Privacidad y protección de datos en el panorama internacional

Asamblea General de las Naciones Unidas,«Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.»

Art. 12, Declaración Universal de Derechos Humanos (1948)

Cada vez son más los países que toman conciencia de la necesidad de dar protección a los datos personales de sus ciudadanos.  La Unión Europea es líder indiscutible en esta materia, y su Reglamento General de Protección de Datos es un verdadero hito internacional.

No existen discrepancias doctrinales en establecer el origen del concepto jurídico del derecho a la privacidad en el famoso artículo de los jóvenes abogados Samuel Dennis Warren y Louis DembitzBrandeis, publicado en 1890 en la “Harvard LawReview”. No obstante las primeras citas expresas a un derecho a la intimidad o privacidad , fueron obra del juez Thomas MacIntyre Cooley, quien en su obra “TheElementsofTorts” (1873), define la privacidad como el derecho a ser dejado solo o de no ser perturbado o molestado por injerencias externas no deseadas.


Este criterio fue defendido en diversos procesos judiciales, como en el fallo de Brents vs. Morgan, señalándose en él que se trata del derecho a gozar de la soledad: “(…) el derecho que tiene cada persona de no ser objeto de una publicidad ilegal; el derecho de vivir sin interferencias ilegales del público en lo concerniente a asuntos en los cuales ese público no tiene un interés legítimo

Warren y Brandeis en la elaboración de su artículo tienen conocimiento de esta obra, y se identifican plenamente con las conclusiones a la que llega Cooley, si bien desarrollan el concepto de forma más extensa y fundamentación jurídica, dado el interés personal que al respecto tenia Samuel Warrem.

Según relata Prosser la Sra. Warren, hija de un conocido senador de la República de apellido Bayard, y su marido, abogado que hacía algún tiempo que no ejercía por dedicarse a los negocios, acostumbraban a dar en su casa de Boston numerosas fiestas sociales. La prensa local, y de forma específica, el periódico SaturdayEvening Gazette, especializado en asuntos de alta sociedad, venían realizando una divulgación constante de las mismas. En estas crónicas se ofrecían detalles íntimos y desagradables incluso de la propia fiesta celebrada en honor de la boda de su hija; la intención era difundir una imagen de derroche, y en cierta medida de relajación de la moral de una determinada clase social. Finalmente, Warren acude al que había sido compañero de estudios en Harvard, Louis D. Brandeis, el cual sí ejercía la abogacía, y que pasando el tiempo llegará a ser miembro del Tribunal Supremo de Estados Unidos.

Entre ambos publicaron el artículo “Therighttoprivacy”, su objetivo fue poner de manifiesto la necesidad de reconocimiento de un nuevo derecho, el derecho a la privacidad.

Transcurridos tres años desde su publicación, el Tribunal de Nueva York empleo como argumento de su sentencia en el caso “Marks &Joffra” el concepto de privacidad. El este caso, el demandante había visto publicada su retrato en un periódico, en un asunto relativo a un concurso de popularidad al que se oponía. La sentencia estableció el derecho a la propia imagen, a la falta de consentimiento del interesado, y al derecho que tiene todo ciudadano “a ser dejado en paz”.

En Inglaterra, en 1961 Lord Mancroft introduce la discusión sobre la privacidad y los conflictos con los importantes medios de comunicación, impulsando el proyecto privacy en la Cámara de los Lores. Este y otros proyectos que fueron presentados periódicamente en el transcursos de los años, fueron rechazados por el Parlamento inglés. No fue hasta el año 1984 que la conocida Data ProtectionAct, reguladora de la intimidad en la faceta de los datos personales, fue aprobada. Su aprobación parlamentaria fue posible después de intensos debates protagonizados por aquéllos que estaban convencidos de la necesidad de controlar las bases de datos informatizadas en poder del Estado y de los particulares. Muy posiblemente influidos por las normas jurídicas dictadas en el seno de la Comunidad Europea y con el fin de no quedarse aislados en la transmisión de datos personales, p.ej. el “Convenio para la Protección de las Personas con respeto al Tratamiento Automatizado de Datos de Carácter Personal”, de 28 de enero de 1981.

