Voces en Derechos Humanos
-
Término: PROTECCION DE DATOS
Autor: Mónica Arenas Ramiro
Fecha de publicación: 10/05/2011 - Última actualización: 29/10/2012 11:22:33I. INTRODUCCIÓN: ANTECEDENTES Y RECONOCIMIENTO. En el siglo XX se inició un periodo de descubrimientos y avances tecnológicos que fueron produciendo transformaciones de enorme calado en la sociedad. Si bien es cierto que estos avances tecnológicos contribuyeron y contribuyen a mejorar las condiciones de vida de los individuos, acelerando transformaciones sociales, no menos cierto es que son los cambios sociales y económicos que vienen de la mano de esos avances los que generan el nacimiento o reconocimiento de nuevos derechos para hacer frente a los problemas que van surgiendo (Lucas Murillo de la Cueva: 2003, 36-37; y 2000, 281 y ss.).
Así, por ejemplo, en el campo de la informática se han desarrollado aplicaciones de gran utilidad práctica para los ciudadanos, pero que también han permitido algo que hasta entonces no era posible: almacenar un número prácticamente ilimitado de datos personales, utilizarlos con los más diversos fines, y combinarlos de diferentes formas para deducir los rasgos de la personalidad de su titular. No podemos olvidar, además, que el incremento del uso de INTERNET ha provocado nuevas y mayores amenazas, y que cada vez son más los sujetos que ven, indefensos, cómo sus imágenes (que no son sino datos personales) se encuentran “colgadas” en buscadores de Internet como Google o YouTube, o en redes sociales como Facebook o Tuenti, y escapan a su control.
De este modo, el desarrollo en el campo de la informática ha traído consigo amenazas para la vida privada de los sujetos, para la INTIMIDAD, el libre desarrollo de la personalidad y la dignidad de la persona que hasta entonces no se conocían, y que han propiciado el reconocimiento de un nuevo derecho fundamental, el derecho a la protección de datos personales. El derecho a la protección de datos personales garantiza un poder de disposición del ciudadano de sus datos personales, permitiéndole conocer qué informaciones sobre su persona se han recogido y almacenado y qué uso se les va a dar.
Para comprender mejor el proceso de reconocimiento del derecho a la protección de datos personales, se hace necesario hacer una breve referencia a los orígenes de este derecho, claro ejemplo, por otro lado, de lo que es el “constitucionalismo multinivel” (“multilevel constitutionalism”) (Pernice / Kanitz, 2004). Aunque el citado derecho tiene un claro y evidente origen europeo, como veremos a continuación, hemos querido mostrar en este punto un breve resumen de la situación en América, así como la perspectiva del derecho desde la sociedad global en la que vivimos.
1. Europa. Textos internacionales como la Declaración Universal de Derechos Humanos de 1948 (DUDH), el Pacto Internacional de Derechos Civiles y Políticos de 1966, o el Convenio Europeo de Derechos Humanos de 1950 (CEDH), ya reconocían la necesidad de proteger a los ciudadanos frente a las intromisiones ilegítimas en su vida privada. Incluso desde Naciones Unidas, en diciembre 1968, se dictó una Resolución en torno a los peligros que podían derivarse de los progresos científicos y tecnológicos para la protección de los derechos humanos.
De esta forma, en 1967, en el seno del Consejo de Europa se creó una Comisión Consultiva para que analizara las tecnologías de la información y su impacto en los derechos de las personas. Fruto de este trabajo, se aprobó la Resolución 509 de la Asamblea del Consejo de Europa sobre “Los derechos humanos y nuevos logros científicos y técnicos”. Pero no fue hasta 1981, nuevamente en el ámbito del seno del Consejo de Europa, cuando con el fin de regular el tratamiento informatizado de la información personal se aprobara el Convenio nº 108, para la Protección de las Personas respecto al Tratamiento Automatizado de Datos de Carácter Personal, lo que fue desencadenando en los Estados europeos una preocupación por regular el tratamiento de los datos personales. En este sentido, debemos destacar uno de los hitos en la historia de la protección de datos personales como es el pronunciamiento del Tribunal Constitucional Alemán, de 15 de diciembre de 1983 (“Sentencia del Censo” o “Volkszählungsurteil”), donde se reconoce por primera vez el derecho a la protección de datos personales (“informationelle Selbstbestimmungsrecht” o “derecho a la autodeterminación informativa”).
En este proceso de reconocimiento del derecho a la protección de datos personales especial trascendencia ha tenido la labor del Tribunal Europeo de Derechos Humanos (TEDH), quien delimitando el ámbito protegido por el artículo 8 del Convenio Europeo de Derechos Humanos, reconoció expresamente, y con toda claridad, la existencia de un derecho a la protección de datos personales garantizado por el citado artículo (Arzoz: 2004, 34-35; y Grabenwarter: 2009, 202). Así, fue en el caso Leander, de 26 de marzo de 1987, cuando por primera vez el TEDH consideró que la recogida de datos personales lesionaba la vida privada del individuo.
Posteriormente, en los años noventa, con el fin de evitar que los Estados europeos fueran aprobando Leyes de protección de datos divergentes que perjudicaran el funcionamiento del mercado único europeo, se aprobó la Directiva 95/46/CE, sobre Protección de Datos Personales.
