INTRODUCCIÓN A LA LEGISLACIÓN DE PROTECCIÓN DE DATOS PERSONALES: PARTE I

Ángel Garay y Eduardo De La Espriella

Antecedentes Internacionales 

Hoy en día existen múltiples países que han creado legislaciones y marcos regulatorios sobre el tema de la protección de datos personales por la creciente preocupación de diversas organizaciones internacionales sobre los límites que se deben tener frente a quienes manejan una dimensión importante de la privacidad de las personas en una esfera tan inherente a nuestros tiempos como lo es la esfera informática. 

Cabe mencionar que, frente a este tema, la legislación que más impacto ha tenido es el Reglamento General de Protección de Datos (GDPR) creado en el 2016, marco legal de la Unión Europea. Este reglamento, gracias a sus modernas disposiciones y estrictas sanciones, ha tenido un gran impacto en el mundo legal y ha influenciado a varios otros países, principalmente en Latinoamérica, permitiendo adaptar y modernizar sus legislaciones sobre el tema. Gracias a esto y a que, Panamá es uno de los últimos países en Latinoamérica en crear una legislación sobre el tema, hemos contado con un gran número de modelos actualizados de diversos países para modelar la actual Ley de Protección de Datos Personales (Ley no. 6 de 22 de enero de 2002 publicada en Gaceta Oficial No. 24,476). Esto se puede ver claramente cuando en la legislación panameña sobre el tema, se mencionan puntos que están actualizados en el presente periodo de tiempo; específicamente la buena definición dada a los datos sensibles con la mención de datos genéticos y biométricos, la mención en la definición de tratamiento de datos del proceso de la automatización de estos y la creación de la figura del custodio de los datos.    

Cabe resaltar que sí existen ciertas diferencias entre la legislación panameña de protección de datos y la GDPR. El ejemplo más claro de esto se encuentra en las sanciones. Las sanciones impuestas por la legislación panameña son mucho menos severas que las impuestas por la GDPR que pueden llegar a ser hasta de 20 millones de dólares. Otra notable diferencia es encontrada en el principio de territorialidad de la ley panameña. Este principio declara que la ley solo aplica dentro del territorio panameño, mientras que la GDPR declara que el caso no tiene que suceder dentro de la UE para que esta ley lo proteja. 

Estándares internacionales 

Como ya se ha establecido, la legislación europea para la protección de datos personales es la GDPR. Esta legislación, además de crear los parámetros para el tratamiento de datos personales en Europa, también contiene ciertos parámetros que establecen estándares que los países fuera de la UE tienen que acatar para manejar o transferir datos personales europeos. Estos parámetros se encuentran expuestos en el artículo 45 del GDPR. Entre los parámetros más importantes se encuentran los siguientes: 

• Procesamiento de datos lícito, justo y transparente
• Consentimiento
• Registro de violación de seguridad de datos personales
• Concientización entre los empleados sobre los requisitos clave del GDPR
• Limitaciones del propósito, cantidad y tiempo en que se usarán los datos

             Hasta el día de hoy, la GDPR solo ha nombrado a 12 países con el nivel adecuado de protección de datos personales. Estos son Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay. El mes de marzo de este año, Corea del Sur concluyó sus discusiones para también ser aceptado y se encuentra en periodo de espera. 

Preferencia a algún caso importante  

Uno de los más destacados y recientes casos en donde se pudo observar con total claridad la importancia de legislaciones en donde se protegen los datos personales, fue el escándalo de Facebook-Cambridge Analytica expuesto en el año 2018. El suceso cobró gran interés y preocupación internacional gracias al gran alcance y vasto número de usuarios de la red social Facebook. Cabe resaltar que la red social de Facebook fue lanzada en 2004 con su sitio web y desde entonces esta ha crecido hasta el punto en que se estimó que en 2020 esta contaba con 2.7 millones de usuarios según las estadísticas proporcionadas por el propio sitio web. 

El escándalo consistió en que una gran porción de datos personales de diversos usuarios fuese utilizada sin el consentimiento de sus propietarios por la compañía Cambridge Analytica. Esta compañía se dedicaba a la minería y análisis de datos con fines de crear estrategias políticas y electorales.             

El escándalo fue traído a la luz en 2018 por un ex-empleado de Cambridge Analytica en una entrevista con el New York Times y The Guardian. Después de que los hechos fuesen descubiertos, el CEO de Facebook Mark Zuckerberg emitió varias cartas en forma de disculpa. La empresa fue multada en los Estados Unidos con 5 billones de dólares estadounidenses, la mayor multa emitida por el “Federal Trade Comission” por violaciones a la privacidad del consumidor, por “engañar a sus usuarios acerca de su habilidad de proteger sus datos personales”; y multada en 2019 por el Reino Unido con 500 mil euros. Según The New York Times, la información de alrededor de 50 millones de usuarios fue comprometida. 

En 2018, Cambridge Analytica declaró la bancarrota. Después del escándalo, Facebook decidió implementar el Reglamento General de Protección de Datos (GDPR) europeo en todas las áreas en donde la compañía operaba y no solo en los Estados Unidos. 

