Declaración de San José

Hacia la implantación de un Sello sobre el tratamiento de datos personales en Iberoamérica

Introducción.

Si bien existe un consenso unánime en la validez y vigencia de los principios de Protección de Datos Personales, también hay coincidencia generalizada en la necesidad de revisar su contenido para hacerlo más acorde con las exigencias que la globalización y el desarrollo de las tecnologías de la información y la comunicación plantean.

La dimensión transnacional es en la actualidad uno de los principales retos de la protección de datos.

Es conveniente tener en cuenta que la evolución de las tecnologías de la información define un nuevo escenario con características específicas:

  1. Se trata de un escenario global, trasnacional, que supera la esfera local.
  2. Las redes sociales, los dispositivos móviles inteligentes, y en el futuro inmediato desarrollos como el “big data” o el “Internet de las cosas”, plantean nuevos problemas para la protección de la privacidad: análisis del comportamiento de los internautas, marketing viral o de geolocalización por solo citar algunos ejemplos.
  3. El individuo se convierte en un agente activo “colgando” datos e informaciones de terceros.
  4. La capacidad de control de internautas, generalmente desinformados o poco informados es nula y además tampoco se encuentran convenientemente concienciados.
  5. Determinados colectivos, singularmente los menores, se encuentran en riesgo.
  6. Necesidad de continuar afianzando el derecho a la portabilidad de los datos.

Por ello la protección de datos personales debe superar cada día más la barrera nacional.

Durante una primera etapa, que podríamos situar en la década iniciada en el año 2000, la comunidad internacional de protección de datos orientó sus esfuerzos a promover la elaboración de textos que pudieran constituir una especie de “carta internacional de la protección de datos”, con principios, derechos y garantías básicos que pudieran ser asumidos por todas las regiones y entornos culturales y jurídicos. El resultado más acabado de estos esfuerzos fue la Resolución sobre “Estándares de Privacidad en relación con el tratamiento de Datos de Carácter Personal» aprobadas en Madrid por la 31 Conferencia Internacional de Autoridades de Protección de datos y Privacidad.

Teniendo plena conciencia se trabaja instituir mecanismos de certificación en materia de protección de datos y de sellos y marcados de protección de datos que permitan a los interesados evaluar rápidamente el nivel de protección de datos que ofrecen los responsables y los encargados del tratamiento.

El “Sello Europeo de Protección de Datos” tiene un objetivo principal: “crear confianza entre los interesados”, y facilitar las transferencias internacionales de datos, por tanto podemos considerarlo un argumento de valor competitivo, en el contexto del mercado único digital europeo, que no solo interesa a las empresas Europeas, también a las de fuera de Europa, en tanto dirijan su oferta de servicios y productos a los europeos. En este sentido cobra interés para Iberoamérica.

El Reglamento General de Protección de Datos de la Unión Europea dispone que las certificaciones y códigos de conducta se encuentran entre los mecanismos que consideran una transferencia internacional de datos con garantías adecuadas.

Como toda solución también trae aparejado nuevos retos tales como:

  1. Incentivar que las autoridades de Protección de Datos cooperen para garantizar mecanismos de certificación armonizados.
  2. Propiciar que las tasas también sean armonizadas.
  3. Precisar el objeto de la certificación.
  4. Garantizar la transparencia del proceso de certificación y basado en proceso de auditoría.
  5. Registro de certificados.

Alcanzar un sello de Protección de Datos supone además asumir un reto desde la ingeniería de Software toda vez que hay cuestiones que deben ser asumidas por diseño de las aplicaciones y servicios que se instrumenten tales como los que realizan los servidores y buscadores. Otro tanto puede lograrse desde el diseño de las Bases de Datos. También es importante incluir estos requerimientos desde la evaluación de calidad y certificación de soluciones digitales.

¿Qué es un sello de protección de datos?

El Reglamento General de Protección de Datos introduce como elemento que considera a una transferencia internacional de datos con garantías suficientes la adhesión a Códigos de Conducta y Certificaciones.

En lo que respecta a la regulación de las certificaciones, los Estados Miembros, las autoridades de control, el Consejo Europeo de Protección de Datos y la Comisión  deberán promover modelos de certificación, sellos o marcas que sirvan para demostrar cumplimiento con el RGPD. Las específicas necesidades de las microempresas y las PYMES deberán ser tenidas en cuenta. Será de carácter voluntario y no reducirá la responsabilidad del cumplimiento con el RGPD por parte de controladores y procesadores de datos.

Serán otorgadas por entidades de certificación o por las autoridades de control. De otorgarla el Consejo Europeo de Protección de Datos, se denominará como certificación tipo  “Sello Europeo de Protección de Datos”. Se otorgará por periodos máximos de 3 años pudiendo ser renovada si se cumplen los requisitos para ello. El Consejo Europeo de Protección de Datos llevará un registro público con todas las certificaciones, sellos y marcas otorgados.

En relación con la entidad de certificación que emite y renueva los certificados, sellos o marcas, después de informar a la autoridad de control, deberá contar con un nivel adecuado de expertise en protección de datos. Cada estado decidirá quién otorga la acreditación a estas entidades de certificación, pudiendo ser:

  • La autoridad de control competente.
  • La Entidad Nacional de Acreditación denominado en acuerdo con el Reglamento (CE) No 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008 por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos, sin perjuicio de las competencias de la autoridad de control.

Quedan igualmente detallados los requisitos mediante los cuales se obtiene la condición de entidad de certificación y su renovación como máximo por periodos de 5 años. En el caso de incumplimiento por parte de la entidad de certificación, la acreditación podrá ser revocada.

Por ello el Sello Iberoamericano de Protección de Datos debidamente aprobado por el Consejo Europeo de Protección de Datos sería un instrumento que facilitara las transferencias internacionales de datos hacia Iberoamérica y aportara confianza en el consumidor al igual que los conocidos “sellos de confianza”.

Los sellos de confianza nacen hace casi 20 años para resolver una necesidad concreta: fomentar la confianza de los consumidores al hacer transacciones por internet, buscando fortalecer principalmente al comercio electrónico “business to consumer” (negocio a consumidor).

En aquella época se buscaba resolver principalmente tres situaciones que incomodaban a muchos usuarios de internet:

  • conocer quién estaba detrás de una página web (la identidad legal del negocio);
  • que el sitio web contaba con mecanismos de seguridad mínimos que protegieran la información bancaria y datos de los consumidores durante su tránsito entre la computadora del comprador y el servidor del vendedor; y
  • en caso de que el consumidor tenga alguna inconformidad o queja hacia el negocio respecto de la prestación del servicio o bien entregado, ésta será atendida de manera expedita y profesional.

Con el paso de los años la privacidad, particularmente en entornos digitales, ha tomado cada vez mayor relevancia a nivel mundial. Es por ello que muchos “sellos de confianza” también han buscado certificar a sitios web que cuenten con “buenas prácticas” en materia de privacidad.

¿Cómo funcionan los sellos de confianza?

Los sellos de confianza usualmente son operados por empresas independientes creadas para tal efecto, o por organizaciones industriales o asociaciones de empresas que buscan otorgar un beneficio particular a sus afiliados.

Para ser acreedor o estar autorizado a usar un sello de confianza, usualmente se requiere que el negocio, entidad o individuo:

  • Presente la solicitud correspondiente en el portal de la empresa o asociación administradora del sello.
  • Usualmente la solicitud va acompañada de una serie de documentos que buscan acreditar, entre otras cosas, lo siguiente:
    • la identidad legal del solicitante,
    • las medidas de seguridad tecnológicas,
    • las políticas de privacidad, y
    • las políticas de solución de quejas.
  • Pague la cuota correspondiente.
  • Se someta al escrutinio correspondiente por parte de la empresa o asociación que administre el sello de confianza, para determinar si los parámetros o criterios necesarios para la obtención del sello son satisfechos por el solicitante.

No uniformidad Legislativa: Países con Legislación en Protección de Datos y sin Legislación en protección de datos.

El término respecto a  si los países “cuentan con un nivel adecuado de protección” se encuentra íntimamente relacionado con el desarrollo de la protección de datos personales en el ámbito europeo, específicamente a laDirectiva 95/46 del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en la que se tomó en consideración que pueden existir diferencias en cuanto a los niveles de protección debido a la disparidad de las legislaciones de los Estados miembros y de los países terceros; en virtud de esto, por mandato del artículo 29 se creó el grupo de protección de las personas en lo que respecta al tratamiento de datos personales, el cual entre otras cosas se encarga de analizar los instrumentos jurídicos para catalogarlos como normas generales o sectoriales.

Artículo 30

  1. El Grupo tendrá por cometido:
  • Estudiar toda cuestión relativa a la aplicación de las disposiciones nacionales tomadas para la aplicación de la presente Directiva con vistas a contribuir a su aplicación homogénea;
  • Emitir un dictamen destinado a la Comisión sobre el nivel de protección existente dentro de la Comunidad y en los países terceros;
  • Asesorar a la Comisión sobre cualquier proyecto de modificación de la presente Directiva, cualquier proyecto de medidas adicionales o específicas que deban adaptarse para salvaguardar los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales, así como sobre cualquier otro proyecto de medidas comunitarias que afecte a dichos derechos y libertades;
  • Emitir un dictamen sobre los códigos de conducta elaborados a escala comunitaria.
  1. Si el Grupo comprobaré la existencia de divergencias entre la legislación y la práctica de los Estados miembros que pudieren afectar a la equivalencia de la protección de las personas en lo que se refiere al tratamiento de datos personales en la Comunidad, informará de ello a la Comisión.
  1. El Grupo podrá, por iniciativa propia, formular recomendaciones sobre cualquier asunto relacionado con la protección de las personas en lo que respecta al tratamiento de datos personales en la Comunidad.
  1. Los dictámenes y recomendaciones del Grupo se transmitirán a la Comisión y al Comité contemplado en el artículo 31.
  1. La Comisión informará al Grupo del curso que haya dado a los dictámenes y recomendaciones. A tal efecto, elaborará un informe, que será transmitido asimismo al Parlamento Europeo y al Consejo. Dicho informe será publicado.
  1. El Grupo elaborará un informe anual sobre la situación de la protección de las personas físicas en lo que respecta al tratamiento de datos personales en la Comunidad y en los países terceros, y lo transmitirá al Parlamento Europeo, al Consejo y a la Comisión. Dicho informe será publicado.[1]

En este sentido, para el desarrollo de este apartado se considera que la Directiva 95/46 adquiere relevancia, puesto que el desarrollo de la protección de datos en Iberoamérica se encuentra relacionada con la disparidad o no uniformidad de la legislación, ya que hay países que cuentan con legislación específica en la materia y hay otros en donde la regulación se ha realizado de manera sectorial.

