceso a laInformación Pública del Estado de Sinaloa
Precisamente en abono del tiempo no voy a leeruna gran parte de la ponencia. He tratado deresumir una primera parte de mi intervenciónen tres etapas, que desde mi punto de vistailustran el tratamiento de la cuestión.
Una primera etapa tiene que ver con la tutelajurídica por parte de la legislación de primer nively la legislación secundaria del derecho a laintimidad y a la privacidad de las personas.
Como ya se ha dicho esta parte reguladora en laConstitución General de la República, yparticularmente en el artículo 16 se refiere a laprotección, a estas partes que corresponden a laesfera de la intimidad y la privacidad, como es la
protección a la inviolabilidad domiciliaria, y a lainviolabilidad de las correspondencias secretaso privadas de las personas.
Y en la legislación secundaria, en este mismonivel de protección jurídica, de tutela jurídica ala privacidad de la intimidad, encontramos unareferencia muy tenue, muy inconsistente alderecho, a la protección, al derecho de laspersonas a la propia imagen, cuando se establecela figura del llamado daño moral en laLegislación Penal y en la Legislación Civil, tantoa nivel federal como a nivel estatal.
Y en lo que se refiere a la otra figura jurídica quetambién se tutela y que forma parte de estederecho a la intimidad, a la privacidad quehemos estado señalando, está el derecho alhonor, que también está regulado en lalegislación penal federal y en la legislación penalde los estados y en cierta legislación de caráctercivil.
Este derecho al honor incluso va acompañadode una acción punitiva del Estado, al imponer oal establecer las figuras de la difamación y de lacalumnia, como figuras equivalentesprecisamente a la reparación del derecho alhonor o, más bien, la protección del derecho alhonor de las personas.
Aparte de esta legislación, que todos yaconocemos en las escuelas de Derecho, está unasegunda etapa, que es la que me parece queempieza a definir, de manera incipiente, laregulación de los datos personales en nuestropaís.
Esta etapa tiene que ver con el auge de lastecnologías de la información y lascomunicaciones, y que se expresafundamentalmente en la imposición de figuraso de tratamiento de figuras, de conductas queen términos académicos el derecho informáticova a retomar.
Por ejemplo, me refiero fundamentalmente areformas legislativas al Código Penal Federal, al
233
Código Penal del Distrito Federal y al CódigoPenal de Sinaloa, en donde de manera más omenos diferenciada se va a regular a los delitoselectrónicos y a los delitos informáticos, comofiguras que lesionan de alguna manera, entreotras actividades, entre otras conductas lesivas,precisamente a la intimidad y la privacidad delas personas.
Y de manera consecuente la reforma de 2000 ó2002, de mayo de 2000 ó 2002, no recuerdoexactamente el año, al Código de Comercio, alCódigo Civil, al Código de Procedimientos Civilesy a la Ley Federal de Protección al Consumidor,para regular las actividades en términos decomercio y contratos electrónicos, en donde seestablece la figura del mensaje de datos, es unafigura que va ser objeto de protección y dedefinición, precisamente en la legislación civil ymercantil, y que tiene como finalidad el de fijar,diseñar precisamente esa forma de comunicarseo de establecer informaciones de caráctermercantil, a través precisamente de medioselectrónicos, ópticos, visuales o de cualquier otratecnología, como se considera al mensaje dedato usual, cualquier tipo de información o decomunicación que se dé a través de ese tipo deinstrumentos, como mecanismos precisamentepara formalizar acto de comercio.
También existe mención a esto en la Ley Federalde Derechos de Autor, en un apartado que serefiere a la protección de datos personales y deprogramas de cómputo. Precisamente eltérmino, la protección de bases de datos, estáasociado fundamentalmente al auge en lastecnologías de la información y de lascomunicaciones, y asociado indiscutiblemente,precisamente a la protección de los datospersonales.
También tenemos estos elementos en lalegislación financiera, sobre todo aquella ley queregula a las sociedades de información crediticia,sobre todo lo que se ha dicho mucho sobre lasactividades del Buró de Crédito y otras; la Ley deGeografía, Estadística e Informática, para noextenderme demasiado.
Una tercera etapa que yo considero y que tieneque ver precisamente con el tema que estamostratando es la que se refiere a la aparición de lalegislación federal de acceso a la informaciónpública y a la legislación estatal de acceso a lainformación pública en la mayoría de los estados,en donde se introduce en la mayoría de laslegislaciones la figura del Hábeas data, comogarantía procesal que tiende precisamente aproteger los datos personales. Pero establecer unmecanismo que permita que el ciudadano, queel titular de los datos pueda precisamenteproteger sus datos.
Y aquí encontramos una dificultad. En el casode Sinaloa existe precisamente mención a lafigura de la Hábeas data, como existe en muchasotras legislaciones de acceso a la informaciónpública, pero es una legislación que deja másdudas e interrogantes.
Para empezar, el capítulo referente a lainformación reservada y confidencial es muchomás explícito en materia de informaciónreservada que de información confidencial ycomo se deja precisamente la regulación de estetema a la información confidencial a la figurade la Hábeas data, no se aclara suficientementepero ahí está.
Si embargo, como la figura de la Hábeas data esuna garantía procesal, tampoco se estableceadecuadamente el procedimiento, se señalaciertamente que la Comisión de Acceso a laInformación Pública de Sinaloa es la que vaprecisamente a conocer y a resolver este tipo deconflictos que se generen entre el titular y laspersonas, ya sean responsables del registros oficheros que hayan hecho uso ilícito sinautorización de los datos personales o lasintromisiones de terceros a esa esferapersonalísima de los individuos.
En Sinaloa existe una legislación que duerme elsueño de los justos, hay un proyecto de ley deprotección de datos personales que se presentóal Congreso en junio de 2003, obviamente laaspiración sería que ese proyecto se sacara del
234
archivo y fuese discutido, valorado y con lasactualizaciones que fuesen pertinentes, puesproveer a esa etapa necesaria que se advierteen el país y que tiene que ver precisamente conel establecimiento de la Ley de Datos Personales.
Como la figura de la Hábeas data es una figuraregular en casi todas las legislaciones de accesoa la información, es más clara todavía en lalegislación federal de acceso a la informaciónporque ahí hay un capítulo referente a laprotección de datos personales y además existeun Reglamento que regula el tema.
Me permito nada más leer dos cuartillas que fijala posición nuestra con respecto a este asuntodel procedimiento que hubiera de regularse.
“La protección de los datos personales en laactualidad amerita un mecanismo de protecciónjurídica efectivo, ya que el derecho a laprivacidad e intimidad sustentados en los pilaresque edifique el derecho fundamental de laHábeas data, debe tener como finalidad inicialel que cualquier persona pueda acceder a lainformación que sobre ella existen en cualquierregistro o banco de datos”.
“Para ello es preciso ejercitar un procedimientoespecial, relativo a la solicitud de informaciónde datos personales, con plazos y términos biendefinidos, en donde se hace preciso inicialmenteestructurar esta solicitud en la entidad públicaen donde se encuentren este tipo deinformación personal”.
Debo decir que en la doctrina argentina, en lalegislación argentina el trámite, elprocedimiento para hacer efectiva la protecciónde datos personales es ante un tribunal de locivil.
En la legislación de los estados y en la legislaciónfederal se otorga esa potestad, esaresponsabilidad a las Comisiones de Acceso a laInformación.
Esta dependencia deberá “reseccionar” estasolicitud integrando un procedimientoadministrativo en torno al mismo, con elpropósito fundamental de compartir con elsolicitante los archivos que requiere. Lo anteriorse fundamenta en el derecho que tiene todotitular de los datos a conocer el tipo y calidad deinformación que poseen y procesen en cada unade las dependencias públicas. El único requisitode fondo que debe contemplar esta solicitud esla identificación plena del solicitante.
Un segundo momento procesal que habrá decontemplarse en se procedimiento se deriva dela posibilidad jurídica que tiene cualquierpersona, titular de los datos personales deaccionar en torno a la actualización,rectificación, supresión o modificación de losdatos que consten en las entidades públicas,relativos a su individualidad, para lo cual eldetonante ante las dependencias sería lamanifestación expresa de la voluntad del sujeto,tendiente a realizar la trasformación de lainformación y los elementos probatorios que lapersona pueda aportar para comprobar de laforma más clara posible la base jurídica quesustenta su afirmación.
Ambos momentos procesales deberán tenertérminos breves y precisos y que contribuyan agarantizar la protección integral de este derechofundamental. Aunado a esto se requiere lavigilancia y tutela de un órgano especializadoen los procesos de información que se constituyacomo la garantía procesal que proteja laidentidad, la privacidad, la intimidad y laautodeterminación informativa que cadapersona debe ejercitar.
El titular de los datos podrá exigir en todomomento y sin plazos perentorios que lossujetos obligados que administren, manejen,archiven, posean y conserven en su poderinformación confidencial en base de datos,archivos o registros garantice un adecuado usoy tratamiento de los datos personales.
235
ModeradorModeradorModeradorModeradorModerador: María Marván Laborde.Comisionada Presidenta del IFAI.
Agradezco muchísimo, no quisiera concluir estepanel, sin hacer un comentario que nos hallamado muchísimo la atención, en el CódigoCivil del Estado de Jalisco se aprobaron una seriede reformas que en realidad fue insertarprácticamente como Caballo de Troya dentro delCódigo Civil una Ley del Protección de DatosPersonales que consta de 39 artículos, en loscuales se tratan diferentes materias, inclusive,el manejo de la información crediticia, creo quees importante porque releva esto la complejidadjurídica que existe en el país en el tema.
237
Presentación de los trabajosPresentación de los trabajosPresentación de los trabajosPresentación de los trabajosPresentación de los trabajosde los subgrupos de lade los subgrupos de lade los subgrupos de lade los subgrupos de lade los subgrupos de laRed Iberoamericana de ProtecciónRed Iberoamericana de ProtecciónRed Iberoamericana de ProtecciónRed Iberoamericana de ProtecciónRed Iberoamericana de Protecciónde Datos Personalesde Datos Personalesde Datos Personalesde Datos Personalesde Datos Personales
Mesa 9Mesa 9Mesa 9Mesa 9Mesa 9Moderador:Moderador:Moderador:Moderador:Moderador: José Luis Piñar Mañas. Presidente de la Red Iberoamericana de Protección de DatosPersonales.
Voy a ser sumamente breve, tan sólo quería explicar el contexto en el que se mueven los cuatrodocumentos de la Red Iberoamericana de Protección de Datos, que en este momento vamos apresentar.
Como ya tuve ocasión de señalar ayer, la Red Iberoamericana de Protección de Datos se constituyeen el año 2003, en particular en el Encuentro Iberoamericano que tuvo lugar en la ciudad de laAntigua, en Guatemala.