A nivel comunitario esto supuso el punto de partida para el reconocimiento del nuevo derecho. Tomando como base el hecho de que a partir de 1992 (con la firma en Maastricht del Tratado de la Unión Europea) se establecía la obligación para la UNION EUROPEA de respetar, como principios generales del Derecho comunitario, los derechos humanos y las libertades fundamentales, tal y como se garantizan en el CEDH y en las tradiciones constitucionales comunes a los Estados miembros, en 1997 se reformó (por el Tratado de Ámsterdam) el Tratado de la Comunidad Europea, estableciéndose en su artículo 286 (actual artículo 16 del Tratado de Funcionamiento de la Unión Europea), la obligación para las instituciones y organismos comunitarios de respetar el derecho a la protección de datos personales, tal y como se reconocía en la mencionada Directiva. Y así, finalmente, en el año 2000, con la proclamación de la Carta de Derechos Fundamentales de la Unión Europea (CDFUE), que reconoció de forma expresa el derecho fundamental a la protección de datos personales (artículo 8 CDFUE), y con su entrada en vigor el 1 de diciembre de 2009 junto con el Tratado de Lisboa, en el que se encuentra inserta (versiones consolidadas del Tratado de Funcionamiento de la Unión y del Tratado de la Unión Europea), la Unión Europea reconocerá a los derechos, libertades y principios enunciados en la Carta su merecido efecto vinculante y, por tanto, el efecto vinculante del derecho a la protección de datos personales.
La consecuencia directa de este proceso será que, a nivel europeo, los derechos fundamentales en la Unión Europea tendrán un mayor reconocimiento y gozarán de una mayor garantía, como es la ofrecida por el Tribunal de Justicia de las Comunidades Europeas (TJCE). En este sentido, no podemos olvidar la importante labor desarrollada en esta materia por el citado Tribunal y la problemática que existió respecto del reconocimiento de derechos fundamentales a nivel europeo (Chueca: 2002, 40-47; y Balaguer: 2002, 44). Así, el primer caso relativo a la protección de datos personales resuelto por este Tribunal es el conocido caso Stauder (de 12 de noviembre de 1969), aunque no será hasta el 2003 cuando el TJCE se pronuncie sobre este derecho de una forma mucho más contundente al enjuiciar las Directivas comunitarias sobre protección de datos, con las sentencias Österreichischer Rundfunk (de 20 de mayo de 2003) y Lindqvist (de 6 de noviembre de 2003) [Un listado exhaustivo sobre éstos y otros pronunciamiento del TJCE se puede encontrar en http://ec.europa.eu/justice/policies/privacy/law/index_en.htm#caselaw].
Consecuentemente, el reconocimiento del derecho a la protección de datos personales es relativamente reciente en todos los Estados europeos. El reconocimiento de este nuevo derecho se ha producido de forma diferente en unos Estados y en otros. Mientras en unos casos el derecho a la protección de datos personales forma parte del contenido de otro derecho fundamental, como es el caso de Alemania (derivado del libre desarrollo de la personalidad); en otros países se ha reconocido un derecho fundamental autónomo a la protección de datos personales, como es el caso de Portugal (que además lo recoge expresamente en el artículo 35 de su texto constitucional) o el de España (cuyo reconocimiento se produjo tras pronunciamiento del Tribunal Constitucional). El hecho de que unos países hayan optado por una vía u otra ha dependido de las características de su sistema de derechos fundamentales, del carácter abierto o cerrado de su Constitución en lo que al reconocimiento de nuevos derechos se refiere, y, finalmente, como es lógico, de la labor interpretativa desarrollada por los Tribunales correspondientes (Arenas: 2006). No obstante, todos ellos han tomado los referentes europeos ya indicados: el CEDH y la jurisprudencia del TEDH, las normas reguladoras de la protección de datos tanto del Consejo de Europa como de la Unión, la jurisprudencia del TJCE, y, cómo no, la Carta de Derechos Fundamentales de la Unión Europea.
2. América. Y mientras esto pasaba en el continente europeo, en el continente americano sucedía otra cosa. Aunque tanto la Constitución Estadounidense reconocía -de forma directa o indirecta- el derecho a la vida privada, y así lo hacía también la Convención Americana sobre Derechos Humanos (o Pacto de San José), la regulación dista de la protección otorgada en Europa.
Tenemos que partir del hecho de que el reconocimiento y garantía de este derecho no siempre es fácil, pues hay que tratar de buscar un equilibrio entre los derechos de los ciudadanos y la necesidad que tienen los Estados de tener información sobre sus ciudadanos para ofrecerles sus servicios. Y aquí es donde vamos a encontrar la diferencia entre los Estados Europeos y los situados al otro lado del charco, influidos por el sistema americano. Como veremos a continuación, la legislación sobre protección de datos personales se basa en el control y disposición de los datos personales, en la garantía en último término de la privacidad del sujeto y de su dignidad personal. Y es como decimos, en este punto, donde la legislación europea y la americana disienten, pues su concepto de privacidad difiere. Mientras el sistema europeo busca una legislación omnicomprensiva del tratamiento de datos por parte del sector público y el privado, en Estados Unidos sólo seprotege contra la intrusión del Gobierno federal en los asuntos privados de un individuo, y se permite que el sector privado siga un sistema de autorregulación, desarrollando en algún caso normativa sectorial al respecto (Myers: 1997, 111-112; y Stratford: 1998). Por su parte, en los países de América Latina podemos encontrar una mezcla de ambos sistemas.
Aunque, como acabamos de indicar, la Constitución norteamericana no garantiza de modo explícito el derecho individual a la intimidad personal, el tratamiento de la información a través de la informática o de las nuevas tecnologías no se ha descuidado. A pesar de que no se garantice de un modo específico la intimidad personal o privacidad, van a existir una serie de normas que lo van a garantizar. Se puede considerar que, dentro de la Bill of Rights, la Primera Enmienda de la Constitución se aplica como límite a las investigaciones gubernamentales sobre afiliación política o sindical; o que la Cuarta Enmienda se utiliza para mantener limitado el poder del Gobierno de recolectar información sobre lugares en los cuales un ciudadano tiene una razonable expectativa de privacidad.