Pedro Dubie justifica la existencia de estas normas con base en criterios de “verticalidad u horizontalidad.”[2] Esta clasificación sirve para establecer si un país cuenta o no con un nivel de protección adecuado como lo exige la Unión Europea. Así se tiene que una ley vertical, es una norma que regula una sola categoría de datos en forma específica, entre las virtudes que presenta esta estructura jurídica se encuentran dos: la primera es que la ley vertical permite regular muchas de las características que distinguen a una categoría de datos, por ejemplo es muy habitual observar que los datos crediticios tienen un problema que no tienen los datos de salud y que los datos del marketing directo son muy diferentes de los datos de seguridad pública, que no es lo mismo tratar datos sensibles que tratar datos que provienen de una fuente de acceso público o restringida; y la otra ventaja es de carácter histórico, pues el legislador se aboca a regular sólo lo que la sociedad le reclama y no involucra todo el tratamiento de datos.

Por el contrario, una ley horizontal es una norma que regula todas las categorías de datos de una sola vez; es una norma que abarca todo el universo de datos existentes y a todos ellos les aplica un régimen único con algunas salvedades respecto a determinadas categorías de datos como por ejemplo, datos de seguridad pública. La ventaja que presenta es que de una vez para siempre quedan sometidos en una sola ley todos los datos personales y bajo el imperio de una sola autoridad; es decir son leyes que luego necesitan de leyes posteriores que regulen en específico cada categoría de datos; el beneficio interesante que conlleva es que se produzca un orden normativo ya que toda ley especial posterior de datos específicos, estará siempre referenciada a la ley general y horizontal.

Además la reciente sentencia del Tribunal de Justicia de la Unión Europea de 6 de octubre de 2015, en el asunto C‑362/14 Maximillian Schrems vs Data Protection Commissioner con la intervención de Digital Rights Ireland Ltd ha declarado nula la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, entre otros argumentos por la falta de revisión y seguimiento por parte de la Comisión Europea y la imposibilidad de control por parte de las autoridades nacionales de control, circunstancias (revisión, seguimiento, auditoría, revocación o renovación) que si se dan en los mecanismos de certificación.

Para poder entender mejor el estado en el que se encuentra la legislación en materia de protección de datos en Iberoamérica, realizaremos un análisis para determinar los países que cuentan con legislación específica y los países que cuentan con legislación sectorial, para ello se analizará desde el reconocimiento constitucional de la protección de datos como derecho fundamental, el sector al que es aplicable la legislación y si existe un autoridad de control encargada de garantizar a las personas la protección de sus datos personales.

Países con Legislación Específica en Protección de Datos.

PAÍS CONSTITUCIÓN NOMBRE DE LA LEY
Andorra Artículo 14. Se garantiza el derecho a la intimidad, al honor y a la propia imagen.Toda persona tiene derecho a ser protegida por las leyes contra las intromisiones ilegítimas en su vida privada y familiar. Ley 15/2003 cualificada, de 18 de diciembre, de protección de datos personales “Qualificada de protecció de dades personals”

 

Argentina Artículo 43. Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquellos. No podrá afectarse el secreto de las fuentes de información periodística Ley 25.326 del 2 de noviembre del 2000.

Ley 1.845 de Protección de Datos Personales, Ciudad Autónoma de Buenos Aires.

Colombia Artículo 15. Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución. Ley Estatutaria Núm. 1581 del 17 de octubre de 2012 por el cual se dictan disposiciones generales para la protección de datos personales.

Ley Estatutaria Núm. 1266 del 31 de diciembre de 2008 por la cual se dictan las disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales.

Costa Rica Artículo 23. – “”El domicilio y todo otro recinto privado de los habitantes de la República son inviolables. No obstante pueden ser allanados por orden escrita de juez competente, o para impedir la comisión o impunidad de delitos, o evitar daños graves a las personas o a la propiedad, con sujeción a lo que prescribe la ley”.”Artículo 24. – “”Se garantiza el derecho a la intimidad, a la libertad y al secreto de las comunicaciones.

Son inviolables los documentos privados y las comunicaciones escritas, orales o de cualquier otro tipo de los habitantes de la República. Sin embargo, la ley, cuya aprobación y reforma requerirá los votos de dos tercios de los Diputados de la Asamblea Legislativa, fijará en qué casos podrán los Tribunales de Justicia ordenar el secuestro, registro o examen de los documentos privados, cuando sea absolutamente indispensable para esclarecer asuntos sometidos a su conocimiento.

Ley No. 8968 de 7 de julio de 2011 “protección de la persona frente al tratamiento de sus datos personales”
Chile Artículo 19.4 La constitución asegura a todas las personas: El respeto y protección a la vida privada y pública y a la honra de la persona y de su familia. Ley 19.628, del 28 de agosto de 1999, sobre Protección de la Vida Privada.
España Artículo 18.4: La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos Ley Orgánica 15/1999 del 13 de diciembre de Protección de Datos de Carácter Personal.
México Artículo 6. – “[…] La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes.”Artículo 16.- “Nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento.

Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.”

Ley Federal de Protección de Datos Personales en Posesión de Particulares, publicada en el Diario Oficial de la Federación el 5 de julio de 2010.
Nicaragua Artículo 26. -“Toda persona tiene derecho: A su vida privada y la de su familia; A la Inviolabilidad de su domicilio, su correspondencia y sus comunicaciones de todo tipo;(…). A conocer toda información que sobre ella hayan registrado las autoridades estatales, así como el derecho de saber por qué y con qué finalidad tiene esa información Ley No. 787 de Protección de Datos Personales
Perú Artículo 2. – “Toda persona tiene derecho a:5. A solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, en el plazo legal (……). Se exceptúan las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional.

6. A que los servicios informáticos, computerizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.”

Artículo 161 y 162. – “Defensa de los derechos fundamentales de la persona y de la comunidad”.

Artículo 200: Garantías constitucionales:

3.- La Acción de Hábeas Data, que la Procede contra el hecho u omisión, Parte de cualquier autoridad funcionario o persona, que vulnera o amenaza los derechos a que se refiere el Artículo 2, inciso 5) y 6) de la Constitución

Ley No. 29733, de 3 de julio de 2011, de Protección de Datos Personales.
Portugal Artículo 35 “Utilización de la informática”.1. Derechos de los ciudadanos 2. La ley define el concepto de datos personales, y las condiciones aplicables a su tratamiento automatizado, conexión, transmisión y utilización, y garantiza su protección por medio de un órgano administrativo independiente.3.Límites utilización de la informática. 4. Prohibición Acceso a los datos personales de terceros, salvo en casos excepcionales previstos por la ley. 5. Prohibida la atribución de un número nacional único a los ciudadanos. 6. Acceso libre general garantizado a las redes informáticas para uso público, definiendo la ley el régimen aplicable a los flujos transfronterizos de datos y las formas apropiadas de protección de datos personales. Ley 67/98 de Protección de Datos Personales del 26 de Octubre.
República Dominicana Artículo 44. 2 Toda persona tiene el derecho a acceder a la información y a los datos que sobre ella o sus bienes reposen en los registros oficiales o privados, así como conocer el destino y el uso que se haga de los mismos, con las limitaciones fijadas por la ley. El tratamiento de los datos e informaciones personales o sus bienes deberá hacerse respetando los principios de calidad, licitud, lealtad, seguridad y finalidad. Podrá solicitar ante la autoridad judicial competente la actualización, oposición al tratamiento, rectificación o destrucción de aquellas informaciones que afecten ilegítimamente sus derechos;Artículo 70.  Hábeas data. Toda persona tiene derecho a una acción judicial para conocer de la existencia y acceder a los datos que de ella consten en registros o bancos de datos públicos o privados y, en caso de falsedad o discriminación, exigir la suspensión, rectificación, actualización y confidencialidad de aquéllos, conforme a la ley. No podrá afectarse el secreto de las fuentes de información periodística. Ley Orgánica de Protección de Datos de Carácter Personal, Ley 172-13.
Uruguay Artículo 7. -“Los habitantes de la República tienen derecho a ser protegidos en el goce de su vida, honor, libertad, seguridad, trabajo y propiedad. (……).” Artículo 11. – “El hogar es un sagrado inviolable (…)”.Artículo 28. – “Los papeles de los particulares y su correspondencia epistolar, telegráfica o de cualquier otra especie, son inviolables Ley No. 18.331, de 11 de Noviembre de 2008.

Andorra: Legislación aplicable a entidades privadas y públicas, cuenta con una autoridad específica en materia de protección de datos, constituida por un organismo público con personalidad jurídica propia, independiente de las administraciones públicas y con plena capacidad de obrar (Agència Andorrana de Protecció de Dades, APDA).[3]

Argentina: Se reconoce a nivel constitucional la acción de Habeas Data junto con el amparo y Habeas Corpus, su legislación en materia de protección de datos es aplicable al sector público y privado, cuenta con un órgano de control, descentralizado del Ministerio de Justicia y Derechos Humanos de la Nación (Dirección Nacional de Protección de Datos de Argentina).[4]

Se destaca la Ley CABA No. 1.845/2006 emitida por la Legislatura de la Ciudad Autónoma de Buenos Aires la cual tiene por objeto regular, dentro del ámbito de la Ciudad de Buenos Aires, el tratamiento de datos personales referidos a personas físicas o de existencia ideal, asentados o destinados a ser asentados en archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires, a los fines de garantizar el derecho al honor, a la intimidad y a la autodeterminación informativa, asimismo se reconoce como organismo de control a la Defensoría del Pueblo de la Ciudad de Buenos Aires.

Colombia: Legislación aplicable a entidades públicas y privadas, contempla como autoridad en protección de datos a la Superintendencia de Industria y Comercio, a través de una Delegatura para la protección de datos personales quien ejercerá la vigilancia para garantizar que en el tratamiento de datos personales se respeten los principios derechos y garantías previstos en la Ley[5].