En mayo del año 2004 se celebra el Encuentro de Cartagena de Indias, en el que se aprueba unadeclaración, junto con unas conclusiones de entre las que en este momento me interesa resaltar laque se refiere al desarrollo de la Red Iberoamericana de Protección de Datos.
Como ayer señalé, habíamos recibido la muy grata noticia de que en la XIII Cumbre Iberoamericanade Jefes de Estado y de Gobierno, celebrada en Santa Cruz de la Sierra, Bolivia, en noviembre de2003 se había hecho una expresa referencia a los trabajos de la Red Iberoamericana de Protecciónde Datos impulsándola, potenciándola y apoyándola en su labor.
Habíamos, por tanto, asumido un compromiso que no se podía quedar en simples declaraciones,aún siendo éstas sumamente importantes. No se podía quedar tampoco en simples buenasintenciones, sino que tenía que materializarse en algo concreto, en una aportación concreta a lacomunidad iberoamericana en el ámbito de la protección de datos personales.
Y esto es lo que en estos momentos queremos presentar ante todos ustedes. Uno de los resultadosdel trabajo intenso, creo que serio, bien hecho de cuatro subgrupos de trabajo constituidosprecisamente en la Cumbre de Cartagena de Indias en el ámbito de la Red Iberoamericana deProtección de Datos. Estos cuatro subgrupos han elaborado, como digo, cuatro documentos, sendosdocumentos que vamos a hacer públicos, que se van a colgar en las páginas Web de las institucionesque constituyen la Red Iberoamericana, que van a ser objeto de una publicación.
238
Tales documentos son los siguientes:
Primero: Acceso a la Información y Protecciónde Datos Personales.
Segundo: Viabilidad de creación de Autoridadesde Control de Protección de Datos enIberoamérica.
Tercero: Gobierno Electrónico yTelecomunicaciones en el ámbito o suincidencia en la protección de datos.
Cuarto: Estrategia de la Red Iberoamericana deProtección de Datos.
Estos documentos han sido elaborados y la laborde coordinación de relatoría se encargó a unode los miembros de la Red Iberoamericana.
En particular la coordinadora relatora deldocumento sobre Acceso a la Información yProtección de Datos Personales, se acordó quefuese el IFAI, evidentemente, y dentro del IFAI hasido la maestra Lina Ornelas la que se haencargado de la coordinación de los trabajos.
Va ser ella quien nos va a hacer la presentaciónde dicho documento y a continuación sepresentará también el resto de los documentos.
PonentePonentePonentePonentePonente: Lina Ornelas. Directora General deClasificación y Datos Personales del IFAI.
En lo particular yo coordine el grupo, a nombredel IFAI, de Acceso a la Información y Protecciónde Datos Personales.
Y a grosso modo les voy a explicar cuáles fueronlos hallazgos del grupo respecto de este tema.
Básicamente lo que se hizo fue introducirloplanteando, por una parte, la necesidad de quelas sociedades democráticas cuenten con underecho de acceso a la información conautoridades o mecanismos institucionales quelo garanticen y se desarrollan los principios del
acceso a la información como que el derechodebe ser gratuito, que toda persona puedepedirlo sin explicar las razones, cómo deben serlos procedimientos, etc.
Por otra parte, en una sociedad democráticadebe existir la protección de los datos personales,desarrollando también sus principios, como loson el de calidad, proporcionalidad, seguridad enlos datos, etc.
Y luego para entrar ya a la parte medular queplantea el documento de trabajo, que sería queexiste en ocasiones tensiones entre ambosderechos, pero lo que propone el grupo en estedocumento es más bien plantear que no se estáfrente a una tensión, sino más bien frente a unequilibrio de derechos, porque todos los derechosno son absolutos en sí mismos y encuentranlimitaciones.
Entonces, esta necesidad de conciliar, por unaparte, el derecho a conocer y el derecho de laspersonas a acceder a información, también tieneque equilibrarse evidentemente con el derechoa la privacidad. En este juego todos losinvolucrados deben respetar reglas claras yentonces se habló de, por ejemplo, una pruebadel interés público o del equilibro, en casos detensión.
Tanto el derecho como el acceso a lainformación pública como el de protección dedatos personales, podrían someterse a unaespecie de prueba de equilibrio por parte de lasautoridades competentes.
Y en estos casos tenemos que ponderar y valorarvarias cuestiones. Por una parte, en el acceso ala información encontramos excepciones y unade esas excepciones son las relativas a lascausales que la misma ley establece, por razonesde Estado, que son del interés general, como losería información relativa a la seguridadnacional, etc.
Pero también las leyes de acceso traenexcepciones por información confidencial que
239
es de los particulares. Entonces, en cuanto amodelar una especie de prueba de equilibrio,nosotros encontramos que podrían aplicarsealgunos principios.
Por ejemplo, que deberían tomarse en cuentalos siguientes elementos. Una autoridad deberesolver el conflicto, de manera fundada ymotivada. El fundamento debe encontrarseprevisto de manera expresa en alguna ley. Luego,deben establecerse condiciones deprocedimiento tales que aseguren la debidagarantía de audiencia a los titulares de losderechos en conflicto, y finalmente deberárealizar esto a petición de parte.
Es muy importante que ustedes despuésconozcan el contenido detallado deldocumento. Dado que no tenemos el tiemposuficiente no podríamos ahondar más en loscasos prácticos que se modelan en el mismo.
Pero les puedo adelantar que se establecieronalgunos supuestos concretos de este equilibriode derechos. Por ejemplo, en el caso deinformación ambiental en donde la informaciónsobre la calidad del medio ambiente se considerade interés público y cuando hubiera unasolicitud de acceso a la información, por ejemplo,acerca de una persona que con su actividadempresarial contamina un río o la atmósfera,etcétera. Si el conocimiento de ciertos datospersonales llegara a constituir en un elementoesencial a través del cual se puedan determinarlas causas que motivaron ese daño alecosistema, entonces podría justificarse lapublicidad de los mismos en razón de accionesque pudieran adoptarse para revertirlo o impedirsu avance. A través de una prueba de interéspúblico, necesariamente tendría que darse aconocer los datos personales del que estácontaminando y el consentimiento paradifundirlos por parte de su titular se encontraríadisminuido.
Otro caso es el de la información acerca defuncionarios gubernamentales. Cuidadosa-mente se analizó que las personas tienen elderecho a conocer datos personales de los
servidores públicos, pero éstos tienen que estarestablecidos en normas y de no ser así entoncestambién tendríamos que aplicar una prueba delequilibrio para determinar si la información quese está solicitando está estrictamente ligada ala función pública del mismo funcionario o delmismo servidor.
Y ahí planteamos algunos ejemplos novedososque se han dado, por ejemplo, sobre solicitudesde acceso al currículum vitae de los funcionarioso sobre las fotografías en donde se pidensistemas de datos personales en donde ha habidoun avance jurisprudencial y administrativo ytambién de los tribunales, en algunos casos.
En este caso la prueba del equilibrio se enfocaríaen si existen excepcionas a favor de la publicidadde dichos supuestos en leyes respectivas y si conla divulgación de los datos personales se puedevincular o conocer el correcto desempeño de lasresponsabilidades o tareas asignadas a unfuncionario público. También si dichos datos sonconsiderados como información propia delindividuo o no, en fin.
Otro caso muy importante, y ya casi termino, esel de los expedientes médicos, donde ustedessaben que los datos relativos a la salud son datospersonales, los estados de salud físicos omentales. Estos están contenidos a su vez enarchivos clínicos y se parte del supuesto de queel paciente goza de una prerrogativa paraconocer la información sobre su estado de saludfísico o mental.
Sin embargo en algunas regulaciones se precisaque el acceso a los datos de carácter médicoúnicamente puede obtenerse a través de unprofesional de la medicina o bien que el pacientesólo tiene derecho a un resumen del expedientemédico, el cual no contiene, por ejemplo, notasevolutivas.
Aquí también se somete a una prueba paratomar e cuenta que son datos objetivos relativosa información clínica del paciente y que podríaser una información subjetiva. En fin, lointeresante del documento es que se enfoca al
240
ámbito iberoamericano, pero también en lasconclusiones observamos que existendiferentes modelos que guardan grandesdiferencias entre los sistemas de garantía ytutela del derecho de acceso a la información,así como de protección de datos personales.
Estas diferencias sustantivas afectan de manerareal y efectiva su protección, poniéndose demanifiesto la necesidad de contar no sólo coninstrumentos legales específicos en cadamateria que comprendan los mecanismosinstitucionales y procedimentales adecuados,pudiéndose apuntar a la conveniencia de contarcon autoridades de control independientes.
Observamos distintas deficiencias en cuanto ala delimitación de conceptos tales comointimidad, información pública yconfidencialidad que deberían ser definidos conmayor precisión posible a fin de limitar el gradode discrecionalidad de los órganos decisoriosante las solicitudes de acceso a la informaciónpública.
De todo lo analizado, finalmente, se desprendeque las leyes de acceso a la información públicaexistentes responden a ciertos criterios: elderecho de toda persona física o moral paratener acceso a documentos administrativosgenerados u obtenidos por el Estado sinacreditar su personalidad jurídica; ladeterminación de los sujetos obligados por la leyque no corresponde en Iberoamérica a criteriosuniformes, no todas las leyes de acceso tienenlos mismos sujetos obligados.
Y un procedimiento expedito y un recurso derevisión ante las negativas que pueda ejercer elciudadano ante uno órgano eficaz y, por su partelas leyes de protección de datos personalesdeberían responder a un modelo que tuviera unaserie de principios y derechos reconocidos a favordel titular de los datos personales y parte deprincipios básicos que ya hemos mencionado.
En los casos de tensión es importante contar conun procedimiento para dirimir y lograr elequilibrio del que hablamos porque se considera
que entre el derecho a la información y elderecho a la protección de datos personales noexiste a priori una verdadera colisión, pugna oconflicto, por lo que no debiera dirigirse laatención a una realidad filosófica previa, sinomás bien es necesario que las autoridadesadministrativas competentes o bien aquellascon facultades jurisdiccionales ocoasijurisdiccionales en la materia resuelvan demanera armónica y ad casum la cuestión.
ModeradorModeradorModeradorModeradorModerador: José Luis Piñar Mañas. Presidentede la Red Iberoamericana de Protección de DatosPersonales.
A continuación tiene la palabra María JoséBlanco, para presentar como coordinadorarelatora del documento el referido a viabilidadde creación de autoridades de control deprotección de datos en Iberoamérica.
PonentePonentePonentePonentePonente: María José Blanco. SubdirectoraGeneral de Registro de Protección de DatosPersonales de la Agencia Española de Protecciónde Datos.