Así las cosas, como señalábamos, el tratamiento de la información ha sido objeto de un desarrollo legislativo y jurisprudencial posterior (Viguiri: 1999, 1891; y los casos Paul vs. Davis (424 US 693, 713, 1976) y Whalen vs. Roe (429 US 589, 605, 1977), o, por todos, el caso Griswold vs. Conneticut (381 US 479, 484, 1965)).
Por un lado, desde el punto de vista legal, leyes como la Freedom of Information Act (FOIA) de 1966 (modificada en el 2009), o la Privacy Act de 1974, dirigidas no sólo a proteger la información personal de la Administración, sino a asegurar un uso seguro de la misma, van a servir de base a muchas otras leyes (la Fair Credit Reporting Act de 1970, la Electronic Communications Privacy Act de 1986, la Video Privacy Protection Act de 1988, la Computer Matching and Privacy Protection Act de 1988, la Children´s Online Privacy Protection Act de 1998, la Can Spam Act de 2004…), destacando entre todas la Open Government Act de 2007 (Stratford: 1998; Myers: 1997, 112; y Blackman: 1993, 431 y 436. Sobre estas y más leyes puede consultarse en http://business.ftc.gov/legal-resources/8/33).
Y, por otro lado, desde el punto de vista jurisprudencial, debemos señalar que el sistema de protección ha partido en gran medida de la elaboración del derecho a “no ser molestado” (“right let to be alone”), donde el Tribunal Supremo se pronunció desde sus inicios a favor de intereses privados, señalando que la Constitución protege "el interés individual en evitar la divulgación de asuntos personales" y "el interés por la independencia en la toma de ciertos tipos de decisiones importantes", aunque indicando expresamente que este derecho no era absoluto y debía ponderarse con los intereses públicos (Por todos, Warren / Brandeis: 1890 (y 1995)). En todo caso, han sido y son numerosos los casos presentados ante la Federal Trade Commission (FTC) -Agencia Federal Estadounidense cuyo objeto se centra en la protección del consumidor (y, por lo tanto, de su información), además de la regulación de la competencia-, como el interpuesto contra Google en marzo de 2011 (FTC File No. 102 3136) [Casos desde 1996 se pueden encontrar en la página de la FTC http://business.ftc.gov/legal-resources/all/35/].
Por último, señalar que, como método de protección y garantía de este derecho y para cumplir con las pautas que se pudieran exigir para un tratamiento de datos personales y que no se vulnerara el libre flujo de datos personales a nivel comercial, en Estados Unidos se ha seguido el “Acuerdo de puerto seguro”, Acuerdo al que las empresas que quieran transferir datos personales a Estados Unidos deberán adherirse.
Así, se puede concluir que, a diferencia de los Estados Unidos, en Europa se optó por la elaboración de normas de rango legal que regularan con carácter general todos los tratamientos de datos personales que se produjeran, sin que ello fuera obstáculo para que, en concretos y determinados sectores, dichas normas se completasen con una regulación específica. Mientras, en Estados Unidos, la dispersa normativa sectorial y la preponderancia del mercado y la seguridad ciudadana han dejado al derecho a la protección de datos personales algo relegado. Y, por su parte, en los países iberoamericanos, a la hora de regular esta materia se debe decidir el tipo de norma que se debe aprobar y el modo en que ésta regulará los tratamientos de datos personales. Esto es, si se optará por el modelo europeo o por el americano. Y es en este proceso en el que muchos estados de Iberoamérica se encuentran inmersos. En los últimos años, países latinoamericanos como Argentina, Chile, Paraguay, Perú y, recientemente, Uruguay y México han aprobado Leyes de protección de datos personales, y otros Estados como Brasil están trabajando en su desarrollo.
Muchos de los países latinoamericanos citados son miembros de la Red Iberoamericana de Protección de Datos Personales (RIPDP), en el seno de la cual se aprobaron unas Directrices para la armonización de la protección de datos en la comunidad iberoamericana. La RIPDP surgió fruto del Acuerdo alcanzado en el II Encuentro Iberoamericano de Protección de Datos en 2003 -que contó con la asistencia de catorce países iberoamericanos- con la finalidad de fomentar, mantener y fortalecer el intercambio de información y experiencia en materia de protección de datos de carácter personal entre los países iberoamericanos. Esta iniciativa contó con el apoyo de los Jefes de Estado y de Gobierno de los citados países. Apoyo que se manifestó en la Declaración Final de la XIII Cumbre de Jefes de Estado y de Gobierno de los países iberoamericanos celebrada en Santa Cruz de la Sierra, Bolivia, en 2003, y que ha ido generando mayores compromisos a lo largo de los diferentes Encuentros mantenidos, como se refleja en el VIII Encuentro que tuvo lugar en 2010 en México, donde a través de la Declaración de México se dejó constancia de los avances alcanzados en los diferentes marcos normativos en materia de protección de datos en cada uno de los países miembros.
Junto a estos encuentros, y con la intención de aprovechar la experiencia europea en la materia, en mayo de 2009 tuvo lugar el I Encuentro Euro-Iberoamericano en la ciudad de Cartagena de Indias (Colombia), que se centró en abordar diversas perspectivas sobre el tratamiento de datos personales de los menores.