Costa Rica: Legislación aplicable a los datos personales que figuren en bases de  datos automatizadas o manuales de organismos públicos y privados, como autoridad de control contempla a la Agencia de Protección de Datos de los Habitantes (Prodhab), órgano de desconcentración máxima adscrito al Ministerio de Justicia y Paz que goza de personalidad jurídica instrumental propia en el desempeño de sus funciones, en la administración de sus recursos y presupuesto, así como para suscribir contratos y convenios que requiera para el cumplimiento de sus funciones.[6]

Chile: Legislación aplicable al tratamiento de datos de carácter personal en registros o bancos de datos de organismos públicos y por particulares, no contempla una autoridad de control o única encargada de garantizar la protección de datos, ya que únicamente se señala la obligación para el Servicio de Registro Civil e identificación de llevar el registro de los bancos de datos en poder de organismos públicos.[7]

España: Legislación aplicable a los sectores público y privado. La autoridad de Control es la Agencia Española de Protección de Datos que es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones.[8]

México: Legislación aplicable al sector privado, la autoridad de control es el Instituto Nacional de Transparencia,  Acceso a la Información Pública y Protección de Datos Personales (INAI) antes (Instituto Federal de Acceso a la Información y Protección de Datos Personales (IFAI), quien a raíz de la reforma constitucional en materia de transparencia del año 2014, se le otorgo autonomía constitucional. La construcción del derecho a la protección de datos personales en México es sui géneris, su nacimiento se encuentra vinculado al derecho de acceso a la información pública previsto en el artículo 6 constitucional, ya que a raíz de la reforma de 2007 se establecieron las primeras menciones constitucionales limitantes al ejercicio del derecho de acceso a la información, relativas a la vida privada y los datos personales, en este sentido en  la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental  (LFTAIPG) que entró en vigor desde 2002, se contemplaba ya un apartado específico pero muy limitado en su Capítulo IV, relativo a la protección de datos personales aplicable al sector público, ya que fue hasta 2009 que se reconoció a la protección de datos como un derecho humano y fundamental independiente del acceso a la información pública.

Como consecuencia de las reformas constitucionales que poco a poco han ido reconociendo a la protección de datos personales como un derecho independiente, se tiene contemplada la expedición de la Ley General de Protección de datos Personales aplicable al sector público, no obstante en tanto no se expida dicha Ley la protección de datos en dicho sector será regulada a través de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental que se encuentra en vigor. [9]

Nicaragua: Legislación aplicable al sector público y privado. La autoridad de control es la Dirección de Protección de Datos Personales, adscrita al Ministerio de Hacienda y Crédito Público, que contará con un director designado por la máxima autoridad administrativa de dicho ministerio y que tiene por objeto el control, supervisión y protección del tratamiento de los datos personales contenidos en ficheros de datos de naturaleza pública y privada.[10]

Perú: Legislación aplicable a la administración pública y privada. La Autoridad Nacional de Protección de Datos Personales es el Ministerio de Justicia, a través de la Dirección Nacional de Justicia, misma que ejerce funciones administrativas, orientadoras, normativas, resolutivas, fiscalizadoras y sancionadoras. [11]

Portugal: Legislación que traspone la Directiva 95/46 del Consejo de Europa, la autoridad de control es la “Comissão Nacional de Protecção de Dados”, que es una entidad administrativa independiente con funciones de autoridad, que funciona junto a la Asamblea de la República.[12]

República Dominicana: Legislación aplicable al sector público, el órgano de control es la Superintendencia de Bancos pero únicamente respecto a los bancos de datos públicos y privados destinados a proveer informes crediticios.[13]

Uruguay: Legislación aplicable al ámbito público y privado, el órgano de control es la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) que se encuentra dotada de autonomía técnica, la Unidad Reguladora y de Control de Datos Personales estará dirigida por un Consejo integrado por tres miembros, asimismo se destaca que dicho Consejo estará asistido por un Consejo Consultivo integrado por 5 miembros.[14]

Países sin Legislación en Protección de Datos o que cuentan con alguna norma de carácter sectorial.

PAÍS CONSTITUCIÓN NOMBRE DE LA LEY
Brasil Artículo 5. LXXII se concederá “habeas data”: a) para asegurar el conocimiento de informaciones relativas a la persona del impetrante que consten en registros o bancos de datos de entidades gubernamentales o de carácter público; b) para la rectificación de datos, cuando no se prefiera hacerlo por procedimiento secreto, judicial o administrativo (…).LXXVII son gratuitas las acciones de “habeas corpus” y “habeas data” y, en la forma de la ley, los actos necesarios al ejercicio de la ciudadanía. Ley Nº 9.296, del 24/6/1996, por la que se reglamenta la interceptación de comunicaciones telefónicas (Artículos 1 al 10).Ley Nº 9.507, del 12/11/1997. Derecho de Acceso a la Información y reglamenta el “habeas data” (Artículo 1).

Código Penal: violación del domicilio, de correspondencia; de comunicación telefónica, divulgación de secreto; violación de secreto profesional.

Ley Complementaria 105. Secreto de las operaciones de instituciones financieras.

Ley Nº 8078/90. Código de Protección y defensa del Consumidor.

Bolivia Artículo 21.2 “Las bolivianas y los bolivianos tienen los siguientes derechos: a la privacidad, intimidad, honra, propia imagen y dignidad”.”Artículo 130. I. Toda persona individual o colectiva que crea estar indebida o ilegalmente impedida de conocer, objetar la eliminación o rectificación de los datos registrados por cualquier medio físico, electrónico, magnético o informático, en archivos o bancos de datos públicos o privados, o que afecten a su derecho fundamental a la intimidad y privacidad personal o familiar, o a su propia imagen, honra y reputación, podrá interponer la Acción de Protección de Privacidad.

II. La acción de Protección de Privacidad no procederá para levantar el secreto en materia de prensa.

Artículo 131. I. La acción de Protección de Privacidad tendrá lugar de acuerdo con el procedimiento previsto para la acción de Amparo Constitucional

II. Si el tribunal o juez competente declara procedente la acción, ordenará la revelación, eliminación o rectificación de los datos cuyo registro fue impugnado.

III. La decisión se elevará de oficio, en revisión ante el Tribunal Constitucional Plurinacional en el plazo de las veinticuatro horas siguientes a la emisión del fallo, sin que por ellos se suspenda la ejecución.

IV. La decisión final que conceda la Acción de Protección de Privacidad será ejecutada inmediatamente y sin observación. En caso de resistencia se procederá de acuerdo con lo señalado en la Acción de Libertad. La autoridad judicial que no proceda conforme lo dispuesto por este artículo quedará sujeta a las sanciones previstas por la Ley.

Código Penal. Modificado por la Ley Nº 1768, de 10 de Marzo de 1997 (Artículos 363 Bis y 363 ter.). Delitos Informáticos.Ley Nº 28168, de 18 de mayo de 2005. Acceso a la Información del Poder Ejecutivo (Artículo 19: Petición de Hábeas Data).

Ley Nº 018, de 16 de junio de 2010, del Órgano Electoral Plurinacional. Artículos 72 (obligaciones); 74 (Registro y actualización de datos); 76 (Padrón Electoral); 77 (Lista de habilitados e inhabilitados), y 79 (acceso a información del Padrón Electoral).

Ley Nº 164, de 8 de agosto de 2011, General de Telecomunicaciones, Tecnologías de la Información y Comunicación. Artículos 54 (derechos de los usuarios); 56 (inviolabilidad y secreto de las comunicaciones); 59 (obligaciones de los operadores y proveedores); 84 (reglamentación); 89 (correo electrónico personal); 90 (correo electrónico laboral), y 91 (comunicaciones comerciales publicitarias por correo electrónico o medios electrónicos).

Decreto Supremo Nº 1793, de 13 de noviembre de 2013. Reglamento de la Ley Nº 164. Artículos 3 (definiciones); 4 (principios), 40 (funciones de la Agencia de Registro); 54 (derechos del titular del certificado); 56 (Protección de datos personales), y 57 (comunicaciones comerciales publicitarias)

Ecuador Número 9: “Determina que el más alto deber del Estado consiste en respetar y hacer respetar los derechos garantizados en la Constitución, lo cual implica la obligación estatal de adecuar formal y materialmente, las leyes y normas de inferior jerarquía a la Constitución y los instrumentos internacionales, e implementar las normas que sean necesarias para garantizar la dignidad del ser humano.”Artículo 66.  Número 19: “”El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley”. “Número 20: “El derecho a la intimidad personal y familiar.””  Número 21: “”El derecho a la inviolabilidad y al secreto de la correspondencia física y virtual; ésta no podrá ser retenida, abierta ni examinada, excepto en los casos previstos en la ley, previa intervención judicial y con la obligación de guardar el secreto de los asuntos ajenos al hecho que motive su examen. Este derecho protege cualquier otro tipo o forma de comunicación. Ley Nº 162, de 31 de marzo de 2010, del Sistema Nacional de Registro de Datos Públicos.Ley Nº 13, de 18 de octubre de 2005, de Burós de Información Crediticia (arts. 5 a 10).

Ley Nº67, de 17 de abril de 2002de Comercio Electrónico, Firmas y Mensajes de Datos (Artículo 9).

Ley Orgánica de Transparencia y Acceso a la Información Pública, de 18 de mayo de 2004.

Ley Nº 184, de 10 de agosto de 1992 Especial de Telecomunicaciones (Arts. 1, 14 y 39).

 

Ley Nº 13, de 18 de octubre de 2005. Burós de Información Crediticia (Arts. 5 a 10).

Ley Orgánica de Transparencia y Acceso a la Información (LOTAIP), de 18 de mayo de 2004

República de el Salvador Artículo 2. – “Toda persona tiene derecho a la vida, a la integridad física y moral, a la libertad, a la seguridad, al trabajo, a la propiedad y posesión, y a ser protegida en la conservación y defensa de los mismos. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. Decreto Nº 534, de 30 de marzo de 2011. Ley de Acceso a la Información Pública (en especial, su Título III, dedicado a la Protección de Datos Personales). 011. Ley de Acceso a la Información Pública (en especial, su Título III, dedicado a la Protección de Datos Personales).Decreto Nº 136, de 1 de septiembre de 2012. Reglamento de la Ley de Acceso a la Información Pública.

Decreto Legislativo nº 695, de 27 de julio de 2011. Ley de regulación de los Servicios de Información sobre el Historial de Crédito de las Personas.

Decreto Legislativo nº 166, de 8 de septiembre de 2005. Ley Protección al Consumidor.

Decreto Legislativo nº 142, de 6 de noviembre de 1997 (Reformada oct. 2008). Ley Telecomunicaciones y Energía.

Decreto Legislativo nº 1030, de 26 de abril de 1997. Código Penal. Delitos relativos a la intimidad. Ha sufrido diversas reformas parciales, la última en diciembre de 2013.

Reglamento General de Ley Penitenciaria. Establece algunas disposiciones sobre privacidad de datos del interno.