El documento de viabilidad de creación deautoridades de control en el entornoLatinoamericano refleja el resultado del grupode trabajo creado en la declaración de Cartagenade Indias, en el Encuentro Iberoamericano delpasado año.
Y parte de la consideración de que consolidar elderecho fundamental a la protección de datosexige una contrapartida y es que existanmecanismos rápidos y efectivos de garantía ydefensa de los ciudadanos en relación con elderecho a la protección de datos, ya sea de lospoderes públicos o de los particulares.
Partiendo de la conveniencia y necesidad dedisponer de estas autoridades de control, eldocumento recoge algunas recomendacionesdirigidas a los países de la ComunidadIberoamericana en la que se describe un modelomarco de autoridad con amplios poderes decontrol que sería el modelo óptimo de creaciónde una autoridad de control y modelos
241
alternativos que puedan cumplir estas mismasfunciones, pero con una estructura,competencias y organización diferentes, losuficientemente flexible para que se puedaadaptar a cado Estado en función de suspeculiaridades jurídicas y sociales.
En el grupo de trabajo los participantes y losmiembros de la Red somos conscientes de lasposibles dificultades económicas y sociales quepodría dificultar la creación de una autoridad. Ypor ello propone el documento unas reflexionespara facilitar la creación de órganos deprotección de datos que permitan garantizareste derecho.
En el documento, en el grupo de trabajo serealizó un análisis general de la situación en laque se pone de manifiesto que los flujos de datostransfronterizos son necesarios para eldesarrollo comercial y social de los paísesiberoamericanos, que es necesario este flujo dedatos transfronterizos tanto entre empresasestablecidas en diferentes países de lacomunidad, como entre las administracionesnacionales con fines de colaboración.
Se establece, por tanto, necesario impulsar laración de medidas que garanticen un nivel deprotección de datos adecuado y homogéneo entodos los países de la región, para eliminar esasbarreras que en estos momentos podrían estarimpidiendo el desarrollo de este flujotransfronterizo de datos.
Teniendo en cuenta que hay importantesdiferencias en el nivel de protección de datosentre los países iberoamericanos y los países dela Unión Europea, ahí es donde se central el grupode trabajo para intentar buscar alternativas aesta situación.
Si queremos que los países de la ComunidadIberoamericana garanticen un nivel deprotección adecuado respecto a la UniónEuropea, según la Comisión Europea la autoridadde control es un elemento esencial en laprotección de los datos personales.
En el documento se reflejan los distintosmodelos de autoridad de control de protecciónde datos que se centran básicamente en elmodelo europeo, creados según las previsionesdel Convenio 108 del Consejo de Europa, de 1981,que luego recoge la Directiva 95 46.
Y las otras características de esta autoridad quepreveía ya el Convenio 108 y la Directiva 95 46,que es el modelo que se transpone en el modeloespañol, las características de esta autoridad esuna autoridad independiente, es el requisito,quizá, más importante, debe estar presidida porun director.
En el caso de la Agencia Española de Protección deDatos elegido entre los miembros de un consejoconsultivo, con un mandato de cuatro años, susdecisiones sólo pueden ser revocadas por laAudiencia Nacional; actúa con transparencia ensu actividad. Tiene la obligación de presentar unamemoria anual en el Parlamento todos los años.La autoridad de control debe contar con poderesde supervisión para poder realizar investigaciones,inspecciones y, en su caso, imponer sanciones,garantiza la publicidad de los tratamientos dedatos personales a través de un registro deprotección de datos.
Facilita a los ciudadanos la tutela de sus derechosy resuelve las denuncias de vulneración de laLey de Protección de Datos, y en el caso de laAgencia Española su presupuesto anual esta sefinanciado por los presupuestos generales delEstado y mediante otros sistemas deautofinanciación.
Se hace también un estudio de la situaciónlatinoamericana, en la que el ejemplo deautoridades de control es la Dirección Nacionalde Protección de Datos de la RepúblicaArgentina, que se crea con un sistema deorganización muy similar al que establece ladirectiva de protección de datos, y que en base aesto consigue la decisión de adecuación de laComisión Europea, decisión por la que seconsidera la República Argentina como un paísque ofrece un nivel de protección de datos
242
adecuado. Lo que favorece este flujo deinformación, de transferencias internacionalesde datos.
El Grupo de Viabilidad establece unasreflexiones sobre una ponderación para elegirun modelo de protección de datos, un modelode autoridad de control de protección de datos yen base a estos criterios realiza unasconclusiones en las que se ratifica en eldocumento que las autoridades de controlcumplen un rol fundamental en la protecciónefectiva de los datos personales. Y propone comomodelo de referencia el modelo europeo deautoridad de control que se describe en eldocumento.
No obstante, de acuerdo con las circunstanciasde cada Estado, circunstancias económicas,sociales, los proyectos ideales de creación deestas autoridades pueden ir precedidos desoluciones alternativas y complementarias noexcluyentes entre sí, y ofrece una serie desoluciones provisionales. La primera alternativaes utilizar la estructura administrativa,constitucional y judicial ya existente, y lasfunciones esenciales que debe reunir laautoridad de control. El grupo plantea quepuedan ser asumidas por órganosadministrativos, constitucionales o judiciales yaexistentes, siempre con la condición de quemantengan su independencia en la toma dedecisiones sobre protección de datos.
Otra alternativa sería crear órganos ymecanismos complementarios de protección enel ámbito público. El documento hace unasconsideraciones de aquellos Estados en dondese va a implementar políticas de gobiernoelectrónico y modernización del Estado, sepodría tener en cuenta las implicaciones deestas políticas en el ámbito de la protección dedatos, y se propone que cuando un Estado vayaa adoptar estas políticas, se sopese la posibilidadde crear supervisores o encargados de protecciónde datos en este ámbito.
También se plantea como una posible solución,alternativa, la reestructuración de órganosadministrativos y asistentes, creando nuevasunidades que no supongan incremento del gastopúblico, pero que sí permitan una racionalidadde los bienes materiales y personales, paragarantizar este derecho fundamental que hasido asumido en la Declaración de Santa Cruzde la Sierra.
Y por último, ya como última alternativa, en elcaso de que no sea posible promover ningunade las anteriores, promover una mayorcolaboración del sector privado; favorecer elfuncionamiento de expertos u oficiales deprotección de datos, como medio eficaz dealcanzar mayores niveles de cumplimento eincentivar la autorregulación por los propiosagentes interesados, por ejemplo, a través decódigos de conducta.
Moderador:Moderador:Moderador:Moderador:Moderador: José Luis Piñar Mañas. Presidentede la Red Iberoamericana de Protección de DatosPersonales.
Y a continuación tiene la palabra la doctoraMaría Alejandra Sepúlveda, CoordinadoraRelatora del Documento sobre GobiernoElectrónico y Telecomunicaciones.
PonentePonentePonentePonentePonente: María Alejandra Sepúlveda. Ministeriode la Secretaría General de la Presidencia delGobierno de Chile.
Realmente junto a Jesús Rubí, Ana Viang, aAlfredo Chirino y con la colaboración de FernandoArgüello, hemos hecho un trabajo realmentemuy coordinado, a pesar de que cada uno estáen su propio país, que se deriva y se desprendedel compartir visiones, del compartir anhelos,inquietudes, en torno a lo que significa eldesarrollo de las tecnologías de la información ylas comunicaciones y la consiguienteprotección de datos.
243
Qué duda que vivimos en un tiempo nuevo, enun mundo en que las maneras de comunicarnos,de trabajar, de constituir nuestras comunidades,de constituir nuestras organizaciones, cambiade una manera muy rápida y muchas veces difícilde seguir y de asimilar adecuadamente.
Se contraen los conceptos de espacio y detiempo y la forma en que lo vivimos; caen lasfronteras, y es así como todos nosotros asistimosa este proceso de globalización, pero lo vivimosde manera distinta, dependiendo de nuestrodesarrollo económico, del tipo de insercióninternacional que tengamos, de la madurez denuestras instituciones, de la cultura de nuestrascomunidades.
Es por ello que nos sentimos nosotros muyconvocados dentro de este mundo nuevo, parapreocuparnos del desarrollo armónico de latecnología y de la protección de los datos, ya quesabemos que incide directamente en eldesarrollo competitivo de nuestros países y enla generación de un mayor bienestar social paranuestras comunidades.
Definición de gobierno electrónico. Nosotrosentendemos el gobierno electrónico como el usode las tecnologías de la información y de lascomunicaciones que hacen los órganos delEstado, con el objeto de mejorar la atención ylos servicios prestados a los ciudadanos, laeficiencia y la eficacia de la gestión de loorganismos públicos y, a la vez, fortalecer latransparencia y la participación de losciudadanos.
De este concepto de gobierno electrónico sedesprenden los ámbitos en que éste se expresa,que es en atención al ciudadano. En este ámbitose busca el establecimiento, por medio de lautilización de la tecnología, de nuevas formasde relación entre el Estado, el ciudadano, elinversionista y el empresario, que permitanrealizar una gestión más eficaz, más eficiente ycon independencia del lugar físico.
El buen gobierno se expresa en la utilización delas nuevas tecnologías, con el objeto de ponernuevas formas y procedimientos internos de losservicios que permitan el intercambio deinformación, compartir recursos y mejorar lagestión operativa de los mismos.
Y en el desarrollo de la democracia es cómoabrimos, a través de las tecnologías de lainformación, nuevos canales de comunicaciónque promuevan la participación del ciudadano.
Es importante en este punto hacer presente queel desarrollo del gobierno electrónico tiene comosentido un proyecto estratégico; es decir, laincorporación de las tecnologías por sí solas nobastan. Es necesario un proyecto estratégico yque se tenga claro cuáles son los aspectosjurídicos y tecnológicos que están asociados aese proyecto, como también los culturales y decapacitación de los de los distintos funcionariospúblicos.
En nuestro grupo de trabajo abordamos y vimostodo lo relativo a protección de datos, de lo cualse ha hablado en este Encuentro largamente,del recurso de la Hábeas data, los temas deprivacidad, de seguridad de redes, seguridad deinstalaciones, seguridad de comunicaciones,seguridad de los documentos electrónicos,normas estándares, todo lo relativo al acceso, labrecha digital y su inclusión, lo relacionado conla institucionalidad, que es necesaria tener paradesarrollar en buena forma al gobiernoelectrónico, los temas vinculados a la firmadigital y muy fundamentalmente todo lorelacionado con educación y con capacitación,tanto del ciudadano como de los funcionariospúblicos y, lo concerniente al tema de laneutralidad tecnológica.
Ámbito de las telecomunicaciones. Aquídesprendemos de la Declaración de CartagenaDeclaración de CartagenaDeclaración de CartagenaDeclaración de CartagenaDeclaración de Cartagenade Indiasde Indiasde Indiasde Indiasde Indias que advierte sobre el riesgo en eltratamiento de los datos personales en el sectorde las telecomunicaciones y se propone lanecesidad de establecer garantías.