3. Estándares internacionales. El tema es realmente relevante, sobre todo si tenemos en cuenta que vivimos en un mundo globalizado y que la informática y las telecomunicaciones rompen con las tradicionales barreras de espacio y tiempo. Hablar de un sistema u otro como modelos contrapuestos se hace, en la actualidad, algo carente de sentido.
Ya hemos visto cómo normativa internacional como la recogida en la DUDH, en el Pacto Internacional de Derechos Civiles y Políticos, o la contenida en el CEDH, garantizando la vida privada, se quedaba rápidamente obsoleta ante la rapidez de los cambios tecnológicos. Incluso hemos observado cómo normas concretas sobre la materia con un claro carácter internacional y que fijaban unas líneas de actuación, como la Resolución de 1968 de Naciones Unidas en torno a los peligros que podían derivarse de los progresos científicos y tecnológicos para la protección de los derechos humanos, o las Directrices de la OCDE, de 1980, relativas a la Protección de la intimidad y de la circulación transfronteriza de datos personales, perdían todo sentido ante la aparición de fenómenos como el cloud computing o las redes sociales.
El uso de las nuevas tecnologías, los nuevos sistemas de intercambio de información como el ya citado cloud computing (“computación en la nube”), provocan la ruptura de todo tipo de fronteras. Y todo ello influye en el comercio internacional, donde la diferente regulación de las leyes de protección de datos puede llegar a convertirse en un serio obstáculo para el movimiento de bienes, servicios y personas entre unos Estados y otros.
El Departamento de Derecho Internacional del Secretariado para Asuntos Jurídicos de la Organización de los Estados Americanos (Organization of American States, OAS) publicó un Proyecto en noviembre de 2010 sobre Principios y Recomendaciones sobre Protección de Datos. Este Documento, haciendo una referencia muy general a los ordenamientos latinoamericanos, concluyó lo esencial de emprender medidas proactivas tendentes a la protección de datos personales y a fomentar la cooperación entre las autoridades nacionales e internacionales.
Las implicaciones económicas y jurídicas que conlleva un correcto reconocimiento y un eficaz sistema de garantías del derecho a la protección de datos personales en aquellas sociedades consideradas democráticas no es un tema baladí, pues de ello dependerá que los ciudadanos que formamos parte de este mundo globalizado podamos vivir en él de la forma más digna, y donde podamos desarrollar libremente nuestra personalidad. Se hacen necesarios unos estándares internacionales de privacidad.
Y a esta misma conclusión se llegó no sólo en la 31ª Conferencia Internacional de Protección de Datos y Privacidad que tuvo lugar en Madrid en noviembre de 2009, y desde donde se aprobaron un conjunto de criterios y estándares internacionales en la materia (conocidos como “Resolución Madrid”), sino también por parte de los miembros de la Red Iberoamericana de Protección de Datos en su VIII Encuentro de septiembre de 2010, donde en la Declaración de México acordaron (Punto 7): “Impulsar la adopción de estándares regionales e internacionales, a fin de ofrecer un modelo de regulación que garantice un alto nivel de protección y facilite un eficiente intercambio internacional de datos personales. En particular, tales como los adoptados a raíz de la Resolución de Madrid, adoptada con motivo de la celebración de la 31ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad en 2009, ofreciendo un modelo de regulación que garantice un alto nivel de protección y por otro facilitar el fluido intercambio internacional de datos personales a efecto de dotar de mayores garantías a todo tipo de servicios dentro de un mundo globalizado, incluidos los servicios de la nube”.
II. FUNDAMENTO, TITULARES, CONTENIDO Y GARANTÍAS. Llegados a este punto, debemos señalar aquí que, más allá de las diferencias relativas a la forma de reconocimiento y de los diferentes factores políticos, sociales y psicológicos que intervienen en cada uno de los Estados -que provocan alguna que otra falta de semejanza-, no existen diferencias realmente relevantes entre unos Estados miembros y otros, ya que, como ya hemos indicado, todos ellos han tomado como referente el CEDH y la jurisprudencia del TEDH, las normas reguladoras de la protección de datos tanto del Consejo de Europa como de la Unión, la jurisprudencia del TJCE, y también la Carta de Derechos Fundamentales de la Unión Europea. Por este motivo, en lo que se refiere a la fundamentación de este derecho, titulares y obligados por el mismo, y la determinación de su contenido y límites, no existen diferencias realmente relevantes entre unos Estados miembros y otros.
Actualmente todos los Estados miembros de la Unión Europea han aprobado, o están aprobando, normas sobre protección de datos personales que son transposición de, o adaptación a, la Directiva 95/46/CE sobre Protección de Datos Personales, y cumplimiento del Convenio 108 sobre Protección de Datos del Consejo de Europa. Las referencias de todas estas Leyes pueden encontrarse en la página oficial de la Unión Europea en http://ec.europa.eu/justice/policies/privacy/law/implementation_en.htm.
Y por lo que se refiere a la normativa estadounidense e iberoamericana existente, debemos indicar que, si bien es dispersa en el primer caso, y puede que no del todo homogénea en el segundo, los principios y requisitos de fondo son los mismos que en los países europeos.
1. Fundamento. En lo que al fundamento del derecho a la protección de datos personales se refiere, se considera que este derecho tiene por objeto garantizar al individuo el derecho a organizar y determinar por sí mismo aspectos esenciales de su vida, como a quién y en qué momento quiere comunicar cuestiones personales, pensamientos, sentimientos o emociones, o incluso su identidad, esto es, controlar y disponer de su privacidad. El fundamento último de este derecho es la DIGNIDAD de la persona, en lo que coincide con el derecho a la intimidad y con la mayoría de los derechos fundamentales, el libre desarrollo de la personalidad, sin la que se priva a la persona del disfrute de los demás derechos fundamentales.