En la Unión Europea se pueden establecer tres grupos de Estados:

  1. Aquellos cuya constitución reconoce expresamente el derecho a la protección de datos personales: Bélgica, Eslovaquia, Eslovenia, Grecia, Hungría, Polonia, Portugal y Suecia.
  2. Los que no reconoce expresamente este derecho, pero sí que cuentan con disposiciones relacionadas con esta materia y su Tribunal Constitucional ha emitido resoluciones estableciéndolo como derecho fundamental: España, Finlandia, Lituanía y Países Bajos.
  3. Aquellos cuya constitución no reconoce expresamente este derecho y ni tan siquiera cuenta con disposiciones asociadas, pero su Tribunal Constitucional ha emitido resoluciones estableciendo la existencia del derecho de protección de datos personales como derecho fundamental, ya sea el derecho a la intimidad, a la vida privada.

En Alemania, en 1983 la protección de datos fue producto de una sentencia dictada por el Tribunal Constitucional Federal Alemán con ocasión de verificar la inconstitucionalidad de la Ley del Censo de Población aprobada en 1982 por el Bundestag; se impugnaban supuestas vulneraciones de los derechos reconocidos en los artículos 1, 2, 5 y 19 de la Ley Fundamental de Bonn. La Constitución alemana y su Tribunal Constitucional interpretan que el hombre es una “personalidad capaz de organizar su vida con responsabilidad propia”, es decir, que el individuo tiene la capacidad para influir en su propio ambiente social y, por tanto, decidir dónde, cuándo, cómo y en qué contexto quiere o no presentarse en ese ambiente social.

La Ley del Ländes de Hesse (1970), se considera la primera de las leyes de protección de datos de Alemania. En 1977 el Parlamento de la República Federal de Alemania dictaminó una ley sobre la protección de los datos contra la utilización ilícita de los datos personales que comprendía cuarenta y siete artículos y un anexo, y luego fue seguida por otras diez leyes análogas de algunos Länder.

Otros países a reseñar:

    • Bélgica es el país cuya constitución reconoce de forma más rotunda el derecho a la privacidad. Su Constitución establece en el artículo 22 el derecho al respeto a la vida privada y familiar (inspirado del art. 8 del Convenio Europeo de los Derechos Humanos y de las Libertades Fundamentales -1950-). En el año 1992 aprobó la Ley de Protección de Datos Personales (modificada en el año 2003). Esta Ley definió la figura de “Oficial encargado de protección de datos”, el cual se encarga de aplicar la ley en datos de categoría sensible, es designado por el responsable del tratamiento.
    • España, la Constitución española (1978), con su artículo 18.4. 
    • Países Bajos, el artículo 10.1 de su Constitución establece el derecho al respeto a la vida privada y familiar.
    • Portugal, los artículos 26.1 y 35 de su Constitución de 1975, reconoce expresamente el derecho de protección de datos personales.
    • Suecia, el derecho a la privacidad queda recogido en el art. 6 de la Constitución de la Confederación Helvética.
    • Finlandia (arts. 11 y 12),
    • Grecia (art. 72), y
    • Dinamarca (art. 72).

Fuera de Europa se realiza reconocimiento explícito del derecho de la intimidad en las constituciones de Argelia (art. 49), en Turquía (art. 20 a 22), también en las constituciones de Japón, Islandia o Filipinas, en todas ellas se hace referencia a la inviolabilidad del domicilio, de las comunicaciones, y de la intimidad. Incluso en la extinta URSS, en su Constitución de 1977, establecía en el artículo 56 el derecho a la intimidad de los ciudadanos.

Singapur. Su Senado aprobó en el mes de abril de 2018 crear una Agencia de Protección de Datos Personales, expresando la necesidad de modernizar la legislación actual sobre la materia. En la actualidad está vigente la ley PDPA, promulgada en 2012 y que contempla los derechos ARCO.

China. En el año 2016 la UE llevó a cabo una misión “ad hoc” a China. La conclusión de la Comisión de Libertades Civiles de la UE, consideró que no existe todavía en la República Popular China una ley que garantice una protección adecuada de los datos personales. China no ha aprobado ninguna disposición legislativa específica que regule la recogida, el almacenamiento, la transmisión y el tratamiento de los datos personales. Tampoco ha celebrado todavía ningún acuerdo con la Unión Europea sobre la transferencia de datos. La Comisión expresó su preocupación por el hecho que China está desarrollando a tal fin una política comercial agresiva, con la creación en Chongqing, de una zona internacional dedicada a la computación en nube con enormes centros de datos; y la apertura a inversores extranjeros de la zona de libre comercio de Shangai, ámbitos en los que desempeñan un papel fundamental sociedades chinas como la filial Alibaba, especializada en la computación en nube. En paralelo, en mayo de 2017, entró en vigor la nueva Ley de Ciberseguridad de China, para muchos es una barrera a la libre competencia.