244
¿A qué se refieren estas garantías? A los datosde tráfico, al tratamiento de los datos delocalización, a la prestación de servicios de valoragregado, a la introducción de facturasdesglosadas, a servicios avanzados de telefonía,a guías de abonados a servicios de comunicaciónelectrónica y a garantías tecnológicas. Estos sonlos aspectos fundamentales a los que se refiereel tema vinculado a las telecomunicaciones.
Vamos al tercer tema. El Spam. Consecuenciasdel Spam que se analizaron en el grupo detrabajo.
En primer término atenta contra la intimidaddel ciudadano, viola el derecho de la protecciónde datos personales, hay un abuso del sistemade comunicaciones a nivel global, se creanproblemas de seguridad, hay recursos deInternet utilizados con malos fines, hayproblemas de confiabilidad en la Red que inhibeal ciudadano para realmente realizar aquellostrámites que sí le van a aportar beneficios, generaperjuicios económicos en la Red y tiene costosgenerales para la economía global.
De ahí la necesidad de definir políticas yestrategias tanto nacionales comointernacionales que nos permitan hacernoscargo de este tema y de todas sus derivacionesque sería muy largo detallar.
Finalmente, tenemos múltiples desafíos desdeel acceso hasta la inter operabilidad y tenemosmucho camino por recorrer.
Pero lo que sí queremos señalarles es que en elRed estamos comprometidos a avanzar en estamateria, a profundizarla porque tenemosclaridad de que el desarrollo del gobiernoelectrónico y la protección de los datospersonales contribuye al desarrollo económicosustentable en nuestros países, a la generaciónde mayor bienestar social para nuestrascomunidades, especialmente para aquellos queestán aún marginados y rezagados del progreso.
Moderador:Moderador:Moderador:Moderador:Moderador: José Luis Piñar Mañas. Presidentede la Red Iberoamericana de Protección de DatosPersonales.
A continuación tiene la palabra el doctor ÁlvaroCanales para exponernos como relator ycoordinador el documento: Estrategia de la RedIberoamericana de Protección de Datos.
PonentePonentePonentePonentePonente: Álvaro Canales. Subdirector General deInspección de la Agencia Española de Protecciónde Datos Personales.
Creo que va a haber un antes y va haber undespués del IV Encuentro Iberoamericano o dela Red Iberoamericana de Protección de DatosPersonales.
Hablando para todos y no solamente para losmiembros de la Red, como es obvio, en el auditorioque nos reúne hoy aquí, se dan ustedes cuentade que el tema de la protección de datos decarácter personal es un tema dinámico; lastecnologías de la información y de lastelecomunicaciones día a día nos vanfacultando, nos van posibilitando untratamiento más eficiente y más ágil denuestros datos personales.
Y estos avances son muy significativos y muy avalorar, pero creo que la protección de datos decarácter personal tiene como derechofundamental que es un ámbito que trasciendea todos los ciudadanos, es un ámbito universal yes un ámbito integral.
Ninguno de los que estamos aquí ahora nospodemos ver sustraídos al tema del derechofundamental, porque como ciudadanos, comoclientes, como proveedores, en nuestra vidadiaria se están tratando datos de carácterpersonal por parte de responsables públicos yempresas privadas y de ese tratamiento de losdatos personales no se infieren resultadosneutrales, resultados que no nos afecten,resultados que aunque no lo percibamos en unprimer momento no puedan causarnostrastornos a nuestra vida, a nuestra intimidad, a
245
nuestro desarrollo de la vida tal y como nosotroshemos querido configurarla, en un ambienteindividual, en un ambiente familiar, en unambiente social de nuestra dimensión comociudadanos y como personas.
Les quiero manifestar que el documentoestratégico es un documento que prevé que laorganización de la Red Iberoamericana es unaorganización que está abierta a todos lossectores.
En este Encuentro de México, por primera vezen este nacimiento ya se vislumbra que ya no esun pequeño bebé que da los primeros pasos, sinoque ya es un, yo me atrevería a decir unadolescente, un mozuelo, una chica, un chico,que ya empieza a tener una problemática y unapresencia en muchos sectores y, por tanto,creemos en este documento estratégico quedeben ustedes saber que todos los sectorespueden estar representados en la RedIberoamericana, si bien es cierto que condiferente presencia, en función de que losrepresentantes que participen en la Red seanrepresentantes de instituciones nacionales,sean representantes de instituciones privadas,universidades o simplemente sean personasfísicas, particulares que tengan una inquietud yque quieran estar al tanto del conocimiento detrabajos y de actividades que tiene la propia RedIberoamericana de Protección de Datos.
Y en este sentido abierto de la Red, el papel queocupa es un papel muy académico, muyuniversitario, porque manifiesta el documentoestratégico tres grandes preocupaciones: Unapreocupación de surtir de información a todosaquellos que pretenden participar de la Red oque quieren consultar documentos de la Red,servir también de un asesoramiento técnico yespecífico para el tema de protección de datos ysirve como un foro de debate, porque ni todaslas sociedades tienen un mismo nacimiento yuna misma configuración a la protección dedatos, al honor, a la intimidad, en fin, cadaConstitución y cada sociedad es diferente y, portanto, este Foro de la Red Iberoamericana es un
foro muy enriquecedor en el cual nadie parte enuna postura preeminente respecto de nadie,cualquiera puede proponer, porquelegítimamente nadie se le puede negar su propiomodelo y su propia actuación y su propiaconformación de cómo quiere y hasta dóndequiere llegar en materia de protección de datos.
Siempre teniendo en cuenta los principios ygarantías que disciplinan comúnmente elrespeto al ciudadano y la consideración de supropia voluntad en el tratamiento de los datosque son propiedad del propio ciudadano.
Los nuevos retos que tiene la red en eldocumento estratégico se manifiestan muyrápidamente, de acuerdo con lo que les hevenido relatando en dos aspectos: Unoimportantísimo es la divulgación de la culturade la protección de datos de carácter personal.
No sé si ustedes recuerdan y yo me permitoponer este ejemplo en materia de consumo: nohace muchos años, todos los ciudadanos cuandonos hablaban de los posibles derechos, losposibles arbitrajes, las posibles sanciones, lasposibles reconvenciones entre un fabricante yel ciudadano, entre un distribuir, entre unproducto, entre un servicio, entre un productofinanciero y el ciudadano, no lo veíamos del todo,aunque todos o la mayoría apreciábamos queiba a ser un avance significativo en lo social y enlas sociedades democráticas desarrolladas.
Pues, bien, en la protección de datos la RedIberoamericana aporta esta inquietud yentiende que es la promulgación y la difusiónde la cultura de protección de datos esfundamental para esas sociedadesdemocráticas. Y en este sentido, se crea en eldocumento estratégico un grupo de impulsonormativo y de armonización de la legislaciónen materia de protección de datos.
Para finalizar, la Red cree que el documentoestratégico lo recoge, que la Red Iberoamericanatenga una página Web propia dentro de Internet,actualmente debido a estos dos primeros años,
246
la Red Iberoamericana viene ubicando suscontenidos, sus foros, sus informaciones, susestados de situación en los países en un apartadoespecífico que aparece en la «home» de la páginaWeb de la Agencia Española de Protección deDatos.
Creo que la mayoría de edad de este proyectorequiere, y así lo ha visto y lo ha recogido eldocumento estratégico que la RedIberoamericana tenga su propia página Web ytenga su propia identidad y su propia dinámicade funcionamiento y de independencia respectode la Agencia Española que ha venido, pordecisión de la propia Red, asumiendo la funciónde Presidencia y Secretaría Permanente de lapropia Red Iberoamericana.
Sin más, agradeciéndoles en nombre de la Red aeste maravilloso país que nos haya acogido tancalurosamente, doy sinceramente las gracias.
247
Conferencia Magistral de ClausuraConferencia Magistral de ClausuraConferencia Magistral de ClausuraConferencia Magistral de ClausuraConferencia Magistral de ClausuraFirma de Cartas de IntenciónFirma de Cartas de IntenciónFirma de Cartas de IntenciónFirma de Cartas de IntenciónFirma de Cartas de Intención
Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Conferencia Magistral: Sergio López Ayllón.
Doctor en Derecho, profesor e investigador de la División de Administración Pública del CIDE.Investigador del Sistema Nacional de Investigadores y sus principales líneas de investigación atañenal acceso a la información, al derecho de la información, a las políticas de regulación, a la reforma dela administración pública, a la sociología del derecho y transparencia.
Quiero, en primer lugar, agradecer, como es de rigor, a los importantes organizadores de esteEncuentro su muy gentil invitación, para dictar esta Conferencia de Clausura.
Agradecimiento que, debo decir, muy matizado, pues rápidamente se transforma en agobio y si noen angustia por tener que exponer ahora frente a todos ustedes, que durante tres días han discutidoya con conocimiento, rigor y profundidad, las diferentes dimensiones y problemas que implica laprotección de datos personales en nuestra globalizada sociedad de la información.
Resulta difícil, cuando no pretencioso, tratar de añadir algo nuevo a lo ya debatido; de los problemasciertos que plantean las tecnologías de la información para la vida privada, hasta la construcciónaún incierta de un derecho fundamental a la protección de datos personales, cuyos contornosexactos parecen aún difusos.
De los problemas normativos que plantea la regulación de los datos personales para los gobiernosy las empresas, hasta aquéllos más técnicos, relacionados con la seguridad de los sistemas de datospersonales.
Un tema insoslayable para este país, que con mucho gusto los recibe y que ha consumido granparte de este encuentro, es el relativo a la necesidad y contenido posible de una Ley de Protecciónde Datos para este país.
Hemos tenido la fortuna de contar con la presencia de algunos de los más importantes expertosiberoamericanos en esta materia, y créanme que sus contribuciones han sido muy importantes yenriquecedoras para informar el debate necesario acerca de esta ley.
Mi intervención se va limitar a subrayar algunas ideas centrales que me parece se desprenden delas intervenciones durante estos días y atreverme a profundizar en algunos de los aspectos que meparece deberían ser objeto de una reflexión cuidadosa, por parte de nuestros legisladores, que a
248
veces, entusiasmados con una buena idea, selanzan con brío a establecer un marcoregulatorio, cuya operación completa no parecepreocuparles demasiado.
Quizás en esto estamos solamente repitiendoesa idea tan arraigada en nuestra cultura y enmucho compartida con otros países deIberoamérica, que los problemas se puedenresolver a golpe de ley y que ésta actuaría comouna especie de sortilegio, de barita mágica, cuyamera invocación parecería ser suficiente paratransformar una realidad compleja.
