Publicado en la Tribuna de la Red Iberoamericana de Protección de Datos, 22 de abril de 2014.
A principios de 2014 se daba a conocer el Anteproyecto de Ley de Protección de Datos Personales y Acción de Habeas Data en Honduras, a través del Instituto de Acceso a la Información Pública hondureño.
El Anteproyecto se elabora tomando como base la Resolución 45/95 Principios Rectores para la Reglamentación de los Ficheros Computarizados de Datos Personales, la Directiva Europea 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, así como los diferentes documentos elaborados en el seno de la Red Iberoamericana de Protección de Datos.
Si bien la Constitución del Estado Centroamericano de Honduras de 1982, recoge en su artículo 76 la garantía al derecho al honor, a la intimidad personal, familiar y a la propia imagen, y en el artículo 182 el derecho fundamental de acceso a la información pública y privada, así como la garantía constitucional de habeas data: “El Estado reconoce la garantía de Habeas Corpus o Exhibición Personal, y de Habeas Data”, quedaba pendiente un desarrollo normativo propio en materia de protección de datos, siguiendo la tendencia del resto de países iberoamericanos y su acción legislativa.
El texto reconoce el derecho fundamental de las personas a su intimidad, a su honra y al reconocimiento de su dignidad, a que nadie sea objeto de injerencias arbitrarias o ilegales en su vida privada, la de su familia, ni ataques a su reputación, así como el derecho a la autodeterminación informativa de las personas.
El Anteproyecto establece que será de aplicación a los datos personales registrados en bases de datos automatizadas o manuales, de organizaciones del sector publico y privado, excluyendo las bases de datos mantenidas por personas naturales en el ejercicio de actividades personales o domesticas, las que tengan por objeto la seguridad pública, defensa, seguridad del Estado, materia penal e investigación de delitos, así como las creadas por leyes especiales y los archivos y datos de información periodística.
Se define Aviso de Privacidad como el documento físico, electrónico o en cualquier otro formato generado por el Responsable de Tratamiento que es puesto a disposición del Titular, previo al tratamiento de los datos. Se entiende por base de datos, aquel conjunto organizado de datos personales que sea objeto de tratamiento o procesamiento, automatizado o manual, cualquier que sea la modalidad de su elaboración, organización o acceso.
El texto recoge los principios para la protección de datos personales: lealtad y legalidad, exactitud, finalidad, acceso a la información, consentimiento, no discriminación, seguridad y responsabilidad.
Así mismo se reconoce el derecho de las personas frente a la recolección de sus datos, debiendo ser informado, previamente de forma expresa, precisa e inequívoca mediante un aviso de privacidad, que deberá contener, al menos, la identidad y domicilio del Responsable que recoge los datos, la finalidad del tratamiento y posibles destinatarios, las opciones y medios que el Responsable ofrezca a los titulares para limitar el uso o divulgación de los datos, las consecuencias de proporcionar datos u de la negativa de hacerlo o su inexactitud, las transferencias de datos que pudieran realizarse, los medios para ejercitar los derechos de acceso, rectificación, eliminación u oposición.
No será necesario el consentimiento previo del titular cuando los datos provengan de fuentes públicas de información, tales como registros o publicaciones en medios masivos de comunicación; se recaben para el ejercicio de funciones propias del Estado o en virtud de una obligación legal; se trate de listados cuyos datos se limiten en el caso de personas naturales a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento; deriven de una relación contractual, científica o profesional del Titular de los datos y sea necesario para su desarrollo o cumplimiento; se realice por personas naturales o jurídicas, privadas o públicas o su uso exclusivo sea personal o doméstico.
Se reconocen cuatro derechos a las personas sobre sus datos: acceso, rectificación, eliminación y oposición, además del derecho referente a la transferencia de datos y el derecho de indemnización.