2. Titulares. En lo que respecta a los titulares del derecho a la protección de datos personales, en todos los ordenamientos jurídicos se considera que son titulares del mismo todas las personas físicas; siendo la titularidad del derecho por parte de las personas jurídicas lo que plantea mayores diferencias.
Y lo mismo sucede respecto de los obligados por el derecho, pues no todos los ordenamientos jurídicos regulan la tenencia de datos por el sector privado. No obstante, en Europa es doctrina compartida por dichos ordenamientos que los obligados por el derecho a la protección de datos personales ya no son sólo los poderes públicos sino también los particulares y, en especial, las empresas que se encargan de gestionar bancos de datos personales. En relación con los obligados por el derecho, se hace extensiva la idea de incluir no sólo a los poderes públicos, sino también a los sujetos privados. Los ciudadanos europeos consideran más peligrosos los tratamientos de datos efectuados por las empresas privadas que por el Estado.
3. Contenido. En relación con el contenido y límites del derecho a la protección de datos personales, a pesar de que existen diferencias concretas entre todos los ordenamientos jurídicos, en los Estados miembros de la Unión Europea existe un marcado carácter uniforme fruto de la transposición de Directiva 95/46/CE sobre Protección de Datos Personales. Y aunque en Estados Unidos primará ese carácter sectorial, y en los países iberoamericanos exista un sistema mixto, veremos cómo al final, las facultades que se pretenden otorgar a los titulares del derecho a la protección de datos y que conforman el contenido del citado derecho serán básicamente las mismas, esto es, los conocidos derechos ARCO (derechos de acceso, rectificación, cancelación y oposición).
El papel del legislador es esencial en este derecho de configuración legal. Así, en todas las normas europeas de protección de datos se recogen los principios necesarios e internacionalmente reconocidos para un tratamiento de datos personales (el principio de licitud, el principio del consentimiento, el principio de finalidad, el principio de proporcionalidad, el principio de calidad, el principio de información y el principio de responsabilidad); y, de la misma forma, se reconoce a los titulares de los datos personales el conjunto de facultades integradas por los citados derechos ARCO.
4. Garantías. Por lo que respecta al mecanismo de protección del derecho a la protección de datos personales, en todos los Estados miembros de la Unión Europea se ha establecido un sistema de GARANTIAS de los derechos fundamentales, garantías que incluyen mecanismos tanto preventivos como reparadores. El derecho a la protección de datos personales, en tanto que derecho fundamental, ya sea autónomo, ya sea como parte integrante del ámbito protegido por otro derecho fundamental, disfruta de la protección que en cada ordenamiento jurídico nacional se establezca para los DERECHOS FUNDAMENTALES (tales como la vía judicial ordinaria, los Tribunales Constitucionales, el Defensor del Pueblo y los recursos ante el Tribunal Europeo de Derechos Humanos y el Tribunal de Justicia de la Unión Europea).
Pero junto a estos mecanismos generales, el derecho a la protección de datos personales goza de una protección adicional, prevista también a nivel europeo. En Europa se ha considerado que la garantía del derecho a la protección de datos personales exigía mecanismos específicos adicionales a los mecanismos establecidos con carácter general para proteger los derechos fundamentales, y así se han creado las Autoridades nacionales de protección de datos, encargadas de controlar el cumplimiento de la normativa sobre protección de datos personales. [Las direcciones de todas estas Autoridades, así como sus páginas web, se pueden encontrar en http://ec.europa.eu/justice/policies/privacy/nationalcomm/index_en.htm; Vid. también Korff: 2004, 200-209; y Téllez: 2002, 77-163]. Asimismo, como Autoridad a nivel europeo se creó el Supervisor Europeo de Protección de Datos por el Reglamento 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000.
Y aunque las clasificaciones realizadas de dichas Autoridades son muy variadas, con carácter general se puede decir que en Europa se ha optado, claramente, por la creación de un órgano especializado e independiente para la garantía del derecho a la protección de los datos personales. Sin embargo, en el ordenamiento norteamericano se ha optado por encomendar la tutela de este derecho a los Tribunales ordinarios o a la citada Federal Trade Commission (FTC); y en los países iberoamericanos encontraremos también sus diferencias. En unos casos se creará una Autoridad independiente, y en otros casos se dejará la competencia sobre la materia a las Defensorías del Pueblo o a algún organismo dependiente del Gobierno.
III. EL DERECHO A LA PROTECCIÓN DE DATOS EN LATINOAMÉRICA. En Iberoamérica, a diferencia de Europa, la regulación del derecho a la protección de datos personales, así como de las facultades que lo componen, se encuentra dispersa entre textos constitucionales y normativa sectorial, lo que hace más complicado su reconocimiento en cada uno de sus países y, lo que es más importante, lo que dificulta en último término que se le reconozca como un derecho fundamental, con las garantías jurídicas que ello conlleva.