Se olvida con frecuencia que una ley es sólo elvehículo de una política pública que suponeobjetivos claros y mesurables, recursos,instituciones y voluntad política.
Me parece que existe un consenso claro.
El mundo ha vivido, en los últimos 150 años, unavertiginosa revolución de las tecnologías de lainformación y la comunicación, que hancambiado profundamente, no solamente losmecanismos de intercambio, sino el conjunto delas relaciones humanas.
Hago un muy breve recuento.
Hacía 1840 Sir Charles Winston y Samuel Morseinventan el telégrafo.
El grámofo aparece a principios de la segundamitad del siglo XIX.
En 1876 Bell envía el primer mensaje telefónico.
Para 1895 Marconni transmite mensajesinalámbricos.
Hacia 1894 son proyectadas las primeraspelículas.
Ya en el siglo XX, en 1904 se transmitenimágenes por aparatos telegráficos.
En 1906 se transmite la voz humana por radio yen 1920 se lograr enviar las primeras imágenesde televisión.
Las primeras redes de radio se establecen hacia1929 y las de televisión en los treintas.
Las primeras computadoras aparecen en los añoscuarenta, y el Pájaro Madrugador, primer satélitecomercial de intercomunicación, es lanzadohacia 1962.
Hacia principios de la década de los sesentas, laalianza entre las telecomunicaciones y lainformática permite el vertiginoso desarrollo delInternet, la red de redes, que para los noventasalcanza una cobertura mundial pocas vecesimaginada.
Las innovaciones tecnológicas que han ocurridoen la última década, en particular laconvergencia a las telecomunicaciones, lainformática y los medios audiovisuales, a travésde la tecnología digital, están produciendo unaprofunda revolución en la capacidad social deprocesar, almacenar y transmitir información.
Los servicios relacionados con la informaciónhan creado auténticos espacios virtuales,deslocalizados y no jerarquizados donde circulanmillones de unidades de información y amplían,sin duda el horizonte de la acción humana.
Diversos autores han analizados estosfenómenos desde muy diversos ángulos. Meimporta destacar aquí como por ejemplo paraManuel Castells una conclusión fundamentales que existe una tendencia histórica clara enla que los procesos y funciones dominantes enla era de la información están cada vez másorganizados alrededor de redes. Las redesconstituirían la nueva morfología de nuestrassociedades y la difusión de la lógica de las redesmodifica también sustancialmente la operacióny producción de los procesos sociales deproducción, experiencia, poder, cultura e inclusoidentidad.
249
Algunas de las implicaciones de lo anterior sonfundamentales para comprender cómo estoscambios están modificando también lasconcepciones tradicionales de lo público y loprivado, pues introducen una lógica diferenteque conduce a que las fronteras de estosconceptos, de por sí siempre difusas, se vuelvanaún menos claras y útiles para el análisis.
No es excesivo decir que la tecnología de lainformación ha trastocado las fronteras entrelo público y lo privado. Los flujos de informacióny la capacidad tecnológica y social de producir,almacenar y transmitir información en espaciosvirtuales deslocalizados y que por ello escapan alos mecanismos tradicionales del control estatal,suponen una transformación radical de algunade nuestras categorías de análisis de las cualescuya utilización no siempre alcanzan dar cuentacabal de los mecanismos que estamosobservando.
Por todo ello, me parece que el problema de laregulación de datos personales tiene unacomplejidad doble. Por un lado, intenta regularun campo movedizo como lo es el de los datospersonales, cuyas fronteras son difusas y queademás está en constante movimiento derivadode su intima vinculación con el desarrollo de lastecnologías de la información.
Por otro lado, pretende establecer mecanismosde regulación sobre flujos de información quetransitan por sistemas de localizados ofácilmente deslocalizables y que por elloescapan a los mecanismos tradicionales decontrol estatal.
Quiero precisar que no quiero implicar que esasdificultades deben inhibir la actividadregulatoria del Estado. Todo lo contrario, lo quequiere decir simplemente es que expliquenparte de la dificultad del asunto y le añadendimensiones de complejidad que se deben teneren cuenta y que por lo tanto si queremosconstruir una legislación que funcione, nopuede tratarse como si enfrentáramos unproblema regulatorio tradicional y requerimosde una enorme claridad en los objetivos que
estamos tratando de conseguir con unaintervención en este campo.
Baste simplemente añadir, como ya se ha hechopatente aquí, que la dimensión transnacionaldel fenómeno obliga a una coordinación de losreguladores, a fin de lograr siquiera algunaeficacia en este campo.
Ya se ha hablado en este foro ampliamente sobrelos llamados modelos de regulación quesimplificando se llaman el europeo y elamericano y no voy a insistir en ello. Creo quetambién se ha enfatizado suficientemente queexiste un acuerdo básico sobre los principios quedeben regir la protección de datos personales,con sentimiento, calidad, pertinencia,confidencialidad, seguridad.
Quisiera completar simplemente con algunascuestiones que me preocupan respecto de lapropuesta de ley que actualmente se discute enel Congreso mexicano, pero que ilustran bien lasdificultades que enfrenta el legislador cuandose enfrenta a estas cuestiones.
Insisto, creo en la necesidad de una legislación,lo que tenemos actualmente, por lo menos eneste país es malo por parcial, provisional,fragmentado, que genera asimetríasimportantes. Basta pensar por ejemplo en eldebate que tenemos alrededor del expedientemédico donde ya creamos una asimetría muyimportante entre la regulación al sector públicoy al sector privado en esta materia.
Quizás también esto explica por qué nuestra Leyde Acceso a la Información contiene un capítuloque cuando se diseñó se quería provisional enmateria de protección de datos, porque teníamosun vacío completo en la materia y no podíamosavanzar en la materia de acceso sin estableceral menos los principios básicos en materia deprotección de datos en materia gubernamental.
Sin embargo, obviamente la materia es muchomás amplia, tiene mucho mayor complejidad,pero tampoco se puede borrar la experiencia yaadquirida en estos años en esta materia y
250
algunas de las lecciones que de ella hemossacado.
Finalmente, también creo y estoy convencidoque una legislación mala produce efectosperversos, aun en ocasiones más graves de losque pretende corregir, o simplemente se vuelveinoperante o en subterfugio para que en suslagunas sirva de fermento a la simulación o peora la corrupción.
En este sentido, me gustaría repasar tres ocuatro ideas muy brevemente con ustedes.
Una primera tiene que ver con cuál es el objetode una legislación en materia de protección dedatos personales. ¿Se trata de proteger underecho fundamental? ¿Es éste la vida privada?¿O se trata de un nuevo derecho como se hainsinuado aquí: un derecho a la protección dedatos personales? si este es el caso, ¿cuáles sonlos contornos de este derecho fundamental, aquién obliga y cómo lo obliga?
O más bien se trata de regular los mercados deinformación y si este fuera el caso, ¿cuál es elobjeto de la intervención regulatoria en esteaspecto? ¿Qué pretendemos con regular estosmercados y, sobre todo, cómo se justifica laintervención del Estado en esta materia?
Me parece que estos son dos problemas distintosque suponen mecanismos y objetivos deregulación distintos. Si, por ejemplo, se trata dela protección de un derecho fundamental yadmitimos que el principio básico es el de laautodeterminación informativa, bastaría, quizás,simplemente establecer las instituciones yprocedimientos que aseguraran que laspersonas pueden ejercerlo.
Quizás, en el extremo, la intervencióngubernamental se enfocaría a reducir lasasimetrías de información y generar lascondiciones que propiciaran que los ciudadanospudieran ejercer este derecho a laautodeterminación informativa.
En cambio, si se trata de la regulación de losmercados de información y de sus instituciones,por ejemplo, la sociedad de información,entonces me parece que el problema regulatorioes distinto y supone una serie de decisiones depolítica pública muchas más complejas y undiseño institucional distinto.
Si además, éste fuera el caso habría que justificarla acción del gobierno e incluso determinar si laregulación es la mejor manera de intervenir o sino existen otras alternativas más viables dadaslas condiciones de un mercado determinado.
El ejemplo básico sería la autorregulación, perohabría otros mecanismos a los cuales se podríarecurrir.
Alguien podría argumentar con razón que estasdos cuestiones se implican mutuamente, yoconvengo en ello, pero me parece que al menosdiferenciar una de otro, ayuda en mucho agenerar un diseño legislativo con mayorviabilidad y mucho me temo que la propuestade ley que hoy discute el Congreso mexicanoestas dos cuestiones están francamenteconfundidas.
Déjenme ilustrar un solo ejemplo de esto,cualquier legislación debe estar soportada poruna base jurídica constitucional suficiente.
Y yo me preguntaría: ¿Cuál es la base jurídicaconstitucional sobre la cual el Congresomexicano puede emitir o expedir unalegislación en esta materia? Y aquí encuentroque francamente este sustento es débil, es débilrespecto de la protección de datos personales,aunque quizá ahí podríamos argumentarlo, peroes mucho más débil respecto de las sociedadesde información.
¿Cuáles son, entonces, las facultades expresasdel Congreso mexicano para legislar en estamateria? La cuestión no es banal, porque si elsustento constitucional no es sólido, entoncesla acción regulatoria puede estar destinada alfracaso.
251
Esta cuestión que parece tan obvia, me permitocomentarlo, ni siquiera está discutido en elproyecto de dictamen de esta ley en el Congresoy me parece que es ya significativa.
Pero lleva a otros problemas respecto al nivel degobierno apropiado en esta materia.
¿En el caso concreto de México es unalegislación de carácter federal o estatal? En elproyecto que tenemos enfrente es una mezclacuriosa, porque por un lado aparenta ser unalegislación de carácter federal, al menosrespecto de los órganos o las entidades públicasfederales, pero parece dejar completamente delado los órganos y entidades de gobierno decarácter estatal o municipal y tendríamos queconvenir que estas organizaciones tambiénmanejan datos de carácter personal.
En cambio, respecto de las sociedades deinformación y de las organizaciones como serefiere el proyecto, admite casi implícitamenteuna regulación de carácter federal, e insisto enla pregunta fundamental: ¿Cuál es el sustentoconstitucional para esto?
Quizás mi reflexión me llevaría a queprobablemente habría que considerar laconveniencia, incluso, de plantear una reformaconstitucional, para que esta materia quedarabien definida desde su origen.
Pero los problemas jurídicos constitucionales noson los únicos. Creo que hay otras cuestiones queme preocupan respecto del diseño institucionalincluso de cuestiones de carácter procedimental.
Brevemente me refiero a las cuestionesinstitucionales. Ya se ha hablado aquí de losdiferentes modelos, y se insiste mucho en laautonomía de los órganos.