Guatemala Artículo 24. – “Inviolabilidad de correspondencia, documentos y libros. Se garantiza el secreto de la correspondencia y de las comunicaciones telefónicas, radiofónicas, cablegráficas y otros productos de la tecnología moderna”.Artículo 30. – “Publicidad de los actos administrativos.”

Artículo 31. Acceso a archivos y registros estatales, así como a corrección, rectificación y actualización. Quedan prohibidos los registros y archivos de filiación política, excepto los propios de las autoridades electorales y de los partidos políticos.”

 

Ley de Acceso a la Información Pública (en especial, el art. 9). Decreto nº 57-2008 del Congreso de la República.Ley de Protección al Consumidor y Usuario. Decreto nº 006-2003 del Congreso de la República.

Ley para el reconocimiento de las Comunicaciones y Firmas Electrónicas. Decreto nº 47-2008 del Congreso de la República.

Código Penal. Decreto nº 17-73 del Congreso de la República. En el artículo 274, inciso D) se establece como un delito informático la creación de registros prohibidos, regulando que se impondrá prisión de 6 meses a 4 años y multa de Q.200 a Q.1,000, al que creare un banco de datos o un registro informático con datos que puedan afectar la intimidad de las personas.

Ley de Derecho de Autor y Derechos Conexos. Decreto nº 33-98 del Congreso de la República.

Honduras Artículo 76. – “Se garantiza el derecho al honor, a la intimidad personal, familiar y a la propia imagen.”Decreto Legislativo N° 381-2005. se reformó el Capítulo I, del Título IV de la Constitución de la República, donde el Estado de Honduras reconoce la garantía del HABEAS DATA: “”Que toda persona tiene el derecho a acceder a la información sobre si misma o sus bienes en forma expedita y no onerosa, ya esté contenida en bases de datos, registros públicos o privados y, en el caso de que fuere necesario, actualizarla, rectificarla y /o enmendarla.” Ley de Transparencia y Acceso a la Información Pública. Decreto nº 170-2006.Artículo 23: HÁBEAS DATA

Artículo 24: Sistematización archivos personales y su acceso.

Artículo 25: Prohibición entrega de información.

Panamá Artículo 29. -“La correspondencia y demás documentos privados son inviolables y no pueden ser ocupados o examinados sino por disposición de autoridad competente, para fines específicos y mediante formalidades legales. (…) se guardará reserva sobre los asuntos ajenos al objeto de la ocupación o del examen.Igualmente, las comunicaciones telefónicas privadas son inviolables y no podrán ser interceptadas

Artículo 42 a 44.- “Derecho Acceso de Información y Habeas Data.

Ley No. 6 del 22 de enero de 2002, Transparencia y Acceso Información Pública. Establece acción de Habeas Data (Artículos 3, 13 y 17).Ley No. 24 del 22 de mayo de 2002 que regula el servicio de información sobre el historial de crédito (…) (Artículos 23 y 30).

Ley No. 3 del 5 de enero de 2000, Ley General sobre las Infecciones de Transmisión Sexual, el Virus de la Inmunodeficiencia Humana y el Sida (Artículos 34 y 37).

Paraguay Artículo 33 – Del Derecho a la Intimidad. La intimidad personal y familiar, así como el respeto a la vida privada, son inviolables. La conducta de las personas, en tanto no afecte al orden público establecido en la ley o a los derechos de terceros, está exenta de la autoridad pública. Se garantizan el derecho a la protección de la intimidad, de la dignidad y de la imagen privada de las personas.Artículo 135 – Del Hábeas Data. Toda persona puede acceder a la información y a los datos que sobre sí misma, o sobre sus bienes, obren en registros oficiales o privados de carácter público, así como conocer el uso que se haga de los mismos y de su finalidad. Podrá solicitar ante el magistrado competente la actualización, la rectificación o la destrucción de aquellos, si fuesen erróneos o afectaran ilegítimamente sus derechos.

 

 

Ley Nº 3440, de 16 de julio de 2008, que modifica varias disposiciones de la Ley Nº 1160/97, Código Penal.Ley Nº 4439, de 3 de octubre de 2011, que modifica y amplia varias artículos de la Ley Nº 1160/97, Código Penal. Artículos 146 b; 146 c; 146 d; 174; 174 b; 175; 175 b y 188.

Ley Nº 1682, de 16 de enero de 2001, que reglamenta la información de carácter privado.

Ley Nº 1969, de 3 de septiembre de 2002, que modifica, amplía y deroga varios artículos de la Ley Nº 1682. Ley Nº 1969, de 3 de septiembre de 2002, que modifica, amplía y deroga varios artículos de la Ley Nº 1682.

Ley Nº 4017, de 23 de diciembre de 2010, de validez jurídica de la firma electrónica, la firma digital, los mensajes de datos y el expediente electrónico.

Ley Nº 4610/2012, que modifica y amplía la Ley Nº 4017/10.

Decreto Nº 7369, de 23 de septiembre de 2011, por el que se aprueba el Reglamento de la Ley Nº 4017/10.

Ley Nº 4868, de 26 de febrero de 2013, de Comercio electrónico.

Decreto Nº 1165, de 27 de enero de 2014, por el que se aprueba el Reglamento de la Ley Nº 4868, de Comercio electrónico.

Ley Nº 4989, de 9 de agosto de 2013, que crea el marco de aplicación de las tecnologías de la información y comunicación en el sector público y crea la Secretaría Nacional de Tecnologías de la Información y Comunicación (SENATICs).

Venezuela Artículo 28. – Toda persona tiene derecho de acceder a la información y a los datos que sobre sí misma o sobre sus bienes consten en registros oficiales o privados…conocer el uso que se haga de los mismos y su finalidad, y a solicitar ante el tribunal competente la actualización, la rectificación o la destrucción de aquellos, si fuesen erróneos o afectasen ilegítimamente sus derechos. Igualmente, podrá acceder a documentos de cualquier naturaleza que contengan información cuyo conocimiento sea de interés para comunidades o grupos de personas…Artículo 60. – Toda persona tiene derecho a la protección de su honor, vida privada, intimidad, propia imagen, confidencialidad y reputación. La ley limitará el uso de la informática.

Artículo 281. – Son atribuciones del Defensor o Defensora del Pueblo:

3. Interponer las acciones de inconstitucionalidad, amparo, habeas corpus, habeas data y las demás acciones o recursos necesarios para ejercer las atribuciones señaladas en los ordinales anteriores, cuando fuere procedente de conformidad con la ley

Ley de registro de antecedentes penales del 3 de Agosto de 1979 (Artículos del 6 al 8).Ley sobre Protección a la Privacidad de las Comunicaciones del 16 de Diciembre de 1991.

Ley Orgánica para la Protección del Niño y del Adolescente del 10 de Febrero de 1998 (Artículos 65 al 68)

Ley Especial contra Delitos Informáticos del 30 de Octubre de 2001 (Artículos 20 al 30).

 

 

Como puede observarse la situación en la que se encuentra el ordenamiento jurídico en el sistema Iberoamericano resulta contradictoria, puesto que en la mayoría de los países existe un reconocimiento de carácter fundamental del derecho a la protección de datos personales y un marco jurídico que establece los mínimos para su desarrollo, por lo tanto a nuestro parecer hasta el momento resulta insuficiente, situación que ha generado que el nivel de protección de los datos personales no sea el adecuado, de acuerdo con los estándares  internacionales, específicamente nos referimos a la Directiva 95/46/CE.

El hecho de que la mayoría de los países de Iberoamérica no cuenten con un nivel adecuado de protección genera una consecuencia específica que se refiere a la imposibilidad de que se puedan realizar transferencias de datos personales desde el ámbito europeo, salvo que se cuente con una autorización especial, en este sentido resalta la legislación de Argentina, Uruguay y Andorra la cual se considera que cuentan con un nivel adecuado de protección de acuerdo con los estándares internacionales, por lo que cabe resaltar que cuentan con una legislación específica aplicable al sector público y privado y existe una autoridad de control.

De otra parte podemos resaltar el caso de México en donde la normativa de protección de datos se ha realizado  de manera sectorial, decimos que es sectorial porque hasta el momento se han regulado a los datos personales por categorías o por sectores; es decir se cuenta con una Ley que regula la protección de datos en el sector privado y otra en el sector público, en materia de transparencia y acceso a la información; así también se ha sectorizado en función de las competencias y atribuciones entre dos niveles de gobierno el Federal y el Estatal, es decir existen entidades federativas que cuentas con leyes en materia de protección de datos aplicables al sector público y otras no, por lo que existe una diferencia a nivel nacional respecto a los principios, derechos y en general a la regulación en la materia, a diferencia de los países que cuentan con legislación específica en la materia, ya que estos mediante una sola ley regulan los dos sectores el público y el privado.

Así también destacan otros países con legislación sectorial, es decir que no cuentan con una ley específica en la materia, y que contienen ciertas disposiciones que regulan la protección de datos en otras legislaciones como es el caso de Brasil, Honduras y Guatemala entre otras.

Asimismo, otro aspecto importante que debe tomarse en cuenta respecto a la legislación en materia de protección de datos en Iberoamérica es la existencia de  autoridades de control independientes encargadas de garantizar a las personas su derecho fundamental, toda vez que en diversos países dichas autoridades no gozan de autonomía plena e independencia en sus decisiones, pues pertenecen a dependencias específicas del Gobierno y esto adquiere relevancia porque la intervención de las autoridades de control es un elemento primordial para el “sello de protección de datos” si tomamos en cuenta que se tiene previsto en el modelo europeo que el sello podrá ser obtenido tanto por responsables como por encargados del tratamiento de datos y que podrán solicitar la certificación ante “cualquier autoridad de control de la Unión”, siendo este sello un elemento que considera a la transferencia internacional de datos con garantías a tenor del futuro Reglamento General de Protección de Datos.

Aunado a lo anterior en la Directiva 95/46 también se hace referencia a la independencia de las autoridades de control al establecer en su  artículo 28 que:

“Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.”

Finalmente, consideramos que para que se pueda dar una protección efectiva de los datos personales en Iberoamérica y por consiguiente el sello de protección de datos se implemente de una manera adecuada, es preciso que se replantee la legislación en la materia, por lo que se considera  que se debe adoptar el modelo europeo; de esa manera se evitarían vacíos legales, se contaría con un esquema de protección adecuado a nivel internacional, y se tendría en Iberoamérica uniformidad legislativa, lo que facilitaría la certificación, puesto que es necesario que en principio las legislaciones en los países de Iberoamérica garanticen un nivel adecuado de protección.

El sello de protección de datos como una buena praxis de Privacy by Design

Relacionar la obtención y la conservación de un sello de protección de datos con la Privacidad por Diseño (Privacy by Design) requiere del conocimiento e “interiorización” de este concepto, por parte de cualquier responsable interesado en la distinción.