Vista de Derechos Humanos en instrumentos internacionales 

El principio de autodeterminación informativa o sea la exigencia del consentimiento informado del afectado como regla que ha de observarse antes de proceder a cualquier tratamiento de datos, es argumentado por la doctrina española como un verdadero derecho a la intimidad, inalienable y básico.^[1] 

Si revisamos la Declaración Universal de Derechos Humanos, Convención Americana sobre Derechos Humanos o el Pacto Internacional de Derechos Civiles y Políticos no encontraremos taxativamente referencia a la protección de los datos personales o la información que dejamos en aquellos instrumentos de tratamiento y recolección de datos, pero, lo que sí encontramos es clave para su desarrollo y tutela efectiva, y dado que los derechos humanos son progresivos, no excluyentes entre sí, e indivisible no es un problema entenderlo como una extensión a la protección de la vida privada. 

Dicho esto, los instrumentos internacionales antes mencionados son claros en establecer que nadie puede ser objeto de injerencias arbitrarias en la dimensión individual y privada de la persona. 

Declaración Universal de Derechos Humanos: Artículo 12 

Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques. (lo subrayado es nuestro).^[2] 

Pacto Internacional de Derechos Civiles y Políticos: Artículo 17 

1. Nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación. 

2. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques. (lo subrayado es nuestro).^[3] 

Convención Americana sobre Derechos Humanos: 

Artículo 11.  Protección de la Honra y de la Dignidad 

1. Toda persona tiene derecho al respeto de su honra y al reconocimiento de su dignidad. 

2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación. 

3. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques.^[4]  

De esta forma vemos que, así como se de ser objeto de injerencias arbitrarias, es decir, aquellas que no establece la imposibilidad que sean legítimas y motivadas conforme a derecho, ante dichas injerencias arbitrarias se tiene derecho a recurrir a mecanismos legales para evitar la indefensión y procurar una tutela efectiva. 

Uno de los aspectos más importantes es la evolución del alcance de la privacidad, para el tiempo en que se concibe la privacidad la misma se limita al domicilio y correspondencia como unidades estáticas que conformaban la individualidad y el derecho a la soledad inherente a las personas, pero, hoy en día con la evolución de instituciones producto de la era digital y la tecnología, no han llevado a entender la realidad dinámica del nuevo entendimiento de la privacidad que entra a discutirse en una dimensión informática. 

Tratar este tema es fundamental ya que como señala el Consejo de Derechos Humanos a través del informe del Relator Especial sobre la promoción y protección del derecho a la libertad de opinión y expresión, donde ha enfatizado que la vigilancia y/o interceptación ilegal o arbitraria de comunicaciones, así como la recopilación ilegal o arbitraria de datos personales, como actos altamente intrusivos, violan los derechos a la privacidad y la libertad de expresión y ha de contradecir los principios de una sociedad democrática.^[5] 

¿Qué bien se busca proteger? 

Mucho se ha discutido de cual es el bien jurídico que las leyes de protección de datos personales buscan tutelar. 

A grandes rasgos la protección de la información personal contenida en datos va de la mano con la capacidad del titular de decidir por sí mismo sobre el uso, disposición y forma de llevar su información personal, y a su vez de la responsabilidad de quien los recaba y trata de mantener un grado moderado de intromisión y uso especifico -el cual es previamente autorizado por el titular-. De este modo que, información personal contenida en cualquier soporte sobre todo informático o digital, se vuelve objeto de la regulación ya que se ha entendido que dicha información personal que se contiene en estos medios son parte importante de la vida personal y privada del titular porque en diversas ocasiones contiene información sensible que su mal manejo de parte de quienes están obligados a hacerlo puede causar un detrimento directo a la dignidad, honra e intimidad. 

En el informe Younger publicado en 1972, uno de los muchos informes elaborados en el proceso de construcción del sistema de protección de datos en Gran Bretaña, donde se distinguen dos facetas de la intimidad: 

a) la intimidad física, que supone, la libertas frente a toda intromisión sobre uno, mismo, en su casa, su familia o relaciones, y 

b) la intimidad informática, que es el derecho a determinar personalmente como y en que medida se puede comunicar a otra información sobre uno mismo. 

Más tarde, el Tribunal Constitucional Federal alemán perfila con mayor precisión esa última faceta hablando al respecto de derecho a la autodeterminación informativa. Como dice Erhard Denninger, el derecho a la autodeterminación informativa no es un invento del Tribunal Constitucional Federal, ni de hecho ni de nombre. Esta sentencia lo que viene es a completar una línea jurisprudencial especial de los tribunales alemanes con respecto al derecho general a la personalidad. Pero ahora se están derivando las consecuencias para la elaboración electrónica de datos, después de haber sido reconocido y aceptado el derecho a la “autodeterminación en la vida íntima” de la personalidad humana, en la resolución de Microzensus.^[6] 

En el plano local podemos revisar que nuestra Corte Suprema de Justicia en una contestación de hábeas data (Alcides Santizo Días vs El director general de la Caja de Seguro Social), señala que este es un mecanismo procesal destinado a la protección y aseguramiento del derecho a la intimidad y concretamente al derecho a la privacidad que les asiste a las personas, con respecto a los datos o información personal que le concierne. Asimismo, esta institución permite a toda persona que lo solicite, el acceso a fuentes de información de carácter público.^[7] 

En este caso refiriéndose al habeas data de modalidad propia que tutela el derecho a la autodeterminación informativa. (Derecho humano de tercera generación). 