Sin embargo la pregunta relevante esautonomía para qué o de qué. Y aquí, insisto, meparece importante diferenciar las funciones deprotección de datos personales que puede teneruna agencia administrativa, y que simplemente
interviene en un nivel intermedio respecto dela intervención el Poder Judicial, si admitimosque, en principio, en nuestros sistemas lagarantía última de los derechos fundamentalesse encuentra en los poderes judiciales, cuestiónque obviamente alguien podría argumenta queno, pero parecería que ésta es la tendencia.
O bien, si se trata de una autoridad reguladorade un mercado de información, que le da uncarácter distinto, y que incluso me llevaría acuestionar la necesidad de un órgano decarácter colegiado.
Si se trata de una autoridad reguladora, laautonomía administrativa se justifica porrazones técnicas, como existe en otro tipo deindustrias de redes, y entonces nos lleva a undiseño institucional definido. Distintoprobablemente de una agencia cuya funcióncentral fuera la protección de datos personalesa partir de una óptica de protección de derechosfundamentales.
Quizá estos modelos son combinables. Insisto,lo que resulta fundamental es entender cuál esla naturaleza de la intervención del órganoadministrativo en esta materia, puesto queestamos admitiendo que no es un órgano decarácter jurisdiccional en sentido estricto.
Hay otras cuestiones preocupantes, por ejemplo,esta falta de claridad lleva a que se proponga unprocedimiento en donde el ciudadano puederecurrir la corrección de sus datos personalesdirectamente ante la entidad privada, ante elórgano administrativo o ante el órganojurisdiccional, aunque la ley dice que no demanera simultánea no establece prelación anteellos, y esto evidentemente provocaríaproblemas procedimentales muy serios quepodrían, incluso, a que la eficacia de estemecanismo no fuera el deseable.
Y finalmente cuestiones también de carácterprocedimental, que yo me pregunto si huboconsulta suficiente, por ejemplo, con el PoderJudicial. El plazo que establecen para la
252
intervención de los juzgados de distrito, dada laexperiencia que tenemos en las cargas detrabajo que tienen estos tribunales, me hacepensar que los plazos que se están presentandono son ni remotamente viables en lascondiciones actuales de operación del PoderJudicial, y no voy a hablar ya de la capacitaciónque requerirían los jueces para el ejercicio deeste derecho.
Creo que habría otras cuestiones en las que yano quiero abundar por ser demasiado nacionales.Pero sí me parece finalmente que el diseño deuna legislación plantea dilemas importantes, yyo me atrevería a pensar que uno de los enormesbeneficios de este tipo de encuentros es elintercambio de perspectivas, de experiencias, dediseños, de conocimiento y que permitirán,espero, en el corto plazo que los países de nuestraregión cuenten con una legislación adecuada,flexible, dinámica, para este problema que está,sin duda, al centro de las preocupaciones de lassociedades contemporáneas.
Firma de las CartasFirma de las CartasFirma de las CartasFirma de las CartasFirma de las Cartasde Intenciónde Intenciónde Intenciónde Intenciónde IntenciónMaría Marván Laborde; José Luis Piñar Mañas yJuan Antonio Travieso, titulares,respectivamente de los organismosdenominados Instituto Federal de Acceso a laInformación Pública, Agencia Española deProtección de Datos y Dirección Nacional deProtección de Datos de Argentina.
Estas Cartas de Intención serán firmadas, poruna parte, entre el Instituto Federal de Acceso ala Información Pública de México y la AgenciaEspañola de Protección de Datos.
Y, por la otra, entre el Instituto Federal deTransparencia y Acceso a la Información Públicay la Dirección Nacional de Protección de DatosPersonales del Ministerio de Justicia y DerechosHumanos de la República de la Argentina.
A partir de las competencias y funciones quecompeten a las partes en cada una de las Cartas
de Intención, en relación con la protección delos datos personales, así como del mutuobeneficio que puede resultar del intercambio desus experiencias y capacidades, en busca de lamayor eficacia y eficiencia en la laborencomendada a las mismas.
Dichas partes manifiestan, a través de estasCartas, su intención de crear un grupo de trabajoa efecto de que desarrolle un proyecto deconvenio de colaboración en materia deprotección de datos personales y después de lasconsultas necesarias formalizar dicho convenio,antes de que concluya el primer semestre de2006.
Por tanto, en este momento la doctora MaríaMarván Laborde, en representación del InstitutoFederal de Acceso a la Información Pública, y losseñores José Luis Piñar Mañas, en representaciónde la Agencia Española de Protección de Datos yJuan Antonio Travieso, de la Dirección Nacionalde Protección de Datos personales de laRepública de la Argentina, procederán a lasuscripción de las Cartas de Intención.
María Marván LabordeMaría Marván LabordeMaría Marván LabordeMaría Marván LabordeMaría Marván Laborde: Pues a pesar de lasencillez de la ceremonia, muchísimas gracias yenhorabuena, por supuesto a España, porsupuesto a Argentina muchas gracias por esto.
José Luis Piñar MañasJosé Luis Piñar MañasJosé Luis Piñar MañasJosé Luis Piñar MañasJosé Luis Piñar Mañas: Muchísimas graciasquerida María por haber firmado esta Carta deIntenciones. Estoy seguro que de estedocumento surgirán frutos muy importantes, nosólo porque están estampadas nuestras firmassobre el documento en sí, si no porque hay unamagnífica y estrecha relación personal entre losequipos del IFAI y de la Agencia Española deProtección de Datos y esto es lo que en definitivaimpulsa los documentos que en algún momentopuedan suscribirse.
Estoy ya deseando que se pueda firmar eseconvenio formal de colaboración y, sin duda estees el comienzo, como en Casa Blanca, de unabuena amistad y de lazos más estrechos decooperación, de colaboración y de una apuestaaún más profunda, si cabe, en aras del derecho
253
fundamental de la protección de datos y delderecho a la transparencia y al acceso a lainformación pública.
Juan AnJuan AnJuan AnJuan AnJuan Anttttt onio onio onio onio onio TTTTTrrrrraaaaaviesoviesoviesoviesovieso: Quiero agregarfundamentalmente que suscribo todas y cadauna de las expresiones del José Luis Piñar Mañas,pero además quiero agregar un punto más, quees la hermandad que nos vincula especialmenteen lo que a mí me respecta con respeto a mi paísla Argentina con México. Por lo tanto entoncesme siento hermanado y me siento orgulloso depoder participar en esto y aumentar, por un lado,mi mexicanidad. Y por otro lado tambiéncompartir con María lo que ella tambiénconsidera su argentinidad.
De manera entonces que unimos esos dos enun proyecto grande y sobre todo, cimentadosobre la Red Iberoamericana de Protección deDatos Personales
255
Declaración de MéxicoDeclaración de MéxicoDeclaración de MéxicoDeclaración de MéxicoDeclaración de México
Presídium:Presídium:Presídium:Presídium:Presídium:
María Marván Laborde, Comisionada Presidenta del IFAI; José Luis Piñar Mañas, Director de la AgenciaEspañola de Protección de Datos Personales y Presidente de la Red Iberoamericana de DatosPersonales; Horacio Aguilar Álvarez de Alba, Comisionado del Instituto Federal de Acceso a laInformación Pública; Ricardo Sodi Cuellar, Director de la Facultad de Derecho de la Facultad Anáhuacdel Norte; Rolando Barrera Zapata, Consejero Presidente del Instituto de Transparencia; Juan RodolfoSánchez Gómez, Presidente de la Mesa Directiva de la L Legislatura del Estado de México.
Ricardo Sodi.Ricardo Sodi.Ricardo Sodi.Ricardo Sodi.Ricardo Sodi.
La categoría de los conferencistas y de los participantes ha permitido intercambiar experiencias dediferentes países y enriquecer la visión mexicana del derecho a la información y la necesaria reservade datos que pueden afectar la esfera jurídica, personal y familiar de la población.
En la Facultad de Derecho de la Universidad Anáhuac, consideramos que el derecho a la información,el derecho informático y la protección de datos personales constituyen temas jurídicos que hancobrado autonomía por lo que hemos incluido en nuestro programa de estudios de licenciatura lascátedras de Derecho Informático y Derecho a la Información.
Asimismo, el Programa de Doctorado en Derecho que se imparte en convenio con la UniversidadComplutense de Madrid, incluye la cátedra de Derecho Informático, donde se tratan aspectos delegislación comparada entre México y la Unión Europea, relacionada con el acceso a la informaciónpública y la protección de datos personales.
El inexorable avance de la tecnología ha rebasado con mucho la regulación civil, penal yadministrativa relacionada con el intercambio de datos personales.
En este foro hemos podido conocer los avances y experiencias de otros países hermanos en estamateria y a efecto de aprovecharlos para impulsar una legislación mexicana al respecto, nospronunciamos por una regulación adecuada de la protección de datos personales, donde se preservela dignidad de la persona y los altos valores de la privacidad y permisibilidad con que se maneje lainformación.
256
Se deberán incorporar figuras como laautorización del titular de los datos personales,a efecto de poder disponer de ellos y la correlativaprohibición de usarlos con las sanciones penalesy la determinación de la responsabilidad civil encaso de incumplimiento.
La información debe ser manejada con uncontenido eminentemente ético, respetuoso delas garantías individuales, reservado, toda vezque afectar la esfera de intimidad de las personaspuede dar lugar a la afectación de la honra, famapública o consideración que la sociedad tengade determinada persona.
Consideramos que no sólo se trata de una simplereforma que pueda ser incorporara a un CódigoCivil o a un Código Penal, se trata de todo uncambio en la percepción jurídica de estosaspectos tanto a nivel federal, como local.
Deberán ser leyes especializadas sobre lamateria que, inclusive, tipifiquen delitos en casode transgresión y establezcan los parámetrospara determinar la responsabilidad civil que unindebido manejo de datos personales puedaocasionar.
El campo de protección debe ser también amplio,ya que los medios electrónicos invaden aspectostales como domicilio, número telefónico,ocupación, preferencia sexual, salud, todo tipode información que pueda afectar la esfera deprivacidad de un individuo.
Las empresas que usen o más aún quecomercialicen este tipo de información debenestar reguladas y supervisadas por órganosgubernamentales para efecto de prohibir lacomercialización, sería ir en contra del mercadoy el avance tecnológico impedir esa situación.
Por eso, sólo nos queda legislar sobre la materiapara lograr establecer un equilibrio justo entrelos intereses individuales, las necesidades delEstado y los requerimientos de un mercado encontinúa expansión.
Necesitamos todo un marco jurídico incluyenteque involucre a los sectores público, privado ysocial en la protección de datos personales,donde se garantice la protección de la privacidadsin descuidar los aspectos económicos,tecnológicos, de mercado que han detonado laexpansión de esta actividad.
Ahora estamos en una época de efervescenciaelectoral, no escapa a nuestra atención laprotección que se debe dar a los datos personalesdel electorado, frente al legítimo interés de lospartidos políticos de promover el voto.