Los orígenes de la Privacidad por Diseño (en adelante PbD, por sus siglas en inglés) se remontan a los años 90,[15] y pasan necesariamente por la identificación y aplicación de siete principios,[16] cuyo cumplimiento permitiría, por un lado, que los ciudadanos vean asegurado el control de su información personal y, por el otro, que las organizaciones obtengan una ventaja competitiva.

La adopción de PbD requiere de modificaciones en las políticas y procedimientos de los responsables, que algunos pueden calificar como un verdadero cambio de filosofía corporativa, puesto que la protección de la privacidad no deriva en exclusiva del cumplimiento de la normativa sobre la materia, sino que pasa a convertirse en un modo de operación predeterminado en la organización, en el que el respeto a la privacidad se constituye como una práctica natural del responsable, y así se refleja tanto en el exterior como el interior de la entidad.

Para adquirir y mantener un nivel de protección como el que persigue el modelo de PbD, es necesario conocer los siete principios antes aludidos, con un punto de vista práctico:

  1. Los responsables deben ser proactivos y preventivos, en oposición a reactivos y correctivos. La organización que ostenta un “sello de protección de datos”, no espera a que los incidentes sucedan para corregirlos; analiza, valora y adopta medidas preventivas que pueden evitar infracciones a la organización, pero sobre todo que disminuyen riesgos para la privacidad de los titulares de los datos personales.
  1. La privacidad debe existir “por defecto” (privacy by default), no debe tratarse de un elemento optativo o adicional a los sistemas de información del responsable, o a sus prácticas de negocio, de tal forma que no es necesario elegir entre opciones con menor o mayor grado de protección a la privacidad, dado que ésta ha sido considerada desde que el sistema, el servicio o la práctica del negocio fueron concebidos.
  1. La privacidad deberá estar integrada en el diseño y arquitectura de los sistemas de tecnologías de la información y en las prácticas del negocio del responsable, de forma que ésta se constituya como un elemento esencial de la funcionalidad de unos u otros. Esta integración permitirá que, posteriormente, no sea necesario corregir o modificar sistemas o prácticas que no integraron a la privacidad desde que fueron diseñados.
  1. La PbD busca que los intereses de todos los involucrados estén reconciliados, se persigue una Funcionalidad Total, una Suma Positiva. En este sentido, en una organización compleja, la Funcionalidad Total podrá alcanzarse si un proyecto, un servicio o un sistema, desde su concepción, cuenta con la participación de todos los interesados para que, en defensa de sus intereses y objetivos legítimos (obtener ganancias, generar reputación, respetar la ley, entre otros) estos pueden ser conciliados para evitar que alguno “pierda” en “beneficio” de otro.
  1. Cuando se ha implementado la PbD, se asegura la protección punto-a-punto durante todo el ciclo de vida de los datos. En este estado de organización, un responsable que desea obtener o mantener un sello de protección de datos, garantiza que la obtención, procesamiento, consulta, comunicación, conservación, bloqueo y destrucción de los datos, se realizará con garantías de seguridad desde el inicio y hasta el final del ciclo de vida de cualesquiera datos personales que trate.
  1. La visibilidad y la transparencia son inherentes a la PbD, y las tecnologías o prácticas de negocios del responsable pueden ser sujetos a una verificación o revisión independiente, en los que los componentes y operaciones permanecen visibles tanta para los usuarios como para cualquier tipo de proveedor. En la práctica, la tenencia de un sello de protección de datos trae aparejado el acceso expedito a información como las finalidades y tipos de datos que son tratados por el responsable; la existencia de comunicaciones de los datos y los derechos que los titulares pueden hacer valer ante dicho responsable, mediante procedimientos igualmente claros y transparentes.
  1. Finalmente, debe considerarse que el modelo de PbD mantiene un enfoque centrado en el usuario, en el que el respeto a su privacidad ostenta una posición prioritaria, ofreciendo por medios adecuados la comunicación de incidencias, cambios en la política de privacidad del responsable o la adopción de medidas de seguridad, así como accesos, información y opciones “amigables”.

En el contexto de los principios aludidos, un sello de protección de datos no constituye un fin en sí mismo, sino el resultado de prácticas alineadas con aquéllos, que distinguirán al responsable frente a otros que no han incorporado la protección de la privacidad en el diseño de sus servicios y procesos corporativos.

Ventajas de los Sellos de Protección de Datos

Los Sellos de Protección de Datos derivan de los procesos de certificación o autorregulación contemplados en algunas normas de protección de Datos Personales, siendo éste sello parte del proceso de certificación.

Dicha certificación se pueden ver como un proceso que equilibra los vacíos existentes entre las normas de Protección de Datos que tienen carácter obligatorio y los instrumentos de autorregulación. Sobre todo porque éstos últimos ofrecen flexibilidad para que los Responsables y Encargados del Tratamiento puedan establecer modelos o esquemas de protección adecuados a su modelo de negocio, modelos que pueden establecerse incluso desde el diseño del producto o servicio.

Una de las formas para impulsar la autorregulación y el cumplimiento normativo en la materia, es reconociendo el esfuerzo, costos e interés que los Responsables y Encargados del Tratamiento invierten al implementar las medidas necesarias para garantizar la protección de los Datos Personales que manejen, reconocimiento que se realiza mediante la Certificación de Protección de Datos Personales, la cual sirve además como estímulo para que los Responsables o Encargados se adhieran a la misma.

Además del incentivo de tener una Certificación que indique que se cumplen con las obligaciones sobre Protección de Datos, tal certificación ayuda a los Responsables del Tratamiento a posicionarse en el mercado y ante sus clientes, ya la misma se convierte en una garantía de seguridad y confianza ante los usuarios y en un instrumento que les permite diferenciarse de otros productos o servicios similares en el mercado, con lo que se favorece y robustece la marca y los productos asociados a la misma.

Para que los usuarios o Titulares de los Datos Personales puedan conocer cuales proveedores establecen medidas, procesos y estándares de seguridad adecuados para la protección de sus datos, es conveniente que mediante el principio de transparencia se les dé a conocer de manera estándar quiénes cumplen con tales medidas, para ello es que existe la Certificación de Datos Personales. Lo cual no solo es importante desde el punto de vista de transparencia, sino que ayuda a romper con el problema de asimetría de información que generalmente existe entre los proveedores y los Titulares de los Datos Personales, ya que éstos últimos en diversas ocasiones no logran entender o conocer todos los alcances y usos que el Responsable realiza con sus datos personales.

Si la identificación de la Certificación de Datos Personales por parte de su Titular es rápida y sencilla, se facilitará el entendimiento y conocimiento por parte de éste último respecto de quiénes garantizarán la protección de sus datos personales. Lo anterior se cumplirá con la emisión del Sello de Protección de Datos Personales, ya que visualmente ayudará al usuario a identificar rápidamente quién cuenta o no con la Certificación. Y en caso de que quieran entrar en más detalles respecto del Sello o simplemente revisar si el mismo efectivamente fue otorgado, los Titulares podrán consultar si el mismo es válido y/o vigente en los Registros o Bases de Datos Públicas que al efecto se publiquen por la Autoridad Reguladora o por los Terceros Certificadores.

A su vez, el Sello de Protección de Datos Personales podrá ser utilizado por los Responsables como un instrumento para promocionar sus productos o servicios, permitiéndole diferenciarse de otros como un elemento adicional de calidad.

Promoción de negocios ayudará a facilitar los negocios no solo a nivel local, sino también internacional cuando sean solicitados productos o servicios para otro país, esto ya que se incrementa la confianza en la transacción.

Finalmente como se viene recogiendo a lo largo de la presente Declaración, la obtención del sello implica, a tenor del futuro Reglamento General de Protección de Datos que las transferencias internacionales de datos realizadas a al amparo de una certificación gozan de la calificación de realizadas con garantías suficientes lo que redundará en una mejora de la fluidez y seguridad jurídica de las operaciones comerciales.

Como se ha analizado, las ventajas de los sellos suponen varias ventajas y facilitan el comercio de productos y servicios a nivel local o a nivel Unión Europea, según se trate. Sin embargo, para facilitar el comercio internacional sería conveniente contar con un Sello que fuera reconocido en los países iberoamericanos. Sobre todo, aprovechando el hecho de la similitud que existe entre los principios y normas de Protección de Datos Personales de los países Iberoamericanos, ya que en su mayoría, han tomado como base o ejemplo la legislación Europea en la materia.

Si bien es cierto que se requiere una reforma en las legislaciones de protección de datos de estos países y/o la creación de un organismo Internacional que pueda emitir Certificaciones y por lo tanto Sellos que permitan un libre flujo de Datos Personales entre Titulares y Responsables, la misma se puede lograr. Sobre todo pensando en el beneficio que implicaría para el comercio internacional entre los países de Iberoamérica y sobre todo, el beneficio que traería para los Titulares de Datos el conocer de una manera fácil y rápida quien tiene el Sello y además, teniendo la posibilidad de corroborar su veracidad y vigencia en un Registro Iberoamericano en donde se encuentre información pública respecto de estos sellos y sus titulares.

La protección de datos como indicador de calidad

Tenemos que entender que la sociedad evoluciona de una manera vertiginosa hacia sistemas de exigencia y garantía mayores, por lo que hoy en día las empresas y otras personas jurídicas deben pensar en un modelo de gestión diferente y  por ende del tratamiento de los datos personales que se manejan.

Uno de los principales problemas en la sociedad de la información es la falta de confianza en los productos y servicios tecnológicos. Los ciudadanos, e incluso, los propios empresarios, demandan una mayor protección de su privacidad cuando utilizan estos productos y servicios. En la actualidad es necesaria una mayor transparencia a la hora de conocer las garantías que respecto a la privacidad ofrecen los anteriormente citados productos y servicios tecnológicos.

La necesidad de implementar una política de privacidad de datos por medio del Sello Iberoamericano no debe tratarse de un imperativo legal únicamente, sino que también debemos entenderlo como un KPI o indicador necesario de calidad.

Los indicadores de calidad son medidas estadísticas basadas en cifras o ratios que se utilizan como criterio para juzgar y evaluar el desempeño de una organización, un sistema o un proceso.

La satisfacción del cliente y la generación de su confianza, es uno de los principales indicadores de la calidad de un servicio en base a la relación entre percepciones y expectativas esperadas  acerca de su privacidad y el tratamiento que se dará a sus datos personales.