En Latinoamérica, cabe destacar la Convención Americana de Derechos Humanos “CADH” (1969), ratificada por Ley N° 1/89, que establece en su artículo 11 que“1. Toda persona tiene derecho al respeto de su honra y al reconocimiento de su dignidad. 2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación. 3. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques”.

Los países que han firmado y ratificado la CADH o "Pacto de San José" son: Argentina, Barbados, Bolivia, Brasil, Chile, Colombia, Costa Rica, Dominica, Ecuador, El Salvador, Grenada, Guatemala, Haití, Honduras, Jamaica, México, Nicaragua, Panamá, Paraguay, Perú, República Dominicana, Suriname, Trinidad y Tobago.

Se publica amplia información actualizada sobre legislación en protección de datos en países latinoamericanos en la Web de la Red Iberoamericana de Protección de Datos,

http://www.redipd.es/legislacion/index-ides-idphp.php

En Chile queda recogido el derecho de privacidad en el artículo 19.4. Además, el 3 de abril de 2018, el Senado de Chile aprobó la propuesta del Presidente de crear una Agencia de Control de Protección de Datos. Otro de los proyectos en esta materia que se discute en el Congreso de Chile es una reforma constitucional, propuesta en la Cámara de Diputados, donde se planteanmodificaciones para avanzar en la protección de la vida privada y honra de las personas y su familia.

Venezuela tiene recogido en su Constitución el derecho a la intimidad en sus artículos 28, y 60.

Perú, cuenta con una de las constituciones más recientes de Latinoamérica, recoge el derecho de privacidad en su artículo 2 (10), también contempla el derecho de habeas data. En 2011 aprobó la Ley nº 29733 de protección de datos personales.

Costa Rica que en su artículo 24 establece el derecho a la intimidad, el país suscribió hace tres décadas la Convención Americana de Derechos Humanos y en su territorio tiene la sede la Corte Interamericana de Derechos Humanos.

Brasil, reconoce el derecho a la protección de datos en su Constitución de 1988 (art. 5.X, XI y XII). Dispone de un procedimiento denominado “habeas data” que facilita a los interesados que puedan denunciar violaciones de sus derechos.

Argentina, la Constitución recoge el derecho de acceso y rectificación de datos personales automatizados y regula su uso y divulgación (art. 43 párrafo tercero). El derecho de habeas data esta recogido en la Ley de Protección de Datos Personales (2000).

Paraguay, su Constitución en su artículo 33, que dispone lo siguiente:

“La intimidad personal y familiar, así como el respeto a la vida privada, son inviolables. La conducta de las personas, en tanto no afecte al orden público establecido en la ley o a los derechos de terceros, estará exenta de la autoridad pública. Se garantizan el derecho a la protección de la intimidad, de la dignidad y de la imagen privada de las personas”

También dispone del derecho de Habeas data.

México, no reconoce en su Constitución de forma expresa el derecho a la privacidad, pero dispone de diferentes normas en materia de protección de datos personales. En abril de 2018, la Jefatura de Gobierno de la Ciudad de México publicó la Ley General de protección de Datos Personales en Posesión de Sujetos Obligados , el objetivo es tener mayor control en el tratamiento de los datos personales de toda persona física. Esta legislación se suma a las existentes, como es la Ley de Telecomunicaciones y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que indica que de no hacer caso a los reglamentos es posible que se sancione con prisión en caso de que los datos que se mantengan vulnerables sean de sensibilidad. Además, la ley de la Ciudad de México tiene prevista la instauración de un Comité de Transparencia que se encargará de coordinar, supervisar y realizar las acciones necesarias para garantizar el derecho a la protección de datos personales en la ciudad.

Colombia, es el país que cuya constitución en su artículo 15 recoge de forma más homologable a la europea el derecho a la privacidad “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”

Países con Autoridad de Protección de Datos

La Conferencia Internacional de Comisionados de Protección de Datos y Privacidad exige que para que una Autoridad de un país sea reconocida, debe cumplir entre otros requisitos:

·         Independencia en el ejercicio de sus funciones

·         Supervisión de normas específicas de protección de datos.