La tecnología y los usos comerciales de lasgrandes bases de datos no pueden sercontenidas, por ello una legislación en estamateria es apremiante, se deben fijar las reglasque determinen lo permisible de aquellasconductas que lesionen la esfera de intimidadde los particulares.
La Universidad Anáhuac y su Facultad deDerecho se suman a sus esfuerzos, a los esfuerzosdel Instituto Federal de Acceso a la InformaciónPública, a los del Instituto de Transparencia yAcceso a la Información del Estado de México, ala Legislatura del Estado de México en el sentidode promover la discusión, análisis y reflexión entorno a este trascendente tema.
Son las universidades, las que desde un puntode vista objetivo e imparcial pueden orientar eltrabajo de los legisladores federales y locales yde las autoridades encargadas de hacer cumplirla ley.
En suma, es la academia que engloba todas lascorrientes del pensamiento, y se ubica porencima de las corrientes políticas, de lasdivergencias políticas, la que debe encauzar eldebate abierto e incluyente sobre este tema.
Este tema provocará continuos debates y seproyecta como un tema de relevancia para elpresente y el futuro. Un futuro en el que nosotrospodemos incidir. Un futuro que nos pertenece, yque será mejor en la medida en la que cada uno
257
de nosotros cumpla su misión, y nuestra Facultadde Derecho consolide su posición de liderazgoen la formación de juristas y profesionales deexcelencia. Así lo demanda México, y en ello noscomprometemos.
María Marván Laborde.María Marván Laborde.María Marván Laborde.María Marván Laborde.María Marván Laborde.
Agradezco el honor que nos hace la Red aMéxico, de pedirnos que nosotros hagamos laDeclaración, y en nombre de mis compañerosleeré yo esta Declaración de México, y ennombre de toda la Red.
Declaración de MéxicoDeclaración de MéxicoDeclaración de MéxicoDeclaración de MéxicoDeclaración de MéxicoIV EncuentroIV EncuentroIV EncuentroIV EncuentroIV Encuentro
Iberoamericano deIberoamericano deIberoamericano deIberoamericano deIberoamericano deProtección de DatosProtección de DatosProtección de DatosProtección de DatosProtección de Datos
Personales,Personales,Personales,Personales,Personales,México 2005México 2005México 2005México 2005México 2005
Los miembros de la Red Iberoamérica deProtección de Datos reunidos en la Ciudad deMéxico y en el Estado de México del 2 al 4 denoviembre de 2005, ponen de manifiesto susatisfacción por los desarrollos que han tenidodurante la celebración de IV EncuentroIberoamericano de Protección de DatosPersonales, y desean hacer públicas lasconclusiones que se han alcanzado en el mismo.
El Encuentro ha aportado dos novedadesparticularmente destacadas. En primer lugar, laapertura de su sesiones a la participación deasistentes que no están integrados en la RedIberoamericana, el amplio número de personasque han acudido a los paneles del Encuentroacredita de forma indubitable la crecientesensibilidad e importancia de las cuestionesrelacionadas con la protección de datospersonales para un número creciente depersonas y entidades públicas y privadas.
En segundo lugar, las conclusiones del Encuentrono se apoyan exclusivamente en los debatescelebrados durante el mismo, sino queincorporan detallados documentos de trabajo,fruto de un análisis más exhaustivo de los temasabordados en el mismo.
Este hecho constituye un indicador de la RedIberoamericana se encuentra en condiciones deabordar y ofrecer alternativas rigurosas aproblemas que afectan a la protección de losdatos personales.
En este sentido, constatan que las perspectivasrecogidas en la Declaración de Cartagena deIndias, Colombia, relativas a que la RedIberoamericana sea un punto de referencia,objetivo e imparcial, para la implantaciónefectiva del derecho fundamental a laprotección de datos personales, son una realidadcapaz de influir en la forma decisiva, en eldesarrollo institucional, social y económico delos países iberoamericanos.
En consecuencia, teniendo en cuenta lospaneles desarrollados y los documentoselaborados por los grupos de trabajo de la Red,hacen públicas las siguientes conclusiones desus documentos anexos:
Primero. Derecho fundamental de laPrimero. Derecho fundamental de laPrimero. Derecho fundamental de laPrimero. Derecho fundamental de laPrimero. Derecho fundamental de laprotección de datos personalesprotección de datos personalesprotección de datos personalesprotección de datos personalesprotección de datos personales
El derecho a la protección de datos personalespresenta caracteres propios que le dotan de unanaturaleza autónoma, de tal forma que sucontenido esencial le distingue de otrosderechos fundamentales y específicamente delderecho a la intimidad, al honor y a la propiaimagen.
El derecho a la intimidad tiende a caracterizarsecomo el derecho a ser dejado solo y a evitarinjerencias en la vida privada.
El derecho a la protección de datos atribuye a lapersona un poder de disposición y control sobrelos datos que le conciernen, partiendo del
258
reconocimiento de que tales datos van a serobjeto de tratamiento, corresponsables públicos.
Dicho tratamiento impone a los responsablesuna obligación positiva al objeto de que se llevea cabo, con pleno respeto al sistema de garantíaspropio de este derecho fundamental.
En ocasiones se ha planteado que el derecho ala protección de datos constituye una barrerapara la tutela de otros derechos fundamentaleso intereses públicas tutelables, como la libertadde información, la transparencia y el acceso a lainformación, que obre en poder de entidadespúblicas o el desarrollo de la actividad económica.
Frente a estas afirmaciones debe destacarse queno se producen propiamente conflictos entreunos y otros, sino más bien puntos de contactocuya resolución se encuentra en la búsquedade puntos de equilibrio que hagan compatiblesa unos y a otros.
Sin embargo, no puede olvidarse que sólorespetando el derecho fundamental de todos ala protección de sus datos personales, seconseguirá un marco adecuado de respeto a lalibertad de expresión y al acceso a la informacióny un correcto desarrollo del mercado.
En particular los elementos que permitenalcanzar un punto de equilibrio entre laprotección de los datos personales y el acceso ala información pública, se contemplanespecíficamente en uno de los documentosanexos a esta Declaración.
Segundo. Las nuevas exigencias de lasSegundo. Las nuevas exigencias de lasSegundo. Las nuevas exigencias de lasSegundo. Las nuevas exigencias de lasSegundo. Las nuevas exigencias de lastecnologías de informacióntecnologías de informacióntecnologías de informacióntecnologías de informacióntecnologías de información
La Declaración de Cartagena de Indias, aportóuna primera consideración sobre la incidenciaque supone para la protección de datospersonales, su tratamiento en el sector de lastelecomunicaciones e Internet, con unareferencia específica a los problemas queplantean las comunicaciones electrónicas omensajes de datos, no consentidos ni deseados,popularmente conocidos como Spam.
En dicha Declaración se partía de la premisa deque el desarrollo de las telecomunicaciones yde los servicios de las sociedades de información,suponen necesariamente el tratamiento dedatos de carácter personal y la necesidad deadaptar las garantías propias del derechofundamental que los protege, a lascircunstancias específicas de dichostratamientos
Esta perspectiva ha confluido con la necesidadde construir la sociedad de información y delconocimiento, como un desafío global para elnuevo milenio, en los términos recogidos en laDeclaración de Principios de la Cumbre Mundial,celebrada en Ginebra, en el año de 2003, cuyacontinuación tendrá lugar en Túnez, en 2005.
La conexión entre ambas perspectivas ha sidoobjeto de una declaración expresa en laConferencia Internacional de Comisarios deProtección de Datos y de la Privacidad, que tuvolugar del 13 al 15 de septiembre de 2005, enMontreux, Suiza.
La Declaración de Principios, entre otrosaspectos, reconoció que las tecnologías de lainformación y las comunicaciones deben jugarun papel destacado en el desarrollo de laeducación, la información y el conocimiento yposibilitan el crecimiento económico, comoconsecuencia de las mejoras que puedensuponer para alcanzar una mayor eficiencia yproductividad.
Para conseguirlo, la Declaración enumeradiversas necesidades entre las que se incluyecomo requisito previo, la de fomentar laconfianza y seguridad de los usuarios y la dehacer frente al fenómeno del Spam.
Para ello, la declaración considera insoslayablela existencia de un marco jurídico ytransparente, competitivo, tecnológicamenteneutro, predecible y adaptado a las necesidadesnacionales.
Desde la perspectiva de la protección de dato, laarticulación de este marco jurídico debe asumir,
259
como criterios, la neutralidad tecnológica quepermite a las garantías inherentes aquellaprotección opere con independencia de latecnología utilizada, así como la articulación deestas garantías como derechos subjetivos de losabonados y de los usuarios, de forma que puedanejercitarse frente a cualquier tercero que loslesione.
Asimismo, debe considerarse la posibilidad deque tales garantías puedan amparar a laspersonas jurídicas o morales.
Por su parte la respuesta al fenómeno del Spamdebe incluir un marco jurídico dotado deinstrumentos para sancionarlo; la colaboraciónentre las autoridades competentes paraaplicarlo, los prestadores de servicios y losusuarios la concienciación de éstos últimos y lacooperación internacional.
En el ámbito de los servicios de la sociedad de lainformación es necesario consideraradicionalmente, la necesidad de desarrollarinstrumentos de forma electrónica, así comocontemplar los problemas relacionados con laprotección de los derechos de propiedadintelectual, de forma que resulte compatible conel derecho a la protección de datos personales.
El desarrollo de la sociedad de la informaciónpermite adicionalmente nuevas posibilidadespara que las entidades públicas mejoren losservicios e información ofrecidas a losciudadanos, aumente la eficiencia y la eficaciade la gestión pública e incrementensustantivamente la transparencia del sectorpúblico, así como la participación de losciudadanos. Para ello es preciso estimular laimplantación de proyectos de gobiernoelectrónico que hagan posible la consecuciónde los objetivos citados con el derecho de laspersonas a la protección de sus datos.
El detalle de las implicaciones que plantea eltratamiento de datos personales en el sector delas telecomunicaciones y en la implementacióndel gobierno electrónico se recoge en eldocumento adjunto a la presente Declaración.
TTTTTe re re re re rccccc e re re re re rooooo..... Desarr Desarr Desarr Desarr Desarrollos normaollos normaollos normaollos normaollos normativt ivt ivt ivt ivos yos yos yos yos yglobalizaciónglobalizaciónglobalizaciónglobalizaciónglobalización
En consideración a los debates que tuvieronlugar durante el III Encuentro Iberoamericano,la Declaración de Cartagena de Indias recogiódiversas conclusiones respecto de lasimplicaciones que la protección de datospersonales supone para otros ámbitos de laactividad económica, como son los del sectorfinanciero, el sector comercial y el uso de lainformación con fines de marketing y latrasferencias internacionales de datos comoelemento prescindible para el desarrollo delcomercio en mercados regionales o en elmercado mundial.