Por medio del Sello se podrá establecer un procedimiento de certificación de aquellos productos y servicios tecnológicos que cumplan con la legislación de privacidad, protección de datos y seguridad. Por tanto, la adaptación a los parámetros de protección de datos  además de crear confianza supone también un fundamental argumento de valor competitivo a nivel empresarial, ya que en palabras de Javier Hernando “la información y los sistemas informáticos que la soportan conforman un activo importante en cualquier organización, que contribuye a garantizar su funcionamiento y continuidad”.

Toda empresa debe enfocar su estrategia orientándola al cliente, entendiendo sus expectativas y respetando su privacidad, ya que los datos que manejamos les identifican de alguna manera. El hecho de que una empresa no los proteja hace que el usuario pierda la confianza y vea vulnerada su privacidad. Así por ejemplo, el cliente puede ver vulnerada su privacidad si no controlamos las “fugas de información”, el phising o aquellos incidentes que ponen en poder de una persona ajena a la organización, información confidencial y que sólo debería estar disponible para integrantes de la misma.

Por ello, el Sello Iberoamericano en Protección de Datos es imprescindible para poder calificar la excelencia empresarial, en cuanto a que por medio de él:

  • Se transmite a la sociedad que se posee las capacidades técnicas y funcionales para la excelente prestación de nuestros servicios, así como los procedimientos internos que aseguran su adecuada prestación.
  • Aumenta la satisfacción y la confianza de los usuarios, ya que implicará que la empresa tiene un sistema de gestión que incorpora las buenas prácticas y la transparencia.

En este mismo sentido Daniel López Carballo afirmaba en su artículo para el CGAE que la  “correcta adecuación… conlleva una serie de beneficios para las empresas, tanto en el ámbito de la responsabilidad en el tratamiento de los datos, como en la trazabilidad de la información y la correcta asignación de recursos para lograr un seguimiento adecuado. Mayor seguridad, implica confianza, limita riesgos y, por tanto, genera beneficios.

Este planteamiento en positivo y el entendimiento de que dichas acciones no son un trabajo baldío, muestra una concepción de la normativa de protección de datos como motor de negocio, generador de beneficios y de confianza, en definitiva, como un activo empresarial.”

El tratamiento de los datos personales implica hacer una apuesta por la ética empresarial, en cuanto a la cultura de la organización en su conjunto para que el proyecto perdure en el largo plazo. Por este motivo el Sello permite evaluar a los el nivel de protección de datos que ofrecen los responsables y los encargados del tratamiento de las empresas como un indicador de calidad y seguridad para el cliente.

El objetivo principal del Sello Iberoamericano es crear confianza, lo que supondrá una mejora de la imagen corporativa y una mayor garantía para los afectados en lo que se refiere al tratamiento de sus datos personales. En definitiva dotar a la organización de parámetros de calidad y excelencia.

Mantenimiento del sello. Auditoría y renovación.

El Sello Iberoamericano de protección de datos, se propone como un mecanismo voluntario de certificación o marca de protección de datos, que permitirá a los interesados reconocer rápidamente el nivel de protección de datos que ofrecen los responsables y encargados del tratamiento sobre sus productos y servicios y otorgar la categoría de transferencia internacional con garantías a aquellas entidades adheridas. Hoy en día los flujos de información transfronterizos plantean retos relacionados con internet y mayores riesgos de menoscabar la privacidad de las personas. El sello permite por tanto, evaluar rápidamente los niveles de protección que se consideran adecuados.

El mantenimiento del sello de protección de datos debe establecerse como prioridad por parte de las empresas ya que como toda certificación debe ser renovada y puede ser revocada. El cumplimiento de la normativa de protección de datos en lo que respecta al tratamiento de datos personales en los distintos sistemas de información, no dependerá sólo de la evaluación que se realice en un momento inicial, sino también de las acciones previstas para que el grado de cumplimiento perdure a lo largo del tiempo.

A este respecto, resulta necesario el establecimiento de mecanismos que consigan la confianza necesaria para el resto de los operadores del mercado y, en particular, en lo relacionado con las operaciones comerciales que impliquen el tratamiento de bases de datos de carácter personal. Este Sello Iberoamericano de Protección de Datos se constituye así como elemento fundamental y su mantenimiento aporta un valor añadido a la seguridad jurídica no sólo entre empresas iberoamericanas, sino también a las relaciones de éstas con las empresas europeas.

Auditoría:

A fin de mantener y renovar el sello, cobra especial relevancia la realización de una auditoría y/o adecuación de los nuevos sistemas de información que en una empresa se implanten y que supongan un tratamiento de datos de carácter personal. La auditoría del sello responde a una revisión de la organización en cuanto a detectar si se cumplen con todas las medidas que se consideraron para la entrega y mantención del Sello Iberoamericano de protección de datos.

¿En qué consiste?

Es una inspección de las medidas que se implantaron en el momento de concesión del sello y aquellas mejoras que se consideraron como vinculantes de manera de corregir prácticas o implementar otras nuevas. También se analiza en el momento en que se realiza si se han producido cambios en la organización, tanto de sistemas, procesos, seguridad, que requieran mejoras relacionadas con la implementación del sello.

Como toda auditoría esta debe hacerse por personal profesional debidamente cualificado, independiente, imparcial y objetivo. La independencia tiene relación con la actividad de tratamiento, es decir, no puede hacerse por el responsable del tratamiento o de seguridad o el encargado. La auditoría del sello es una oportunidad para las organizaciones de generar y mantener confianza y promover buenas prácticas en la relación con usuarios y/o clientes.

Renovación:

Como parte fundamental para mantenimiento del sello y en consonancia con el nuevo Reglamento Europeo de Protección de Datos, éste deberá ser renovado cada cinco años en las mismas condiciones y, para ello, el responsable o encargado del tratamiento deberá realizar la correspondiente auditoría orientada a su renovación teniendo en consideración lo anteriormente expuesto.

Por último, en lo que se refiere al agentes intervinientes en la certificación, sobra decir que los organismos de certificación debidamente acreditados deberán tener entre sus funciones no sólo la expedición de la certificación, sino también la revisión periódica y la retirada de sellos y marcados de protección de datos.

Certificaciones y sellos de protección de datos: El papel de las Autoridades de Control.

Los “sellos de protección de datos” como instrumentos eficaces y confiables para un escenario global.

En los entornos digitales donde las fronteras pierden cada vez más relevancia, y se apuesta por la creación de un mercado digital único; la confianza de los consumidores es un elemento esencial para su despliegue. Hoy, los productos y servicios tecnológicos desafían con mayor intensidad los límites de la privacidad, haciendo que los usuarios, y hasta los mismos empresarios, hagan mayores demandas para proteger su privacidad.

Desde inicios del 2012, la Comisión Europea propuso regular certificaciones relacionadas con el nivel de protección de los datos personales ofrecido por los responsables y encargados del tratamiento, invitando a la creación de mecanismos para la certificación en materia de protección de datos y de sellos que permitan a los interesados evaluar rápidamente el nivel de protección que ofrecen los responsables y los encargados de los tratamientos[17].

La finalidad de dicha propuesta radicaba en crear un signo distintivo como mecanismo de confianza para que las personas afectadas por los tratamientos de sus datos personales puedan valorar, cuando se exhiba este distintivo, que sus datos están siendo objeto de un tratamiento legítimo y respetuoso de las normas que defienden la privacidad. En este sentido se busca crear un modelo de certificación que cumplan con la normativa de protección de datos personales. En la versión final del texto de compromiso alcanzado incluso se otorga la consideración de transferencia internacional de datos con garantías a aquellas que se realicen bajo el paraguas de una certificación.

Para tales fines, es indispensable que los mecanismos de obtención de este “sello” sean eficaces, y por tanto que no se defrauden las expectativas de confianza que lógicamente debe generar un instrumento de esta naturaleza.

Definición de las condiciones para la  acreditación y certificación

La experiencia europea ha puesto de manifiesto el importante rol de las Autoridades de Control, las cuales se han constituido como una verdadera garantía institucional de la protección de ese derecho; y a través de las cuales se desarrolla el núcleo de la efectiva protección de los individuos, en relación al tratamiento de los datos personales.

Este papel debe mantenerse y potenciarse en relación a la propuesta de una certificación o sello sobre el cumplimiento de la normativa de protección de datos personales, que a la vez deba ser considerada como un modelo de aplicación global, respetando las particularidades de cada ordenamiento.

Para la concreción de estos fines, deberá considerarse también que la obtención de este sello sea voluntaria; y que conectada con el régimen sancionador que se prevé, su obtención suponga algunas ventajas adicionales; ya que si se dispone del mencionado “sello”, por ejemplo, la sanción económica por incumplimiento de las obligaciones previstas en la normativa de protección de datos podrá reducirse.

Los elementos esenciales de cualquier esquema de certificación implican, en primer lugar, garantizar la independencia e imparcialidad en la evaluación de los tratamientos de datos personales de conformidad con los principios, obligaciones y derechos que pueda prever el marco jurídico y de autorregulación aplicable a responsables y encargados de los tratamientos sometidos a evaluación. Esta independencia e imparcialidad deberá alcanzar, no solo a los organismos certificadores como tales, sino también a los profesionales acreditados a su servicio, que deberán estar suficientemente cualificados y libres de conflictos de intereses.

Las instituciones europeas hacen referencia a la existencia de organismos o entidades certificadoras específicas que expidan la certificación o sello, aunque con la posibilidad de que sean las propias autoridades de control competentes las que puedan llevar a cabo las tareas de certificación.

Tal como en su momento, se aceptó en el escenario europeo, la expedición de la certificación deberá ser sobre la base de criterios aprobados directamente por la autoridad de control competente, o en su caso, por el Consejo Europeo de Protección de Datos, institución creada por la propuesta de Reglamento, como evolución del actual grupo del artículo 29. En cualquier caso el organismo de certificación deberá estar acreditado en cuanto a su capacidad y pericia en materia del derecho a la protección de los datos de carácter personal, específicamente respecto de la regulación que sea aplicable al responsable o encargado de tratamiento, y a los propios tratamientos. En caso que la autoridad de control decida llevar a cabo la función de organismo certificador esa capacidad y pericia estaría acreditada por las competencias y funciones que le atribuye el ordenamiento jurídico.

En el supuesto de que se opte por un modelo donde la verificación de los requisitos para obtener el sello sea llevada a cabo por otras entidades, sean públicas o privadas, la autoridad de control debería adoptar el papel de organismo de acreditación; es decir, determinará las condiciones y requisitos para que efectivamente ese organismo certificador pueda valorar la adecuación de los tratamientos y, en consecuencia, pueda informar favorablemente respecto de la expedición del sello. En todo caso, esta última función debería estar reservada a las autoridades de control, una vez recibidos los informes pertinentes, elaborados en base a los criterios de verificación establecidos por la autoridad de control competente.