Países con nivel adecuado de protección

El nivel adecuado de protección está relacionado con la protección de datos en la Unión Europea. El Grupo de Autoridades del Artículo 29 adoptó un Dictamen en que se desarrollan los criterios de adecuación.

La principal consecuencia de que un país sea declarado adecuado es que se podrán transferir datos desde los Estados miembros de la Unión Europea sin necesidad de ningún tipo de trámite o autorización especial. Son países considerados como adecuados:

Países considerados como adecuados


PIPED Act (Personal Information Protection and Electronic Documents Act)

Ley federal de privacidad para organizaciones del sector privado de Canadá.

En el caso de que la transferencia internacional de datos sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato de prestación de servicios (encargado del tratamiento).
Brexit

En 2019, el Reino Unido abandonará la Unión Europea. Declaraciones públicas efectuadas hasta la fecha sobre protección de datos: «… pondrán en práctica el RGPD y la nueva directiva que se aplica al tratamiento de datos policiales, cumpliendo nuestras obligaciones mientras sigamos siendo un Estado miembro de la UE y ayudando a poner al Reino Unido en la mejor situación para mantener la capacidad de compartir datos con otros Estados miembros de la UE y con otros países tras nuestra salida de la UE.»

(Discurso de la Reina, junio de 2017)

Por lo tanto, es posible, pero no seguro que la Comisión Europea considere al Reino Unido como país que proporciona una protección adecuada.

EE.UU

Entidades Estadounidenses que ofrecen garantías adecuadas para la protección de datos 



Ilustración 4Escudo de Privacidad – "Privacy Shield"

En julio de 2016 la Comisión publicó la Decisión 2016/1250 *8 sobre la adecuación de la protección conferida por un nuevo esquema denominado “Escudo de Privacidad UE-EE.UU.”, el cual sustituye el anterior esquema denominado "Puerto Seguro” «SafeHarbour»*5.

Sobre este acuerdo cabe destacar tres puntos clave:

1. Asumir el principio de protección de datos de la UE.

La adhesión al acuerdo es voluntaria. Exige a las empresas estadounidenses que se adhieran a “obligaciones más estrictas” en materia de protección de datos personales que provengan de la UE.

Estas obligaciones solo afectan a las empresas que se han adherido, y solo gozan de la cobertura del Escudo de Privacidad, las empresas que han obtenido del Departamento de Comercio de los Estados Unidos el correspondiente certificado y están oficialmente inscritas en la lista de entidades “PrivacyShield”.

2. Limitación al gobierno de los Estados Unidos del acceso a los datos.

Los EEUU aceptaron respetar la privacidad y la seguridad de los datos transferidos desde la Unión.

Según la Comisión Europea, el gobierno de los Estados Unidos “ha descartado la vigilancia masiva indiscriminada de datos personales” que llegan de la Unión Europea. Sin embargo, esta garantía no ha convencido a la organización Privacy International del Reino Unido, que afirmó que “no hay protecciones legales significativas… cualquier promesa de hoy puede ser fácilmente socavada mañana”.

3. Protección de los derechos de los europeos.

Todos los ciudadanos de la Unión Europea que crean que sus datos personales pueden haber sido utilizados indebidamente, en teoría, disponen de unos medios legales en EEUU para realizar sus reclamaciones.

El Gobierno de Estados Unidos ya ha firmado el nuevo texto legal del “Escudo de la Privacidad (PrivateShield)”, y ha sido publicado en el Registro Federal (Federal Registre).

Este Acuerdo contempla diferentes opciones para poder transferir datos personales de la Unión Europea a EE. UU.: cláusulas contractuales, normas corporativas vinculantes y el Escudo de Privacidad y lógicamente, que el responsable o encargado del tratamiento este certificado con el Escudo de Privacidad.

En el caso que la transferencia internacional de datos sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato de prestación de servicios (encargado del tratamiento).

El Departamento de Comercio de los Estados Unidos asume la responsabilidad de certificar empresas que pueden ser inscritas en el registro Escudo de Privacidad. Las empresas que incumplan con sus compromisos se enfrentan a sanciones y a perder su certificación.