De este modo nuestra Corte Suprema de Justicia ha establecido una relación género y especie siendo el género la intimidad y la especie la privacidad. 

CONSIDERACIÓN FINAL 

El diseño de la legislación de protección de datos personales es el mecanismo que nos garantiza mantener una seguridad en cuanto a la información propia que materializamos fuera del entorno físico y tradicional -en el cual se ha concebido la privacidad-, es necesario que los Estados puedan delimitar a través de mecanismos legislativos, administrativos y judiciales todas las herramientas para extender y llenar aquellos supuestos que pudiesen dejar a los particulares en una situación de indefensión, así como debe haber una política publica clara en cuanto a las instituciones facultadas de velar por el cumplimiento integral de las normas relativas a esta materia. 

Es necesario que como ciudadanos conozcamos que esta es una realidad ineludible y que la vulneración a nuestra dimensión privada es más común de lo que parece, y que aún cuando su afectación sea invisible no la hace menos dañina para nuestra seguridad jurídica y bienestar, por lo que conocer un poco de los derechos, obligaciones y responsabilidades de todos los actores es lo único que garantiza vivir en plena dignidad en una época tan interrelacionada con la tecnología y la información extensiva que en ella se recoge.   

Fuentes

• Davies, Rob. “Facebook to Pay $5bn Fine as Regulator Settles Cambridge Analytica Complaint.” The Guardian, Guardian News and Media, 24 Jul. 2019, www.theguardian.com/technology/2019/jul/24/facebook-to-pay-5bn-fine-as-regulator-files-cambridge-analytica-complaint.
• Cuervo Álvarez, J. “Autodeterminación informativa”. 1 enero de 2014. Recuperado de: http://www.informatica-juridica.com/trabajos/autodeterminacion-informativa/#1.%20LA%20AUTODETERMINACI%C3%93N%20INFORMATIVA
• García González, A. “La protección de datos personales: derecho fundamental del siglo XXI. Un estudio comparado”. 20 de abril de 2007. Recuperado de: http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0041-86332007000300003
• Bhatia, Punit. “GDPR Summary: Overview of 10 Key Requirements.” EUGDPRAcademy, 16 Oct. 2020, advisera.com/eugdpracademy/knowledgebase/a-summary-of-10-key-gdpr-requirements/.
• “Adequacy Decisions.” European Commission - European Commission, 30 Mar. 2021, ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
• Bojalil, Paulina. “Despuntan Las Reformas En Materia De Protección De Datos En América Latina.” Abierto Al Público, 6 Ene. 2020, blogs.iadb.org/conocimiento-abierto/es/proteccion-de-datos-gdpr-america-latina/.  
• Andrés, Moisés Barrio. Formación y Evolución De Los Derechos Digitales. Olejnik, 2021.

 Referencias

[1] Sánchez Bravo, Alvaro A., La protección del derecho a la libertad informática en la Unión Europea, Sevilla, Publicaciones de la Universidad de Sevilla, 1998, pp. 43. Recuperado de: http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S1405-91932007000200001#notas

[2] Declaración Universal de los Derechos Humanos. Asamblea General de las Naciones Unidas. 10 de diciembre de 1948. Recuperado de: https://www.un.org/es/about-us/universal-declaration-of-human-rights

[3] Pacto Internacional de Derechos Civiles y Políticos. Asamblea General de las Naciones Unidas. Ratificado por Panamá mediante la ley 15 d 28 de octubre de 1976, publicada el 4 de febrero de 1977, gaceta oficial 18269.    

[4] Convención Americana sobre Derechos Humanos. Organización de Estados Americanos. Ratificado por Panamá mediante ley 15 de 28 de octubre de 1977. Publicada el 30 del 11 de 1977, gaceta oficial 18468.   

[5] United Nations: General Assembly. Sixty-eight session, third committee. The Right to privacy in the digital age. Recuperado de: http://www.oas.org/es/sla/ddi/docs/UN_A-C_3-68-L-45_Rev1.pdf

[6] DENNINGER, Erhard, “El derecho a la autodeterminación informativa”, Traducido por Antonio E. Pérez Luño, en “Problemas actuales de la documentación y la informática jurídica”, Editorial Tecnos, Madrid, 1987, pp. 268-276.   

[7] Alcides Santizo Días vs director general de la Caja de Seguro Social. 24 de enero de 2014. Entrada 623-12. Pleno de la Corte Suprema de Justicia, magistrado ponente: Oyden Ortega Duran. Recuperado: https://search.popularis.app/case/20140124_623-12?q=proteccion%20de%20datos