Debemos señalar aquí, además, que el derecho a la protección de datos personales en países latinoamericanos recibe, por regla general, la denominación de “habeas data”. Si bien es cierto que este derecho fundamental ha recibido y recibe diferentes denominaciones (libertad informática, intimidad informática, autodeterminación informativa…), en el caso de Iberoamérica, la justificación del empleo de esta denominación y no de otra puede encontrar su acomodo en la misma explicación que ofreció el Tribunal Constitucional español en su Sentencia 254/1993, donde, reconociendo por primera vez el derecho a la protección de datos, señaló que el derecho reflejaba un aspecto positivo “en forma de control sobre los datos relativos a la persona”, reflejaba la atribución al titular de los datos de un “haz de facultades consistentes en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos”, lo que se conoce como “habeas data”, y que consisten en un conjunto de instrumentos que garantizan a las personas la posibilidad de ejercer un control efectivo sobre el uso y destino de sus datos, permitiéndole saber quién, dónde, cuándo y para qué ha obtenido y registrado informaciones sobre su persona (En este sentido, vid. también STC 292/2000, FJ 6º). Habeas data significa literalmente “tener los datos”, esto es, “controlar los datos”, y de ahí la adopción latinoamericana del término. Aunque debemos señalar aquí que en Iberoamérica con esta denominación se hace referencia también a una acción procesal presentada ante los Tribunales y que permite a un sujeto detener la lesión producida y protegerle frente a los abusos que se cometan con su información personal en su país (Guadamuz: 2001).
1. Reconocimiento del derecho. Entre los distintos Estados Iberoamericanos, al igual que sucedió y sucede con los Estados Europeos, el reconocimiento del derecho a la protección de datos personales o habeas data no se produce de la misma forma.
Así, veremos cómo hay países que han procedido a modificar su texto constitucional para incluir este nuevo derecho fundamental. Este es el caso de Argentina, que reformó su Constitución en 1994 con el fin de introducir en su texto constitucional (en su artículo 43) el derecho a “exigir la supresión, rectificación, confidencialidad o actualización” de los datos personales; el caso de Honduras, que por Decreto Legislativo nº 381-2005 modificó el texto constitucional para incluir la garantía del “habeas data”; o el caso de México, que en el 2009 procedió a reformar su texto constitucional para incluir de forma expresa (en el artículo 16) el derecho a la protección de datos personales. Tendremos pues, un conjunto de países que incluyen en sus textos constitucionales una referencia expresa al habeas data, como es el caso de la Constitución de Panamá (artículos 42 a 44); Constitución de Paraguay (artículo 135); la Constitución de Perú (artículo 200) [Cano: 2010]; la Constitución de Ecuador (artículo 92); la Constitución de Brasil (artículo 5.LXXII y 5.LXXVII); o incluso, que hacen referencia a una “acción de protección de datos” (que seguirá el mismo procedimiento que una acción de amparo constitucional), como es el caso de la Constitución de Bolivia (artículos 130 y 131), aprobada por referéndum nacional en 2009.
Por otro lado, encontraremos países iberoamericanos que, a pesar de no reconocer expresamente el citado derecho o la acción de habeas data, sí que reconocen alguna de sus facultades, como pueden ser el acceder a la información, el rectificarla o simplemente el conocer la finalidad de su tratamiento, como es el caso de la Constitución de Colombia (artículo 15); el de la Constitución de Guatemala (artículo 31); el de la Constitución de Venezuela (artículo 60 que, a semejanza del artículo 18.4 de la Constitución española, indica que la “ley limitará el uso de la informática…”); y el de la Constitución de Nicaragua, que reconoce el derecho (artículo 26) a toda persona “a saber por qué y con qué finalidad tiene esa información”.
Finalmente, también encontraremos casos en los que el texto constitucional no hace referencia alguna a la protección de datos, al habeas data o alguna de sus facultades. Así, por ejemplo, la Constitución de la República de Costa Rica se refiere a la inviolabilidad del domicilio o a la intimidad (artículos 23 y 24); la Constitución de El Salvador (artículo 2) se refiere al derecho a la intimidad; la Constitución de Chile (artículo 19) se refiere a la vida privada; o la Constitución de Puerto Rico, que se también refiere a la vida privada (sección 8). Por regla general, en estos países tampoco se ha elaborado una norma de desarrollo que regule expresamente la materia, aunque se puede dar el caso, como sucede en El Salvador, que se está elaborando un proyecto de ley sobre tratamiento y protección de la información y de los datos de las personas físicas y jurídicas. Entre este grupo de textos constitucionales destaca curiosamente el caso de Uruguay (país no miembro de la FIO), que pese a no contener en su texto constitucional referencia alguna a la vida privada, intimidad, datos personales o habeas data, sin embargo, ha elaborado toda una normativa de protección de datos (Ley de Protección de Datos y desarrollo reglamentario) que cumple, según organismos europeos, con los “niveles adecuados de protección de datos” exigidos por la Directiva comunitaria.
2. Desarrollo legislativo del derecho. Por otro lado, debemos decir que junto a este reconocimiento constitucional, directo o indirecto, del derecho a la protección de datos, o del derecho a la privacidad o intimidad, en la mayoría de estados iberoamericanos sí que se ha producido un desarrollo legislativo relativo al tratamiento de la información personal. Pero aquí, la regulación también es muy variada.
En este sentido, vamos a encontrar, por un lado, países que han elaborado una Ley de Protección de Datos como Argentina, con su Ley 25.326, sancionada el 4 de octubre del 2000, de Protección de Datos (modificada en 2010); Colombia, con su Ley 1.266 de 2008 (aunque la misma se centra, casi de forma exclusiva, en informaciones de tipo financiero y crediticia); Uruguay, con su Ley 18.331, de 2008 sobre Protección de Datos, desarrollada por Reglamento 414/2009; Chile, con su Ley 19.628, de Protección de datos de 1996 (reformada en 2002 y pendiente de volver a ser reformada); y la Ley, de 27 de abril de 2010, de México, de Protección de Datos personales en posesión de particulares. O países que están en proceso de aprobación de una normativa general sobre la materia, como es el caso de Bolivia, donde entre los futuros proyectos de la Agencia para el Desarrollo de la Sociedad de la Información en Bolivia (ADSIB) etá el Anteproyecto de Ley de Protección de Datos, que tiene por objetivo garantizar y proteger los datos personales de personas físicas que obren en bases de datos públicas o privadas, complementando así su recurso de habeas data. Y también encontramos el caso de Brasil, El Salvador, Perú y Venezuela.