Entre las obligaciones del Responsable del Tratamiento se encuentra garantizar el pleno derecho y efectivo ejercicio del derecho fundamental de protección de datos, informar sobre la finalidad de la recolección y derechos, así como cumplir con las obligaciones relativas al aviso de privacidad, conservar la información bajo condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado.
Actualizar la información y rectificarla cuando sea incorrecta, comunicando la información exacta y actualizada al encargado de tratamiento. Así mismo deberá implementar un manual de políticas y procedimientos e informar al Instituto de Acceso a la Información Pública cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información, cumpliendo con las instrucciones y requerimientos del Instituto.
El Responsable del Tratamiento deberá adoptar las medidas de seguridad, técnicas y organizativas, necesarias para garantizar la seguridad de los datos personales y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado,
No se podrán registrar datos en bases de datos que no reúnan las condiciones que garanticen dicha seguridad, y que no cuenten con mecanismos de seguridad física y lógica.
El Manual de políticas y procedimientos deberá ser implementado por aquellos que tengan funciones de recolección, almacenamiento, y manejo de los datos personales. Dicho Manual, para ser válido, deberá ser inscrito, así como sus modificaciones ante el Instituto de Acceso a la Información Pública.
Se establecen categorías especiales de datos, entre los que se incluye los datos sensibles, como aquella información que revele el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, así como los relativos a la salud, vida sexual y datos biométricos, entre otros. También se establecen criterios sobre el tratamiento de datos relativos a las telecomunicaciones y los relativos a bases de datos con fines publicitarios.
El Anteproyecto de Ley hondureña de protección de datos personales regula los derechos de las personas sobre sus datos, en concreto se establece el derecho de acceso como aquel que tiene la persona a obtener toda la información concerniente a sí mismo que se encuentre en bases de datos públicas o probadas.
El derecho de acceso será ejercido de forma gratuita, debiendo cubrir el titular de los datos únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos.
El ciudadano tiene derecho a solicitar la rectificación y eliminación de sus datos personales, cuando se hayan tratado infringiendo las disposiciones legales, resulten incompletos o inexactos, puedan inducir a error o hayan sido recabados sin autorización del titular de los datos.
Recoge el Anteproyecto el bloque de datos, es decir, la conservación exclusivamente para los efectos de las responsabilidades nacidas del tratamiento. El periodo establecido será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica fruto de la cual los datos fueron recabados y tratados.
Una vez sea efectiva la cancelación deberá comunicarse al titular de los datos, debiendo el Responsable del Tratamiento también comunicarlos a aquellos terceros que los hayan comunicado con anterioridad al ejercicio del derecho por el titular, para su cancelación efectiva por los mismos, o en su caso la rectificación.
El ciudadano podrá oponerse al tratamiento de sus datos cuando se respeten las garantías y principios constitucionales y legales, así como a aquellas acciones que conlleven efectos jurídicos basadas únicamente en un tratamiento automatizado de datos, excepto cuando hubiese sido expresamente solicitada por el titular, pudiendo este hacer valer su punto de vista a fin de defender su derecho o interés. No podrá ejercitarse el derecho de oposición cuando el tratamiento sea necesario para el cumplimiento de una obligación legal.
El Anteproyecto reconoce el derecho referente a la transferencia de datos, mediante el cual el Responsable del Tratamiento, sólo podrá transferir datos cuando el titular haya prestado su consentimiento expreso e inequívoco y no vulnere los principios y derechos legalmente reconocidos. Dicho consentimiento podrá ser revocado por el titular de los datos.
Se reconoce el derecho de indemnización cuando el titular de los datos considere que ha sufrido daño o lesión en sus bienes o derechos como consecuencia de incumplimiento legal, pudiendo ejercitar los derechos pertinentes para obtener la indemnización que proceda.
El artículo 14 del Anteproyecto establece una serie de excepciones a los derechos para la protección de los datos personales: la seguridad del Estado, la seguridad y el ejercicio de la autoridad pública, la prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología de los profesionales, se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento, el funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas, la adecuada prestación de servicios públicos y la eficaz actividad ordinaria de la Administración, por parte de las autoridades públicas.