Durante el IV Encuentro se han vuelto a analizardichas implicaciones en los ámbitosmencionados, proyectando tales implicacionesal conjunto de de actividad económica. A esterespecto se han puesto de manifiesto lanecesidad de conjugar mecanismos deprotección de datos que neutralicen los desafíosy riesgos que plantea la globalización, sinmenoscabar el desarrollo económico, industrialy tecnológico de las sociedades.
En el marco de este análisis ha sido objeto deconsideración especial la relacionada con loselementos que deben integrar el marconormativo adecuado para garantizar laprotección de datos personales. En este sentidose ha considerado la relación que debe existirentre la posibilidad de que el Estado apruebe unaregulación imperativa de carácter general osectorial y las iniciativas de los propiosoperadores para que la protección de los datospersonales se lleve a cabo a través deinstrumentos de autorregulación.
La opción por esta última alternativa comoinstrumento exclusivo para alcanzar unadecuado equilibrio entre las necesidades de losoperadores económicos para desarrollar suactividad y la protección de datos de las personasdebe ser descartada por cuanto constituye unsistema de protección jurídica inadecuado parala tutela de un derecho fundamental, al quedar
260
éste únicamente supeditado a la decisión de lasentidades afectas, excluyendo la intervenciónde los poderes públicos.
Sin embargo, ello no significa que debadescartarse las iniciativas de autorregulacióncon carácter complementario a un marconormativo previamente definido por el Estado,en efecto, los instrumentos de autorregulaciónpueden ofrecer un valor añadido a la protecciónde datos personales, bien porque la iniciativaempresarial pretenda significarse con unelemento de mayor calidad en el trato de losdatos de sus clientes ante la insuficiencia de lasregulaciones aprobadas por el Estado oañadiendo garantías adicionales a lascontempladas en tales regulaciones.
Bien porque permitan adaptar normativassectoriales a las especificidades que presenta eltratamiento de datos en un determinado sectorde actividad, de forma que se generenestándares que faciliten su cumplimientoadaptados a las necesidades del sector.
Cuarto. Los datos de saludCuarto. Los datos de saludCuarto. Los datos de saludCuarto. Los datos de saludCuarto. Los datos de salud
Como datos especialmente protegidos y suseguridad, los denominados datosespecialmente protegidos deben ser objeto deuna consideración específica por cuanto quedentro del marco regulador de la protección dedatos personales exigen instrumentosadicionales de garantía.Una primera reflexión que suscitan los datosespecialmente protegidos es la que afecta supropia delimitación cerrada o abierta por mediode una numeración meramente ejemplificativa.
Sin embargo, no cabe duda de que en todo casodeben ser incluidos en esta categoría los datosrelativos a la salud de las personas.
El tratamiento de los datos de salud necesita deuna delimitación previa, dirigida a delimitar suconcepto y si ha de ser objeto de unainterpretación expansiva o restrictiva.
Tanto este análisis, como el relacionado a lalegitimación de su tratamiento y el acceso a losdatos de salud, debe partir de una interpretaciónarmónica de la normativa de la protección dedatos y las regulaciones sectoriales en el ámbitode la sanidad.
De este modo será posible alcanzar solucionesde equilibrio respecto a la titularidad de lainformación clínica, a las finalidades quejustifican el acceso y uso de la misma, a lasobligaciones de conservarla y a las medidas deseguridad y al secreto.
Estas soluciones deberán tener en cuenta nosólo el derecho fundamental de la persona a laprotección de los datos personales, sino tambiénla necesidad de permitir la definición de laspolíticas públicas que atendiendo a laconsecución de intereses generales implican elacceso y tratamiento de los datos de salud,incluso relacionada con otros datosespecialmente protegidos, como son los deorigen racial o étnico y de vida sexual.
Quinto.Quinto.Quinto.Quinto.Quinto. La Declaración de la 12 CumbreIberoamericana de Jefes de Estado y de Gobierno,celebrada en Santa Cruz de la Sierra, asumió,entre otros aspectos, que la protección de losdatos personales es un derecho fundamental delas personas; destacó la importancia de lasiniciativas regulatorias Iberoamericanas paraproteger la privacidad de los ciudadanos yreconoció formalmente el papel positivo que laRed Iberoamericana de Protección de Datospersonales debe ocupar en la consecución dedichas finalidades.
La Declaración de Cartagena de Indias, supusouna concreción a los pasos a desarrollarse parala consecución de sus objetivos, defendiendocomo primeras actuaciones la definición de unaestrategia de la red y el análisis sobre laviabilidad de creación de autoridades de controlen el entorno Iberoamericano. Ambas tareas hansido cumplidas recogiéndose sus análisis yconclusiones en los oportunos documentosanexos a esta declaración.
261
Sexto.Sexto.Sexto.Sexto.Sexto. El IV Encuentro Iberoamericano deProtección de Datos personales ha coincidofelizmente con las ultimas fases del procesolegislativo parlamentario de la iniciativa de laLey Federal de Protección de Datos Personales.
México se encuentra inmerso en un procesolegislativo de discusión a efecto de generar unmarco jurídico aplicable a la protección de datospersonales, para ello el proceso correspondientedebe tomar en consideración la experienciainternacional adquirida en la materia y permitirun equilibrio eficaz entre el flujo regulado ynecesario de la información para promover losmercados en constante desarrollo y expansióny la protección de datos de la persona en elámbito de la protección de datos.
Adicionalmente es imperativo que esta leypromueva la cultura de la protección de datosentre los individuos, de forma tal que la mismase convierta en un valor fundamental ennuestra sociedad.
Así, una Ley de Protección de Datos Personalesen México debería considerar los principios deprotección de datos personalesinternacionalmente reconocidos y aplicablestanto a las entidades públicas, como privadas.
Por otro lado, debe adecuarse a las condicionessociales, políticas y económicas del país,estableciendo al mismo tiempo reglas claras ysencillas que permitan no sólo suimplementación y cumplimiento, sino tambiénun equilibrio entre el flujo de datos personales ysu protección.
Por último, la ley debe garantizar el ejercicioefectivo del derecho a la protección de datos delas personas, y promover una cultura deconfianza y respeto a los derechos humanos através de instituciones independientes.
La Red Iberoamericana se congratula de lainiciativa mexicana en el convencimiento deque supondrá un nuevo impulso para garantizarla protección de datos personales en la región.
Séptimo.Séptimo.Séptimo.Séptimo.Séptimo. La Red Iberoamericana de Protecciónde Datos se congratula y felicita cordialmente ala Dirección Nacional de Protección de Datos dela República Argentina, por haber asumido laimportante responsabilidad de organizar laXXVIII Conferencia Internacional deComisionados de Protección de Datos y de laPrivacidad, que tendrá lugar en Buenos Aires ennoviembre del 2006.
La celebración de este evento es, sin duda, unreconocimiento internacional de la intensaactividad desarrollada por dicha DirecciónNacional en la garantía del derechofundamental a la protección de datospersonales y supondrá, sin duda, un nuevoimpulso para su desarrollo en los paísesiberoamericanos.
Cierre de los trabajosCierre de los trabajosCierre de los trabajosCierre de los trabajosCierre de los trabajosdel IV Encuentrodel IV Encuentrodel IV Encuentrodel IV Encuentrodel IV EncuentroIberoamericano deIberoamericano deIberoamericano deIberoamericano deIberoamericano deProtección de DatosProtección de DatosProtección de DatosProtección de DatosProtección de DatosPersonalesPersonalesPersonalesPersonalesPersonales
Juan Rodolfo Sánchez Gómez.Juan Rodolfo Sánchez Gómez.Juan Rodolfo Sánchez Gómez.Juan Rodolfo Sánchez Gómez.Juan Rodolfo Sánchez Gómez.
Se ha dicho que debe conciliarse el derecho a laprotección de datos con otros derechos eintereses entre ellos, sin duda, el derecho acomer, el derecho a descansar, el derecho al ocio,y el derecho para quienes venimos de fuera deMéxico a disfrutar de México, por eso tan sóloles quiero una vez más agradecer también austedes el que aún a estas horas siganacompañándonos, y resaltar que la Red está yatotalmente consolidada, que la Red es unarealidad.
Qué se puede decir, sin duda alguna que lacultura de la protección de datos está siendosometida a un impulso extraordinario en todala comunidad iberoamericana de naciones.
262
Y que debemos tener muy en cuenta, es algoque con cierta frecuencia digo, me gusta muchoparafrasear a Benito Juárez, diciendo que “elrespeto al dato ajeno es la paz”. Eso es lo que sepuede conseguir, sin duda, con una culturaconsolidada de protección de datos personales.
Celebro el trabajo serio y comprometido de laRed Iberoamericana de Datos Personales, de laque México es integrante, en donde se cuentacon valiosa experiencia de diversos países que,sin duda alguna enriquece y orienta losesfuerzos en la región latinoamericana sobre eltema.
Asimismo, felicito a los organizadores de este IVEncuentro, al IFAI al ITAIPEM, y a la LV Legislaturadel Estado de México por los esfuerzos realizadospara el éxito de este evento y por poner en laagenda de discusión del tema, caracterizado porel alto nivel de los ponentes que participaron encada una de las mesas.
Con su amplia experiencia permitieron quetanto la sociedad como las autoridades podamosentender los alcances y las implicaciones entorno a la protección de los datos personales, apartir de diversos puntos de vista y de distintasrealidades nacionales.
Efectivamente, la protección de los datospersonales es un derecho fundamental que debeser garantizado por las legislaciones nacionales,para proteger la dignidad de la persona frente alos desafíos de la globalización, las nuevastecnologías de la información y el desarrollo delas telecomunicaciones.
Por ello, es indispensable tomar las medidasnecesarias en los ámbitos correspondientes, paragarantizar este derecho, observando en todomomento los principios mínimos deconsentimiento, información, calidad, finalidad,seguridad y control en el uso, tratamiento,conservación, y manejo de los datos personales.
En este sentido es necesaria la participación detodos los actores económicos, políticos y socialespara fomentar el debate y adoptar una
legislación acorde a la realidad de cada país ydar mayor seguridad en los procesos deintercambio transnacional de tipo financiero ycomercial, respetando la integridad de la persona.
Sin duda, todo ello contribuye al fortalecimientode la democracia en la región latinoamericanay de nuestro país en donde la protección ygarantía de los derechos fundamentales noestán sólo plasmados en un papel, si no que sonuna realidad.
Esta Memoria del IV Encuentro Iberoamericano de Datos Personales México 2005se terminó de imprimir
en el mes de noviembre de 2006Tiraje: 2,500 ejemplares
Edición a cargo de:Instituto Federal de Acceso a la Información Pública
(IFAI)