Y, por otro lado, vamos a comprobar que, en todos los países iberoamericanos, es mucho más frecuente la existencia de normas sectoriales -esto es, de normas que regulan el tratamiento de datos personales en un determinado sector, o que al hilo de regular una determinada materia introducen algún precepto relativo al tratamiento de datos personales-, que la existencia de una legislación concreta sobre protección de datos. Así, encontramos que en la mayoría de estos países se han modificado los Códigos penales para incluir los nuevos delitos informáticos (como el Código Penal de Bolivia (que, tras la reforma operada por la Ley 1.768 de 1997, hace referencia a los delitos informáticos en los artículos 363 bis y 363 ter); o el Código Penal de Colombia, modificado por la Ley 1.273/2009 para introducir como bien jurídico protegido “la información y los datos”). O bien, encontramos que se han elaborado normas relativas al acceso a la información pública. Tenemos que decir aquí que, a diferencia con Europa -donde este tema se discute intensamente-, en la mayoría de los países latinoamericanos se han aprobado leyes al respecto o están en fase de aprobación. Así, por ejemplo, encontramos el Decreto 1.172/2003 de Acceso a la Información Pública, de Argentina; la Ley 9.507, de 12 de noviembre 1997, de Brasil, que regula expresamente el acceso a la información y el procedimiento de habeas data; la Ley de Guatemala de Acceso a la Información Pública, aprobada por Decreto 57-2008; la Ley de Honduras de Transparencia y Acceso a la Información Pública, aprobada por Decreto nº 170-2006, donde se recogen conceptos relacionados con la protección de datos personales, como la definición de datos personales confidenciales (coincidentes con los conocidos como datos sensibles); o el Decreto Supremo nº 28.168, de 17 de mayo de 2005, de Bolivia, que regula el Acceso a la información del Poder Ejecutivo, recogiéndose en su articulado (artículo 19) la petición de habeas data; al igual que la Ley nº 6, de 22 de enero de 2002, de Transparencia y Acceso a la Información Pública de Panamá, que también recoge la acción de habeas data en su texto (artículos 3, 13 y 17).
Además, debemos destacar que la mayoría de países latinoamericanos, aunque alguno de ellos no tenga una norma de protección de datos o de habeas data, están regulando cuestiones relativas al uso de las nuevas tecnologías, como se puede ver por la Ley de Comercio electrónico de Ecuador; la Ley de Vigilancia electrónica personal de Perú; por los proyectos de Ley de Firma electrónica de El Salvador o de Guatemala; por el proyecto de Ley de acceso a Internet presentado por Costa Rica; el Cyber Code 2010 propuesto por Puerto Rico [Cobo: 2008]; o, mucho más innovador, la reforma propuesta en Costa Rica para incluir en el texto constitucional la “personalidad virtual”.
Junto a este proceso legislativo, se ha producido una enorme actividad jurisprudencial que no tenemos que olvidar.
3. Mecanismos de garantía del derecho. Como cierre de todo el proceso de garantía del derecho a la protección de datos, debemos señalar que, a diferencia de los países europeos, en los países latinoamericanos no es frecuente la existencia de un organismo autónomo e independiente encargado de velar por la garantía del citado derecho. En algunos países sí que se ha creado tal organismo, como es el caso de Argentina, que por Reglamento 1558/2001 creó la Dirección Nacional de Protección de Datos Personales (DNPDP), que desde sus inicios ha dictado numerosas Recomendaciones y Dictámenes, como los Dictámenes del 2010 sobre videovigilancia, trámites de apostasías y correo electrónico; el caso de Uruguay, que tiene la Unidad Reguladora y de Control de Datos Personales (URCDP), creada por la Ley N° 18.331 de Protección de Datos Personales y Acción de Habeas Data (artículo 31); o el caso de México, que por su Ley de Protección de Datos en posesión de particulares, de 2010, aprobó la creación del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) (artículos 38 y 39).
Pero en la mayoría de los estados iberoamericanos son otros organismos los que se encargan de la acción de habeas data. Y aunque suelen ser los jueces ordinarios o en su caso la jurisdicción encargada del recurso de amparo los que resuelven este tipo de controversias, como se puede comprobar en el texto constitucional ecuatoriano (artículo 92, que se refiere a “jueces y juezas”), en otras ocasiones, incluso por mandato constitucional, como es el caso de Venezuela, el texto constitucional (artículo 281) encomienda esta función a la Defensoría del Pueblo. Función que las Defensorías asumen en algún que otro país, como es el caso de Honduras, donde el Comisionado de los Derechos Humanos comparte esta función con el Ministerio Fiscal (por delegación del Decreto nº 170-2006).
Por último, señalaremos que en otros países, como es el caso de Colombia, aun existiendo un procedimiento de habeas data, no se procedió a crear un organismo autónomo encargado de filtrar las quejas sobre esta materia, y será la Superintendencia Financiera la que se ocupe de responder a las quejas planteadas por habeas data frente a las instituciones que ella regule; y la Superintendencia de Industria y Comercio en todos los demás casos.