En relación al procedimiento para el ejercicio de los derechos mencionados, podrá realizarse por el titular de los datos o de su representante legal o herederos. El ejercicio de cualquiera de ellos no es requisito previo ni impide el ejercicio de otro.
A estos efectos el Responsable del Tratamiento deberá designar una persona o departamento de datos personales que dé trámite a las solicitudes recibidas.
La solicitud de ejercicio del derecho invocado deberá contener el nombre del titular de los datos, domicilio y medio a través del que se le comunicará la respuesta a la solicitud (bien por escrito o formato electrónico), los documentos que acrediten su identidad o representación legal, la descripción clara y concisa de los datos personales respecto de los que busca ejercitar el derecho invocado, y cualquier documento o elemento que facilite la localización de dichos datos personales.
La información solicitada deberá ser entregada por el Responsable del Tratamiento en el plazo de diez días hábiles, de forma inteligible, empleando lenguaje claro y sencillo. Cuando no pudiera resolverse en el plazo establecido se informará al titular, expresando los motivos del retraso y señalando la fecha en que será atendida la solicitud, que en ningún caso superará los diez días hábiles siguientes al vencimiento del primer plazo.
El ejercicio del derecho de acceso, sin perjuicio de lo establecido en la normativa crediticia o comercial, sólo podrá ejercitarse en intervalos de seis meses, salvo que conste interés legítimo acreditable.
En el caso de la actualización, rectificación o eliminación de los datos personales, la tramitación de la solicitud por el Responsable del Tratamiento, deberá tenerse en cuenta que la solicitud en el caso de la rectificación deberá indicar las modificaciones a realizar y aportarse la documentación que sustente su petición.
Si la solicitud resultara incompleta, se requerirá subsanación por el interesado dentro de los tres días hábiles, transcurridos dos meses desde la fecha de requerimiento sin que el interesado presente la información requerida, se entenderá que desiste de su petición.
Una vez recibida la solicitud completa, el Responsable del Tratamiento incluirá en la base de datos la leyenda «solicitud en trámite» y el motivo de la misma, debiendo mantenerse hasta su resolución.
La solicitud deberá ser atendida en el plazo de diez días hábiles en los mismos términos que el ejercicio del derecho de acceso. Deberá comunicarse por el Responsable del Tratamiento, en el plazo de veinte días hábiles desde la recepción de la solicitud, la actualización, eliminación u oposición, así como la determinación adoptada a efectos de que se haga efectiva en el plazo de diez días hábiles desde la fecha de la respuesta.
El Responsable del Tratamiento podrá denegar el acceso, la rectificación, o la oposición al tratamiento de datos, cuando el solicitante no sea el titular de los datos o la representación legal no haya quedado acreditada, cuando en su base de datos no se encuentren los datos del solicitante, cuando se lesionen derechos de un tercero, exista impedimento legal o la resolución de una autoridad competente que restrinja el acceso a los datos personales o no permita la rectificación, eliminación u oposición de los mismos, y cuando la rectificación, eliminación u oposición haya sido previamente realizada.
En todos los casos expuestos, el Responsable del Tratamiento deberá informar al titular del motivo de su decisión en el plazo no superior a diez días hábiles por el mismo medio en que se llevó a cabo la solicitud, acompañando las pruebas que resulten pertinentes. Dicha negativa podrá ser parcial, en cuyo caso el Responsable efectuará el acceso, rectificación, eliminación u oposición requerida por el titular de los datos.
Aunque el camino sólo acaba de iniciarse y queda seguir su tramitación y posterior desarrollo reglamentario, una vez leído y analizado el texto del Anteproyecto sí podemos destacar que es una norma avanzada que plasma una evolución de la responsabilidad de los Encargados de Ficheros, que incluye alguno de los aspectos que las nuevas normas (iberoamericanas y europeas) están contemplando.