En este sentido, la definición de las condiciones de las entidades certificadoras, y de los profesionales a su servicio que lleven a cabo las tareas de verificación, deberán ser elaboradas y aprobadas por la autoridad de control competente, manteniendo en todo caso una adecuado nivel de neutralidad, especialmente en los aspectos tecnológicos.

Esta reserva en la función de expedición del sello, resulta de especial relevancia en el caso del Reglamento Europeo, si tenemos en cuenta que entre las propuestas de las instituciones europeas se encuentra la posibilidad de que, estar en posesión del sello de protección de datos, llegue a impedir la imposición de una sanción económica, siempre que no se trate de un incumplimiento intencionado o negligente, o en otro orden de cuestiones, que se facilite la transferencia internacional de datos, considerando el sello otorgado a un responsable o encargado de tratamiento como una garantía apropiada para llevar a cabo la exportación de datos personales.

Entre esas condiciones deberían concretarse tanto los supuestos de retirada y mantenimiento del sello, como de renovación y revocación de la acreditación, funciones que deberían llevarse a cabo directamente por la autoridad de control competente. Consecuentemente el conjunto de condiciones y requisitos relacionados con las certificaciones y acreditaciones deberán ser hechos públicos, y actualizados, por las autoridades de control.

En los territorios donde exista más de una autoridad de control, sin modificar las respectivas competencias, sería aconsejable que las diferentes autoridades de control establecieran un marco común de certificación y acreditación.

Consideraciones finales, un especial llamado para los países de América Latina.

Uno de los principales desafíos que enfrenta la implementación de certificaciones de esta naturaleza con el alcance global que se pretende, radica en la uniformidad de legislaciones e independencia formal de las autoridades de control que existe en Latinoamérica. A modo de ejemplo se puede citar el caso de Colombia y Perú países de los cuales si bien se puede predicar la imparcialidad de su gestión, estructuralmente dependen de otros organismos estatales.

A diferencia de lo que sucede en los países de la Comunidad Europea, América Latina ha iniciado desde hace algunos años el desarrollo del camino de la protección de datos personales, y aunque con pasos significativos, su progreso todavía es inicial. Por tanto, reconociendo la importancia de estas certificaciones y el alcance global que se busca alcanzar; es necesario tomar conciencia de las condiciones para la  acreditación y certificación respecto de los tratamientos de los datos personales e implementar las modificaciones estructurales y legislativas que sean necesarias.

Hoy se apuesta por la implementación de certificaciones y sellos que permitan adecuarse a los actuales mercados digitales en los que el derecho a la protección de datos personales quede garantizado en términos de eficiencia y eficacia; pero para ello será necesario que, desde la posición en la que nos encontremos, especialmente desde las Autoridades de Control, se desarrollen las acciones que se requieran para tales fines.

Autoridad de expedición. Consultores acreditados para auditar en nombre de la autoridad

Cada país deberá crear una Autoridad de expedición de certificados, la cual a su vez capacitará  consultores para auditar en nombre de la autoridad las bases de datos de usuarios para cada país, donde ante todo se vigilará que:

  1. Se respeten los principios de información, transparencia y consentimiento.
  2. Los responsables del tratamiento estén debidamente identificados.
  3. Se respete el principio de calidad de los datos.
  4. Cada administrador de datos tenga su propio esquema de seguridad.
  5. Se realizan auditorías y revisiones periódicas.
  6. Se garanticen los derechos de los afectados.

Por su parte los consultores deberán acreditar conocimientos de experto en protección de datos tanto a nivel de conocimientos como de práctica profesional. Una vez capacitados deberán renovarla periódicamente.

Por lo que se plantea que la Autoridad de cada país debe expedir unos certificados por medio de consultores. La autoridad de emisión del sello de protección de datos personales debe ser una autoridad establecida por los países miembros que pueda avalar estándares técnicos y jurídicos de certificación, que pueden ser llamadas a emitir este tipo de certificaciones ya que serán entidades reguladas y vigiladas. En el caso Iberoamericano son los países miembros quienes deben designar una entidad de emisión nacional o en conjunto para estos temas, donde el “Consejo Europeo de Protección de Datos” una vez homologado las incluirá en un registro público creado para tal efecto por el Reglamento General de Protección de Datos, que permitirá conocer tanto los certificados válidos,  como aquellos que hayan sido inválidos, en este caso referentes a cada Estado miembro.

La coordinación entre estados se hace fundamental puesto que el Consejo Europeo de Protección de Datos deberá reconocer a las autoridades  nacionales de expedición de los países iberoamericanos y homologar su procedimiento de homologación de consultores.

Reconocimiento mutuo entre países iberoamericanos y firma de acuerdos de convalidación con la Unión Europea y terceros estados

La implementación del Sello Europeo de Protección de Datos tendría su ámbito de aplicación a todas las empresas y entidades ubicadas en América Latina, con la finalidad de ser reconocidos por los países de la Unión Europea como destinos que garantizan transferencias internacionales con garantís suficientes. En este sentido el sello puede constituir una herramienta más para facilitar las transferencias internacionales de datos.

A pesar de que, algunos países como Argentina y Uruguay ya fueron reconocidos mediante decisiones de la Comisión Europea como países que ofrecían una protección adecuada conforme la Directiva 95/46/UE (Decisión 2003/490/CE, 30 junio y Decisión 2012/484/UE, de 21 agosto respectivamente), a la vista de los cambios que hay previstos en el nuevo Reglamento de Protección de Datos y de la sentencia del Tribunal de Justicia de la Unión Europea invalidando el acuerdo de Safe Harbor con Estados Unidos,  es posible que este reconocimiento necesite ser nuevamente evaluado. Por esta razón, el sello puede servir a estos países para facilitarles otras herramientas e igualmente dotar al resto de países de Latinoamérica de un mecanismo que ofrezca cierta uniformidad para facilitar el intercambio de datos con Europa y con el resto de países latinoamericanos.

Para la correcta efectividad del sello, resulta imprescindible que en cada país se cuente por un lado, con una estructura mínima que permita la ejecución de las medidas y garantías que ofrece el sello y por otra, se ha de poder garantizar la tutela de los derechos de los afectados.

En cuanto a la estructura, conviene que cada país latinoamericano cuente con una autoridad independiente dotada de facultades suficientes de control, investigación y ejecución, con potestades sancionadoras. Estas autoridades de control pueden ser clave en la cooperación con las autoridades de protección de datos europeas y también para facilitar el ejercicio de derechos de los ciudadanos.

A pesar de que la Decisión 2000/520 de la Comisión Europea que permitía el intercambio de datos con empresas Americanas adheridas al programa Safe Harbor ha sido declarado inválido reciente por sentencia del Tribunal de Justicia de la UE de 6 Octubre 2015, y sin perjuicio de que resurja con nuevas garantías, hay que tener en cuenta que, algunos de los aspectos que lo configuraban eran realmente funcionales.

Por ejemplo, la publicación del listado de empresas adheridas al programa, que era accesible a través de la página web del Departamento de Comercio de EEUU, siendo necesario validarlo anualmente. Requisito que igualmente podría aplicarse al Sello Europeo de Protección de Datos.

También el hecho de que, las empresas adheridas debían hacer público su compromiso, quedando sometidos a la jurisdicción de la Federal Trade Commission o de otros organismos públicos que garanticen el cumplimiento efectivo de los principios. Es decir que, el control se ejercía por autoridades preexistentes, no propiamente autoridades de protección de datos, pero dirigidas a proteger los derechos de los consumidores.

Este punto puede ser interesante, teniendo en cuenta la falta de recursos que existe en algunos países de América latina, situación que puede dificultar la creación de una institución desde cero dedicada exclusivamente a la protección de datos personales.

Igualmente, y teniendo en cuenta la citada sentencia del Tribunal de Justicia se ponen de relieve dos aspectos fundamentales a tener en cuenta: en primer lugar, el hecho de que para poder valorar el nivel adecuado de protección de un país o de un programa, sello o mecanismo similar, las normas y leyes del país de destino no se pueden ignorar y en segundo lugar, las autoridades de control europeas han de poder mantener intactas sus facultades de impugnación de dichos mecanismos si hay razones para pensar que, su eficacia se ha visto afectada por algún motivo.

Para poder superar algunos obstáculos referentes a las normas y leyes del país de destino, la utilización de mecanismos como la encriptación de datos en tránsito y en destino pueden ser de gran utilidad en algunos casos, aunque no en todos. Así mismo, el exportador debería ser informado previamente de si el importador ha recibido una solicitud de acceso a los datos por parte de una entidad gubernamental. Además, se ha de poder garantizar que la solicitud de acceso por parte de órganos públicos nunca se va a autorizar si se incumplen los requisitos de legitimidad y proporcionalidad.

En cuanto a la tutela de derechos de los afectados, deberían potenciarse mecanismos que refuercen la seguridad en el sistema, generando conciencia en la importancia del sello. Para ello es necesario impulsar soluciones alternativas a la justicia ordinaria, que complementen y acerquen a los ciudadanos maneras ágiles de proteger sus derechos. El uso de mecanismos de resolución de conflictos en línea, más ágiles o los listados actualizados de empresas que cuentan con la aprobación, son ejemplos de estas medidas que favorecerán no sólo a los responsables de ficheros, sino también a los titulares de los datos y a las autoridades de control.

Tampoco se pueden ignorar las ventajas que el sello convalidado puede suponer para países comunitarios y extracomunitarios en materia de inversiones y flujo de capitales entre mercados. En momentos en que las garantías ofrecidas por el Safe Harbor son cuestionadas, la creación de sellos debidamente autorizados y controlados periódicamente parece una solución razonable, con la cual las empresas podrían dar a conocer su cumplimiento y mantener sus operaciones sin mayores dificultades.

Sello en protección de datos como instrumento eximente de la obtención de autorización previa a transferencia internacional

Las normas que tratan la protección de datos personales por si solas no protegen a las personas  si es que estas no son puestas en práctica y se cuenta con un la implementación de un proceso que garantice la eficacia  de estas nomas, para ello distintas legislaciones a nivel internacional han establecido un procedimiento para velar no solo el cumplimiento de la norma dentro de su competencia territorial sino también asegurar al menos un estándar de protección cuando los datos personales salgan de su territorio.