4. Transparencia de datos personales. Por último tenemos que hacer referencia a una cuestión que es uno de los aspectos que más han preocupado, no sólo a los ordenamientos iberoamericanos, sino también a los estadounidenses y europeos: el de la transferencia de datos personales. En este sentido, en Iberoamérica no se han limitado a seguir sólo las Directrices relativas a la Protección de la intimidad y de la circulación transfronteriza de datos personales, fijadas en 1980 por la Organización para la Cooperación y el Desarrollo Económico (OCDE), sino que desde el Foro de Cooperación Asia Pacífico (APEC) se ha trabajado en el derecho a la privacidad y se han desarrollado, igualmente, las directrices generales con el fin de que los tratamientos de datos personales cumplan con las normativas nacionales existentes y, a la vez, no se obstaculice el libre flujo de datos personales en un entorno seguro. Incluso alguno de los países latinoamericanos ha solicitado el reconocimiento de “nivel de protección de datos adecuado”, en relación con los estándares europeos, para así poder realizar todo tipo de transacciones económicas sin que el flujo de información personal suponga un obstáculo. Este ha sido el caso, por ejemplo, de Argentina. Por Decisión 2003/490/CE, de la Comisión, de 30 de junio de 2003, se declaró que Argentina cumplía con los requisitos exigidos por la Directiva 95/46/CE de Protección de Datos respecto del nivel adecuado de protección de datos personales, lo que en definitiva suponía que a Argentina no se le aplicarán las restricciones para la transferencia de datos personales, permitiendo el libre flujo de los datos personales desde la Unión Europea. Entre los países miembros de la Federación Iberoamericana de Ombudsman (FIO), aunque fuera del entorno iberoamericano, que también solicitó este reconocimiento se encuentra Andorra. Este país, tras una tramitación de unos dos años, recibió mediante Decisión de la Comisión, 19 de octubre de 2010, la declaración relativa a la adecuada protección de datos personales del Principado de Andorra. Y un día más tarde, uno de los últimos países latinoamericanos (no miembro, en este caso, de la FIO) que recibi&oa
BIBLIOGRAFÍA. Mónica Arenas Ramiro: El derecho fundamental a la protección de datos personales en Europa, Valencia, Tirant lo Blanch, 2006; Xavier Arzoz Santisteban: “Artículo 8. Derecho al respeto de la vida privada y familiar”, en Iñaki Lasagabaster Herrarte (dir.), Convenio Europeo de Derechos Humanos. Comentario sistemático, Madrid, Civitas, 2004; Francisco Balaguer Callejón, “Derecho y derechos en la Unión Europea”, en Javier Corcuera Atienza (coord.), La protección de los derechos fundamentales en la Unión Europea, Madrid, Dykinson, 2002; Joshua D. Blackman, “A proposal for federal legislation protecting information across the private sector”, en Santa Clara Computer & High Technology Law Journal, 9, 1993; Paola Rosario Cano Revilla, (Coord.), “La protección de datos en Iberoamérica”, en Anuario de la Facultad de Derecho de la Universidad de Alcalá, II (2009), 2010; Ángel G. Chueca Sancho, “La evolución de los derechos fundamentales en los Tratados comunitarios”, en Francisco Javier Matia Portilla (dir.), La protección de los derechos fundamentales en la Unión Europea, Madrid, Civitas, 2002; Humberto Cobo Estrella: Cyberlex: la protección de los datos personales y legislación informática en Puerto Rico. 1. ed. San Juan, PR: Ediciones Situm, 2008; Christoph Grabenwarter: Europäische Menschenrechtskonvention, 4ª ed., München, C.H. Beck, 2009; Andreas Guadamuz: Habeas Data: An update on the Latin American data protection constitutional right, 16th BILETA Annual Conference, April 9th - 10th, 2001; D. Korff: Ec study on implementation of data protection Directive (Study Contract ETD/2001/B5-3001/A/49), Human Rights Centre, University of Essex. Colchester (UK) Cambridge University, september 2002; Pablo Lucas Murillo de la Cueva: “Avances tecnológicos y derechos fundamentales. Los riesgos del progreso”, Derechos Humanos y nuevas tecnologías, País Vasco, Ararteko, 2003; J.M. Myers: “Creating data protection legislation in the United States: an examination of current legislation in the European Union, Spain and the United States”, en Case Western Reserve Journal of International Law, Vol. 29, 1997; Humberto Nogueira Alcalá, “Reflexiones sobre la constitucionalización del habeas data y el proyecto de ley en tramitación parlamentaria sobre esta materia”, enRevista Ius e Praxis, año 3, nº 1, Universidad de Talca, 1997; Pablo Palazzi (Coord.): “Actualidad de protección de datos personales en América Latina”, en Revista Española de Protección de Datos, nº 7, julio 2009-junio 2010, APDCM / Civitas, Madrid, 2010; Ingolf Pernice / Ralf Kanitz: “Fundamental Rights and Multilevel Constitutionalism in Europe”, Walter Hallstein-Institut – Paper 7/04, 2004; Jean Sleemons Stratford / Juri Stratford: Data Protection and Privacy in the United States and Europe, IASSIST QUARTERLY, Fall 1998; A. Téllez Aguilera: La protección de datos en la Unión Europea. Divergencias normativas y anhelos unificadores, 2002; y Warren / Brandeis: “The Right to Privacy”, Harvard Law Review, nº 5, 1980. Sobre este artículo existe una traducción al español a cargo de B. Pendás y P. Baselga, El derecho a la intimidad, Civitas, Madrid, 1995.