Las empresas que disponen del Escudo de Privacidad son publicadas por el Departamento de Comercio de EE.UU. en, https://www.privacyshield.gov/list

Para obtener la certificación, las empresas deben tener una Política de Privacidad y afiliarse al Escudo de Privacidad asumiendo las obligaciones derivadas del Acuerdo. Anualmente las empresas deben renovar este compromiso, por lo tanto, las empresas europeas deben comprobar periódicamente que la entidad mantiene su inscripción.     

Los EEUU han establecido un mecanismo de recurso en el ámbito de la inteligencia nacional para los europeos a través de la figura del Defensor del Pueblo dentro del Departamento de Estado.

Guía publicada por la Comisión UE en, http://ec.europa.eu/newsroom/document.cfm?doc_id=47785

Los EE.UU. han establecido un mecanismo de recurso en el ámbito de la inteligencia nacional para los europeos a través de la figura del Defensor del Pueblo dentro del Departamento de Estado.

Principios Escudo de Privacidad

  • Notificación y Opción.

- Adhesión al “Privacy Shield”.

- Tipos de datos que se recogen.

- Cumplir con dichos principios.

- Finalidad para la cual se recogen los datos.

- Procedimiento para trámite de reclamaciones y quejas.

  • Responsabilidad para las transferencias periódicas.
  • Seguridad. Medidas adecuadas de protección de la información.
  • Integridad y limitación de la finalidad de los datos.
  • Acceso a la información registrada y otros derechos anexos.
  • Recurso, aplicación y responsabilidad.

Cabe señalar que este acuerdo no es previsible que sea un punto y final para una materia tan sensible en la UE. Como ya advirtió el «Grupo de Trabajo Artículo 29» (WT29), aunque el nuevo Escudo de Privacidad mejora significativamente el antiguo régimen de Puerto Seguro, continúa siendo un sistema muy complejo que adolece en muchas facetas de falta de claridad. Además, la Decisión 2016/1250 se aprobó con arreglo con la Directiva 95/46/CE, que como sabemos quedó derogada por el RGPD (UE) 679/2016, por lo tanto, existen algunas dudas en cómo impactará plena aplicación del RGPD, y si EE.UU.  asumirá los nuevos requerimientos que esta normativa impone.

En el mes de septiembre de 2017, la Comisión Europea realizó trabajos de análisis y examen sobre el cumplimiento de este acuerdo. En general, los comentarios sobre el funcionamiento de este acuerdo han sido positivos. Por ejemplo, el vicepresidente de la Comisión, responsable del Mercado Único Digital expresó su valoración: «La comisión respalda firmemente el acuerdo sobre el Escudo de Privacidad con los Estados Unidos” … “El primer examen anual demuestra nuestro compromiso de crear un sistema de certificación sólido con un trabajo dinámico de supervisión.»

Por su parte la Comisaria de Justicia, Consumidores e Igualdad de Género declaró: «Nuestro primer examen indica que el Escudo de la Privacidad funciona bien, pero que hay margen de mejora en cuanto a su aplicación.»

En general, el informe indica que el Escudo de Privacidad sigue garantizando un nivel adecuado de protección de los datos personales transferidos desde la UE a las empresas participantes de los Estados Unidos. Publicado en:

http://europa.eu/rapid/press-release_IP-17-3966_es.htm

Es conveniente seguir de cerca cualquier información que se produzca sobre este Acuerdo.

Red Iberoamericana de Protección de Datos

La Red Iberoamericana de Protección de Datos [RIPD] fue establecida en el año 2003 como resultado del acuerdo alcanzado en el Encuentro Iberoamericano de Protección de Datos que tuvo lugar en La Antigua (Guatemala).

La RIPD se constituyó como foro de promoción del derecho a la protección de datos en la comunidad iberoamericana. En el que la AEPD tiene una activa participación.

En el XV Encuentro Iberoamericano de Protección de Datos en Santiago de Chile, en junio de 2017, se ratificó por unanimidad el texto definitivo de los Estándares de Protección de Datos Personales aprobados en mayo de 2017, en el Taller de la RIPD en el Centro de la Cooperación Española en Cartagena de Indias.

Novedades del RIPD, publicadas en,http://www.redipd.org/index-ides-idphp.php(Última modificación: miércoles, 28 de febrero de 2018, 17:06)


Última modificación: viernes, 5 de febrero de 2021, 10:32