Así encontramos mecanismos de simplificación de obligaciones  en materia de transferencias internacionales de datos personales que constatan que dicha operación sea cumpliendo los niveles de protección adoptados en el país emisor, constatación que se ha uniformizado y unificado en algunas regiones como la europea que brindan un “sello” de protección adecuación a aquellos países que no son miembros de su comunidad a fin de agilizar y asegurar adecuadamente los flujos transfronterizos.

Sello, que no es un modelo nuevo, que instituciones internacionales como la Unión Europea ha establecido reconocimientos de “nivel adecuado”, para mayor información véase el “Documento de Trabajo Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la UE”, la OCDE a través de la emisión de “Directrices sobre protección de la privacidad y flujos transfronterizos de datos personales (1980)” que suponen la unanimidad internacional sobre las guías generales para la recogida y gestión de información personal, la ONU mediante su Resolución 45/95         de 14 de diciembre de 1990 establece los “Principios rectores sobre la reglamentación de los ficheros computadorizados de datos personales” para brindar las bases de las garantías mínimas en las legislaciones en la materia, en la experiencia iberoamericana contamos con las “Directrices de Armonización de la Red Iberoamericana” (2007), además de grupos de trabajos como el “Marco de Privacidad” (1999) de APEC.

Procesos que deben cumplir un estándar de transparencia en el procedimiento donde el sujeto a evaluar debe estar inscrito y reconocido legalmente en su país de procedencia, brindar la información necesaria al organismo designado para el procedimiento de acreditación cumplimiento de requisitos ya normalizados, lo cual acompañado de un informe al alcance de los miembros será un mecanismo fundamental para hacer transparente la aprobación o rechazo de la autorización.

La emisión de este sello para los flujos transfronterizos entre los países miembros de la región iberoamericana y con países terceros como manifestación de que el proceso está conforme con las condiciones establemente enumerados será el instrumento que tendría por finalidad acreditar  una certificación mediante este sello. De hecho el texto de compromiso del futuro Reglamento General de Protección de datos otorga a los códigos de conducta y a las certificaciones la categoría de transferencias realizadas con garantías adecuadas de protección.

Este sello de calidad será el instrumento oficial eximente de realizar los procesos de adecuaciones que debería llevar a cabo en cada país iberoamericano y en cada operación de transferencia, que además de significar costos de tiempo en algunos casos también lo es de tasas, asesorías legales y otros económicos, siendo simplificado en un solo proceso previa evaluación y constatación de las exigencias estipuladas por este sello regional que va respaldar la certificación de cumplimiento.

Instrumento que se reviste de un proceso transparente al tener las normas previamente uniformizadas y acordadas entre todos los países miembros y que facilitaría sobre todo las transacciones comerciales en la industria de los datos personales, industria que cuente con un sello y lo muestre como un producto confiable, al estar estandarizado,  por todos los involucrados en la emisión y recepción de los datos, e incluso el titular de estos datos personales.

Este sello como eximente para obtención de autorización previa a transferencia internacional en los procesos posteriores a la dación de este certificado debe tener un perfil que asegura esencialmente una calidad internacionalmente aceptada, que como se ha mencionado este resulta de la aplicación de estándares establecidos normativamente de manera oficial, el cual debe cumplir con características que aseguren no solo un sello de calidad sino un lenguaje común para los involucrados, mecanismo indispensable para la resolución de conflictos derivados del proceso de transferencia, valores de calidad básicos para establecer una situación real de seguridad jurídica en el mercado.

Conclusiones

Tras el análisis de realizado por los colaboradores de la iniciativa del Observatorio Iberoamericano de Protección de Datos, a modo de conclusiones podemos destacar las siguientes:

  • Implementar mecanismos más seguros de certificación en materia de protección de datos, permitirá al titular, realizar una evaluación rápida en relación al nivel de protección que los encargados del tratamiento de sus datos le están ofreciendo. Facilitará igualmente las transferencias internacionales de datos puesto que las realizadas bajo su paraguas se entenderán realizadas con suficientes garantías de protección.
  • El principal objetivo del Sello Europeo será el de crear confianza entre los interesados lo que traería consigo una notable mejora en la imagen corporativa de la empresa, así como una garantía mucho más fuerte para los posibles afectados por el inadecuado tratamiento de sus datos personales.  Es por esto que lo más importante será brindar calidad y excelencia.
  • Lograr llegar a la meta de alcanzar un sello de Protección de Datos, supone además asumir un reto desde la ingeniería de Sw, ya que como bien sostiene la Doctora Amoroso, hay cuestiones que deben ser asumidas por diseño de las aplicaciones y servicios que se instrumenten tales como los que realizan los servidores y buscadores y adicionalmente a ellos es también incluir requerimientos desde la evaluación de calidad y certificación de soluciones digitales.
  • La situación actual del ordenamiento jurídico en Iberoamérica resulta contradictoria, puesto que si bien, gran parte de los países cuentan con un reconocimiento de carácter fundamental del derecho a la protección de datos personales y un marco jurídico que establece los mínimos para su desarrollo, el nivel de protección de los datos personales no es el adecuado de acuerdo con los estándares
  • Para que se pueda dar una protección efectiva de los datos personales en Iberoamérica y por consiguiente el sello de protección de datos es necesario que se implemente y replantee de una manera adecuada, legislación en la materia, quizás adoptando el modelo europeo que ha venido siendo trabajado durante largo tiempo y que facilitaría la certificación.
  • Por otro lado la adopción de PbD trae consigo la necesidad de modificar políticas y procedimientos de los responsables, dado que la protección de la privacidad no deriva en exclusiva del cumplimiento de la normativa sobre la materia, sino que pasa a convertirse en un modo de operación predeterminado en la organización, en el que el respeto a la privacidad se constituye como una práctica natural del responsable, y así se refleja tanto en el exterior como el interior de la entidad.
  • Los Sellos de Protección de Datos derivan de los procesos de certificación o autorregulación contemplados en algunas normas de protección de Datos Personales, siendo éste sello parte del proceso de certificación.
  • Es importante destacar que la sociedad evoluciona de una manera vertiginosa hacia sistemas de exigencia y garantía mayores, por lo que hoy en día las empresas y otras personas jurídicas deben pensar en un modelo de gestión diferente y por ende del tratamiento de los datos personales que se manejan.
  • Al establecer el Sello, romperíamos uno de los principales problemas que presenta la sociedad de la información, la falta de confianza en los productos y servicios tecnológicos.
  • El Sello Iberoamericano de protección de datos, se propone como un mecanismo voluntario de certificación o marca de protección de datos, que permitirá a los interesados reconocer rápidamente el nivel de protección de datos que ofrecen los responsables y encargados del tratamiento sobre sus productos y servicios.

.

La Declaración de San José, hacia la implantación de un Sello sobre el tratamiento de datos personales en Iberoamérica., elaborada desde la iniciativa del Observatorio Iberoamericano de Protección de Datos, fue presentada el martes 16 de marzo de 2016 por Mauricio Paris y Daniel López Carballo, en el transcurso de II Privacy Data Protection Forum, celebrado en el Hotel Intercontinental de San José (Costa Rica).

[1] Directiva 95/46/CE Del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Accesible en:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:ES:NOT

[2] La protección de datos en Latinoamérica y el interés de España por un nivel de protección adecuado. Entrevista realizada a Pedro Dubie por Pablo RuiPérez García, en el marco del Programa Revista de Informática, en la Universidad Nacional de Educación a Distancia (UNED) el 11 de enero de 2003.

[3]http://www.redipd.es/legislacion/common/legislacion/Andorra/Llei_qualificada_de_proteccio_de_dades_personals.pdf

[4]http://www.redipd.es/legislacion/common/legislacion/Argentina/ley_25326.pdf

[5]  Artículos 19 y 20 de la Ley Estatutaria Num. 1581  por el cual se dictan disposiciones generales para la protección de datos personales, disponible en:
http://www.redipd.es/legislacion/common/legislacion/Colombia/Ley_1581_2012_COLOMBIA.pdf

[6] Artículo 15 de la Ley No. 8968, protección de la persona frente al tratamiento de sus datos personales, disponible en:
http://www.oas.org/es/sla/ddi/docs/CR4%20Ley%20de%20Protecci%C3%B3n%20de%20la%20Persona%20frente%20al%20Tratamiento%20de%20sus%20Datos%20Personales.pdf

[7] Artículo 1 y 22 de la ley No. 19.628 sobre Protección de la Vida Privada, disponible en
http://www.leychile.cl/Navegar?idNorma=141599

[8]Artículos 2 y 35 de la Ley Orgánica 15/1999 del 13 de diciembre de Protección de Datos de Carácter Personales, disponible en:

https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/estatal/common/pdfs/2014/Ley_Organica_15-1999_de_13_de_diciembre_de_Proteccion_de_Datos_Consolidado.pdf

[9] Ley Federal de Protección de Datos Personales en Posesión de Particulares http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

[10] Artículos 2 y 28 de la Ley No. 787 de Protección de Datos Personales, disponible en:
http://www.redipd.es/legislacion/common/legislacion/nicaragua/Ley__787.pdf

[11] Artículos 3 y  32 de la Ley Ley No. 29733, de Protección de Datos Personales, disponible en:
http://www.redipd.es/legislacion/common/legislacion/peru/Ley-29733.pdf

[12] Artículo 21 de la Ley 67/98 de Protección de Datos Personales del 26 de Octubre, disponible en:
http://www.cumplir-la-lopd.com/documentos/Lei67_98.pdf

[13] Artículos 1 y 29 de la Ley Orgánica de Protección de Datos de Carácter Personal, Ley 172-13, disponible en:
http://www.redipd.es/legislacion/common/legislacion/rep_dominicana/Ley_172_13_Proteccion_Datos_Caracter_Personal.pdf

[14] Artículos 3 y 31 de la  Ley No. 18.331, de 11 de Noviembre de 2008, disponible en:
http://www.redipd.es/legislacion/common/legislacion/uruguay/ley_18331.pdf

[15] Ver, por ejemplo, la información disponible la web del Comisionado de la Información y de la Protección de la Privacidad de Ontario:ipc.on.ca/english/privacy/introduction-to-pbd/.

[16] Los siete principios de PbD fueron internacionalmente reconocidos como un estándar en la 32ª Conferencia Internacional de Comisionados de Privacidad y Protección de Datos, en el año 2010:
secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Cooperation/Conference_int/10-10-27_Jerusalem_Resolutionon_PrivacybyDesign_EN.pdf.

[17] En esta misma línea, el Parlamento Europeo, en sus enmiendas a la propuesta de reglamento de la Comisión Europea, aprobadas en marzo de 2015, entraba con más detalle en esas “certificaciones”, al hacer una referencia concreta al Sello Europeo de Protección de Datos”